Legislatívne uznesenie Európskeho parlamentu z 12. marca 2024 o návrhu nariadenia Európskeho parlamentu a Rady o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami a o zmene nariadenia (EÚ) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD))
(Riadny legislatívny postup: prvé čítanie)
Európsky parlament,
– so zreteľom na návrh Komisie pre Európsky parlament a Radu (COM(2022)0454),
– so zreteľom na článok 294 ods. 2 a článok 114 Zmluvy o fungovaní Európskej únie, v súlade s ktorými Komisia predložila návrh Európskemu parlamentu (C9‑0308/2022),
– so zreteľom na článok 294 ods. 3 Zmluvy o fungovaní Európskej únie,
– so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru zo 14. decembra 2022(1),
– so zreteľom na predbežnú dohodu schválenú gestorským výborom podľa článku 74 ods. 4 rokovacieho poriadku, a na záväzok zástupcu Rady, vyjadrený v liste z 20. decembra 2023, schváliť pozíciu Európskeho parlamentu v súlade s článkom 294 ods. 4 Zmluvy o fungovaní Európskej únie,
– so zreteľom na článok 59 rokovacieho poriadku,
– so zreteľom na stanovisko Výboru pre vnútorný trh a ochranu spotrebiteľa,
– so zreteľom na správu Výboru pre priemysel, výskum a energetiku (A9-0253/2023),
1. prijíma nasledujúcu pozíciu v prvom čítaní;
2. schvaľuje spoločné vyhlásenie Európskeho parlamentu, Rady a Komisie uvedené v prílohe k tomuto uzneseniu, ktoré sa uverejní v sérii C Úradného vestníka Európskej únie;
3. žiada Komisiu, aby mu vec znovu predložila, ak nahrádza, podstatne mení alebo má v úmysle podstatne zmeniť svoj návrh;
4. poveruje svoju predsedníčku, aby postúpila túto pozíciu Rade, Komisii a národným parlamentom.
Pozícia Európskeho parlamentu prijatá v prvom čítaní 12. marca 2024 na účely prijatia nariadenia Európskeho parlamentu a Rady (EÚ) 2024/... o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami a o zmene nariadení (EÚ) č. 168/2013 a (EÚ) 2019/1020 a smernice (EÚ) 2020/1828 (akt o kybernetickej odolnosti)(1)
so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 114,
so zreteľom na návrh Európskej komisie,
po postúpení návrhu legislatívneho aktu národným parlamentom,
so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru(2),
po porade s Výborom regiónov,
konajúc v súlade s riadnym legislatívnym postupom(3),
keďže:
(1) Kybernetická bezpečnosť je pre Úniu jednou z kľúčových výziev. Počet a rozmanitosť pripojených zariadení sa bude v nadchádzajúcich rokoch exponenciálne zvyšovať. Kybernetické útoky sú záležitosťou verejného záujmu, keďže majú zásadný vplyv nielen na hospodárstvo Únie, ale aj na demokraciu, bezpečnosť a zdravie spotrebiteľov. Je preto potrebné posilniť prístup Únie ku kybernetickej bezpečnosti, riešiť kybernetickú odolnosť na úrovni Únie a zlepšiť fungovanie vnútorného trhu stanovením jednotného právneho rámca základných požiadaviek kybernetickej bezpečnosti pre uvádzanie produktov s digitálnymi prvkami na trh Únie. Vyriešiť by sa mali dva hlavné problémy, ktoré zvyšujú náklady používateľov a spoločnosti: nízka úroveň kybernetickej bezpečnosti produktov s digitálnymi prvkami, ktorá sa prejavuje rozšíreným výskytom zraniteľností a nedostatočným a nekonzistentným poskytovaním bezpečnostných aktualizácií na ich riešenie, a nedostatočné chápanie používateľov a ich prístup k informáciám, čo im bráni vybrať si produkty s vhodnými vlastnosťami z hľadiska kybernetickej bezpečnosti alebo ich bezpečne používať.
(2) Cieľom tohto nariadenia je vytvoriť hraničné podmienky pre vývoj bezpečných produktov s digitálnymi prvkami, pričom treba zabezpečiť, aby sa na trh uvádzali hardvérové a softvérové produkty s menším počtom zraniteľností a aby výrobcovia brali bezpečnosť vážne počas celého životného cyklu produktu. Jeho cieľom je aj vytvorenie podmienok, ktoré používateľom umožnia zohľadniť kybernetickú bezpečnosť pri výbere a používaní produktov s digitálnymi prvkami, napríklad zlepšením transparentnosti, pokiaľ ide o predpokladané obdobie podpory produktov s digitálnymi prvkami dostupných na trhu.
(3) Príslušné platné právne predpisy Únie obsahujú niekoľko súborov horizontálnych pravidiel, ktorými sa riešia určité aspekty súvisiace s kybernetickou bezpečnosťou z rôznych hľadísk vrátane opatrení na zvýšenie bezpečnosti digitálneho dodávateľského reťazca. Existujúce právne predpisy Únie, ktoré sa týkajú kybernetickej bezpečnosti, vrátane nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881(4) a smernice Európskeho parlamentu a Rady (EÚ) 2022/2555(5), však priamo neobsahujú povinné požiadavky bezpečnosti produktov s digitálnymi prvkami.
(4) Aj keď sa existujúce právne predpisy Únie uplatňujú na určité produkty s digitálnymi prvkami, neexistuje horizontálny regulačný rámec Únie stanovujúci komplexné požiadavky kybernetickej bezpečnosti pre všetky produkty s digitálnymi prvkami. Rôzne akty a iniciatívy prijaté dosiaľ na úrovni Únie a na vnútroštátnej úrovni riešia identifikované problémy a riziká týkajúce sa kybernetickej bezpečnosti iba čiastočne, čím sa vytvára na vnútornom trhu zmes právnych predpisov, zvyšuje právna neistota výrobcov aj používateľov týchto produktov a pridáva zbytočná záťaž podnikom a organizáciám pri plnení mnohých požiadaviek a povinností v súvislosti s podobnými druhmi produktov. Kybernetická bezpečnosť týchto produktov má zároveň obzvlášť výrazný cezhraničný rozmer, keďže produkty s digitálnymi prvkami vyrobené v jednej krajine používajú často organizácie a spotrebitelia na celom vnútornom trhu. Preto treba regulovať túto oblasť na úrovni Únie s cieľom zabezpečiť harmonizovaný regulačný rámec a právnu istotu pre používateľov, organizácie a podniky vrátane mikropodnikov a malých a stredných podnikov v zmysle vymedzenia v prílohe k odporúčaniu Komisie 2003/361/ES(6). Regulačné prostredie Únie by sa malo harmonizovať zavedením horizontálnych požiadaviek kybernetickej bezpečnosti pre produkty s digitálnymi prvkami.
Okrem toho by sa pre hospodárske subjekty a používateľov mala v celej Únii zabezpečiť istota a lepšia harmonizácia vnútorného trhu a proporcionalita pre mikropodniky a malé a stredné podniky, čím by sa vytvorili životaschopnejšie podmienky pre hospodárske subjekty, ktoré plánujú vstup na trh Únie.
(5) Pokiaľ ide o mikropodniky a malé a stredné podniky v zmysle vymedzenia v prílohe k odporúčaniu Komisie 2003/361/ES, pri určovaní kategórie, do ktorej podnik patrí, by sa ustanovenia uvedenej prílohy mali uplatňovať v celom rozsahu. Preto by sa pri výpočte počtu zamestnancov a finančných stropov na určenie kategórie podnikov mali uplatňovať aj ustanovenia článku 6 prílohy k odporúčaniu Komisie 2003/361/ES o stanovovaní údajov o podniku vzhľadom na osobitné typy podnikov, ako sú partnerské podniky alebo prepojené podniky.
(6) Komisia by pri uplatňovaní tohto nariadenia mala poskytnúť usmernenia na pomoc hospodárskym subjektom, najmä mikropodnikom a malým a stredným podnikom. Takéto usmernenia by sa mali okrem iného týkať rozsahu pôsobnosti tohto nariadenia, najmä diaľkového spracúvania údajov a jeho dôsledkov pre vývojárov slobodného softvéru a softvéru s otvoreným zdrojovým kódom, uplatňovania kritérií používaných na určenie období podpory pre produkty s digitálnymi prvkami, vzájomného pôsobenia medzi týmto nariadením a iným právom Únie a toho, čo predstavuje podstatnú zmenu.
(7) Na úrovni Únie obsahujú rôzne programové a politické dokumenty, napríklad spoločné oznámenie Komisie a vysokého predstaviteľa Únie pre zahraničné veci a bezpečnostnú politiku zo 16. decembra 2020 s názvom „Stratégia kybernetickej bezpečnosti EÚ v digitálnej dekáde“, závery Rady z 2. decembra 2020 o kybernetickej bezpečnosti pripojených zariadení a z 23. mája 2022 o vývoji prístupu Európskej únie ku kybernetickej bezpečnosti a uznesenie Európskeho parlamentu z 10. júna 2021 o stratégii kybernetickej bezpečnosti EÚ v digitálnej dekáde(7), výzvy na zavedenie špecifických požiadaviek Únie týkajúcich sa kybernetickej bezpečnosti produktov s digitálnymi prvkami, pričom viaceré krajiny na celom svete zavádzajú opatrenia na riešenie tohto problému z vlastnej iniciatívy. V záverečnej správe z Konferencie o budúcnosti Európy občania vyzvali na „silnejšiu úlohu EÚ v boji proti kybernetickobezpečnostným hrozbám“. Na to, aby Únia zohrávala vedúcu úlohu v oblasti kybernetickej bezpečnosti na medzinárodnej scéne, je dôležité zaviesť ambiciózny regulačný rámec.
(8) Na zvýšenie celkovej úrovne kybernetickej bezpečnosti všetkých produktov s digitálnymi prvkami uvedenými na vnútorný trh je potrebné zaviesť pre tieto produkty cieľovo zamerané a technologicky neutrálne základné požiadavky kybernetickej bezpečnosti, ktoré sa uplatňujú horizontálne.
(9) Za určitých podmienok môžu všetky produkty s digitálnymi prvkami integrované vo väčšom elektronickom informačnom systéme alebo pripojené k takému systému slúžiť ako vektor útoku škodlivých subjektov. V dôsledku toho aj hardvér a softvér považovaný za menej kritický môže uľahčiť počiatočné ohrozenie zariadenia alebo siete, ktoré umožní škodlivým subjektom získať privilegovaný prístup do systému alebo sa pohybovať laterálne naprieč systémami. Výrobcovia by preto mali zabezpečiť, aby všetky produkty s digitálnymi prvkami boli navrhnuté a vyvíjané v súlade so základnými požiadavkami stanovenými v tomto nariadení. Táto povinnosť sa týka produktov, ktoré možno pripojiť fyzicky cez hardvérové rozhranie, ako aj produktov, ktoré sa pripájajú logicky, napr. pomocou sieťových zásuviek, dátovodov, súborov, aplikačných programovacích rozhraní alebo iných druhov softvérového rozhrania. Keďže kybernetické hrozby môžu šíriť rôzne produkty s digitálnymi prvkami pred dosiahnutím určitého cieľa, napríklad zreťazením viacerých zneužití zraniteľnosti, výrobcovia by mali zaistiť kybernetickú bezpečnosť aj pre produkty s digitálnymi prvkami, ktoré sú k iným zariadeniam alebo sieťam pripojené iba nepriamo.
(10) Stanovením požiadaviek kybernetickej bezpečnosti na uvádzanie produktov s digitálnymi prvkami na trh sa má zlepšiť kybernetická bezpečnosť týchto produktov pre spotrebiteľov, ako aj pre podniky. Týmito požiadavkami sa takisto zabezpečí, aby sa v dodávateľských reťazcoch zohľadňovala kybernetická bezpečnosť, čím sa zvýši bezpečnosť konečných produktov s digitálnymi prvkami a ich komponentov. Toto zahŕňa aj požiadavky na uvedenie na trh pre spotrebný tovar s digitálnymi prvkami určený pre zraniteľných spotrebiteľov, ako sú napríklad hračky a elektronické systémy na monitorovanie detí. Spotrebné produkty s digitálnymi prvkami kategorizované v tomto nariadení ako dôležité produkty s digitálnymi prvkami predstavujú vyššie kybernetické a bezpečnostné riziko tým, že vykonávajú funkciu, ktorá so sebou nesie významné riziko nepriaznivých účinkov z hľadiska intenzity a schopnosti poškodiť zdravie, bezpečnosť alebo ochranu používateľov takýchto produktov, a mali by podliehať prísnejšiemu postupu posudzovania zhody. Týka sa to inteligentných domácich produktov s bezpečnostnými funkciami, ako sú inteligentné zámky dverí, elektronické systémy na monitorovania detí a poplašné systémy, pripojené hračky a osobné nositeľné zdravotnícke technológie. Okrem toho prísnejšie postupy posudzovania zhody, ktorým sa musia podrobiť iné produkty s digitálnymi prvkami kategorizované v tomto nariadení ako dôležité alebo kritické produkty s digitálnymi prvkami, prispejú k predchádzaniu potenciálnym nepriaznivým účinkom zneužívania zraniteľností na spotrebiteľov.
(11) Cieľom tohto nariadenia je zabezpečiť vysokú úroveň kybernetickej bezpečnosti produktov s digitálnymi prvkami a ich integrovaných riešení diaľkového spracovania údajov. Takéto riešenia diaľkového spracovania údajov by sa mali vymedziť ako spracovanie údajov na diaľku, pre ktoré je softvér určený a vyvinutý výrobcom produktu s digitálnymi prvkamialebo v jeho mene, a ktorého absencia zabráni tomu, aby takýto produkt s digitálnymi prvkami plnil jednu zo svojich funkcií. Týmto prístupom sa zabezpečuje, aby boli takéto produkty primerane a v celom rozsahu zabezpečené ich výrobcami bez ohľadu na to, či sa údaje spracúvajú alebo uchovávajú lokálne na zariadení používateľa alebo na diaľku výrobcom. Zároveň patrí spracovanie alebo uchovávanie na diaľku do rozsahu pôsobnosti tohto nariadenia len vtedy, ak je potrebné na to, aby produkt s digitálnymi prvkami vykonával svoje funkcie. Takéto spracovanie alebo uchovávanie na diaľku zahŕňa situáciu, keď mobilná aplikácia vyžaduje prístup k aplikačnému programovaciemu rozhraniu alebo k databáze poskytovanej prostredníctvom služby, ktorú vyvinul výrobca. V takom prípade služba patrí do rozsahu pôsobnosti tohto nariadenia ako riešenie diaľkového spracovania údajov.
Požiadavky na riešenia spracovania údajov na diaľku, ktoré patria do rozsahu pôsobnosti tohto nariadenia, preto nezahŕňajú technické, prevádzkové ani organizačné opatrenia zamerané na riadenie rizík pre bezpečnosť sietí a informačných systémov výrobcu ako celku.
(12) Cloudové riešenia predstavujú riešenia diaľkového spracovania údajov v zmysle tohto nariadenia len vtedy, ak spĺňajú vymedzenie stanovené v tomto nariadení. Napríklad cloudové funkcie poskytované výrobcom inteligentných domácich zariadení, ktoré používateľom umožňujú ovládať zariadenie na diaľku, patria do rozsahu pôsobnosti tohto nariadenia. Na druhej strane webové sídla, ktoré nepodporujú funkčnosť produktu s digitálnymi prvkami, ani cloudové služby navrhnuté a vyvinuté mimo zodpovednosti výrobcu produktu s digitálnymi prvkami nepatria do rozsahu pôsobnosti tohto nariadenia. Smernica (EÚ) 2022/2555 sa vzťahuje na cloudové služby a modely cloudových služieb, ako je softvér ako služba (SaaS), platforma ako služba (PaaS) a infraštruktúra ako služba (IaaS). Subjekty poskytujúce cloudové služby v Únii, ktoré sa považujú za stredné podniky podľa článku 2 prílohy k odporúčaniu Komisie 2003/361/ES alebo prekračujú limity pre stredné podniky stanovené v odseku 1 uvedeného článku, patria do rozsahu pôsobnosti uvedenej smernice.
(13) V súlade s cieľom tohto nariadenia odstrániť prekážky voľného pohybu produktov s digitálnymi prvkami by členské štáty v prípade záležitostí, na ktoré sa vzťahuje toto nariadenie, nemali brániť sprístupneniu produktov s digitálnymi prvkami, ktoré sú v súlade s týmto nariadením, na trhu. Preto členské štáty nemôžu v záležitostiach harmonizovaných týmto nariadením uložiť dodatočné požiadavky kybernetickej bezpečnosti na sprístupnenie produktov s digitálnymi prvkami na trhu. Každý verejný alebo súkromný subjekt však môže stanoviť dodatočné požiadavky k požiadavkám stanoveným v tomto nariadení na obstarávanie alebo používanie produktov s digitálnymi prvkami na ich osobitné účely, a preto sa môže rozhodnúť používať produkty s digitálnymi prvkami, ktoré spĺňajú prísnejšie alebo osobitnejšie požiadavky kybernetickej bezpečnosti, než sú požiadavky uplatniteľné na sprístupňovanie na trhu podľa tohto nariadenia. Bez toho, aby boli dotknuté smernice Európskeho parlamentu a Rady 2014/24/EÚ(8) a 2014/25/EÚ(9), pri obstarávaní produktov s digitálnymi prvkami, ktoré musia spĺňať základné požiadavky stanovené v tomto nariadení vrátane požiadaviek na riešenie zraniteľností, by členské štáty mali zabezpečiť, aby sa takéto požiadavky zohľadnili v procese obstarávania a aby sa zohľadnila aj schopnosť výrobcov účinne uplatňovať opatrenia v oblasti kybernetickej bezpečnosti a riadiť kybernetické hrozby. Okrem toho sa v smernici (EÚ) 2022/2555 stanovujú opatrenia na riadenie kybernetickobezpečnostných rizík pre kľúčové a dôležité subjekty uvedené v článku 3 uvedenej smernice, ktoré by mohli zahŕňať bezpečnostné opatrenia dodávateľského reťazca, ktoré si vyžadujú, aby takéto subjekty používali produkty s digitálnymi prvkami, ktoré spĺňajú prísnejšie požiadavky kybernetickej bezpečnosti, než sú požiadavky stanovené v tomto nariadení. V súlade so smernicou (EÚ) 2022/2555 a jej zásadou minimálnej harmonizácie môžu preto členské štáty uložiť dodatočné požiadavky kybernetickej bezpečnosti na používanie produktov IKT kľúčovými alebo dôležitými subjektmi podľa uvedenej smernice s cieľom zabezpečiť vyššiu úroveň kybernetickej bezpečnosti za predpokladu, že takéto požiadavky sú v súlade s povinnosťami členských štátov stanovenými v práve Únie. Záležitosti, na ktoré sa toto nariadenie nevzťahuje, môžu zahŕňať netechnické faktory týkajúce sa produktov s digitálnymi prvkami a ich výrobcov. Členské štáty preto môžu stanoviť vnútroštátne opatrenia vrátane obmedzení týkajúcich sa produktov s digitálnymi prvkami alebo dodávateľov takýchto produktov, ktoré zohľadňujú netechnické faktory. Vnútroštátne opatrenia týkajúce sa takýchto faktorov musia byť v súlade s právom Únie.
(14) Týmto nariadením by nemala byť dotknutá zodpovednosť členských štátov za ochranu národnej bezpečnosti v súlade s právom Únie. Členské štáty by mali mať možnosť podrobiť produkty s digitálnymi prvkami, ktoré sa používajú na účely národnej bezpečnosti alebo obrany, dodatočným opatreniam za predpokladu, že takéto opatrenia sú v súlade s povinnosťami členských štátov stanovenými v práve Únie.
(15) Toto nariadenie sa vzťahuje na hospodárske subjekty len v súvislosti s produktmi s digitálnymi prvkami, ktoré sú sprístupnené na trhu, a teda dodávanými na distribúciu alebo používanie na trhu Únie v rámci obchodnej činnosti. Dodávanie v rámci obchodnej činnosti môže byť charakterizované nielen účtovaním ceny za produkt s digitálnymi prvkami, ale aj účtovaním ceny za služby technickej podpory, ak nejde len o náhradu skutočných nákladov, so zámerom speňažiť, napríklad poskytnutím softvérovej platformy, prostredníctvom ktorej výrobca speňažuje iné služby, vyžadovaním použitia spracovania osobných údajov ako podmienky z iných dôvodov než výlučne na zlepšenie bezpečnosti, kompatibility alebo interoperability softvéru, alebo prijatím darov presahujúcich náklady spojené s návrhom, vývojom a poskytovaním produktu s digitálnymi prvkami. Prijímanie darov bez úmyslu dosiahnuť zisk by sa nemalo považovať za obchodnú činnosť.
(16) Produkty s digitálnymi prvkami dodávané ako súčasť poskytovanej služby, za ktorú sa účtuje poplatok výlučne na účely úhrady skutočných nákladov priamo súvisiacich s prevádzkou tejto služby, ako je to v prípade určitých produktov s digitálnymi prvkami poskytovaných subjektmi verejnej správy, by sa len na základe týchto dôvodov nemali na účely tohto nariadenia považovať za obchodnú činnosť. Okrem toho produkty s digitálnymi prvkami, ktoré vyvíja alebo upravuje subjekt verejnej správy výlučne na vlastné použitie, by sa nemali považovať za sprístupnené na trhu v zmysle tohto nariadenia.
(17) Softvér a údaje, ktoré sú voľne zdieľané, pričom používatelia môžu k nim alebo k ich upraveným verziám voľne pristupovať, používať ich, upravovať a ďalej rozosielať, môžu prispieť k výskumu a inováciám na trhu. S cieľom podporiť vývoj a zavádzanie slobodného softvéru a softvéru s otvoreným zdrojovým kódom, najmä zo strany mikropodnikov a malých a stredných podnikov vrátane startupov, jednotlivcov, neziskových organizácií a akademických výskumných organizácií, by sa pri uplatňovaní tohto nariadenia na produkty s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom dodávaný na distribúciu alebo na použitie v rámci obchodnej činnosti, mala zohľadniť povaha rôznych modelov vývoja softvéru distribuovaného a vyvinutého s licenciou slobodného softvéru a softvéru s otvoreným zdrojovým kódom.
(18) Slobodný softvér a softvér s otvoreným zdrojovým kódom sa chápe ako softvér, ktorého zdrojový kód je otvorený a licencia naň poskytuje všetky práva na voľný prístup k nemu, jeho používanie, úpravy a redistribúciu. Slobodný softvér a softvér s otvoreným zdrojovým kódom sa vyvíja, udržiava a distribuuje voľne aj prostredníctvom online platforiem. Vo vzťahu k hospodárskym subjektom v rozsahu pôsobnosti tohto nariadenia by do rozsahu pôsobnosti tohto nariadenia mal patriť len slobodný softvér a softvér s otvoreným zdrojovým kódom sprístupnený na trhu, a preto dodávaný na distribúciu alebo používanie v rámci obchodnej činnosti. Samotné okolnosti, za ktorých bol produkt s digitálnymi prvkami vyvinutý, alebo spôsob financovania vývoja by sa preto nemali zohľadňovať pri určovaní toho, či ide o činnosť obchodnej povahy alebo nie. Konkrétne na účely tohto nariadenia a vo vzťahu k hospodárskym subjektom, ktoré patria do jeho rozsahu pôsobnosti, by sa poskytovanie produktov s digitálnymi prvkami považovanými za slobodný softvér a softvér s otvoreným zdrojovým kódom, ktoré ich výrobcovia nespeňažujú, nemalo považovať za obchodnú činnosť, aby sa zabezpečilo jasné rozlíšenie medzi fázou vývoja a fázou dodávky.
Okrem toho by sa dodávka produktov s digitálnymi prvkami považovanými za komponenty slobodného softvéru a softvéru s otvoreným zdrojovým kódom určenými na integráciu inými výrobcami do ich vlastných produktov s digitálnymi prvkami, mala považovať za sprístupnenie na trhu len vtedy, ak pôvodný výrobca tento komponent speňažuje. Napríklad samotná skutočnosť, že softvérový produkt s otvoreným zdrojovým kódom s digitálnymi prvkami má finančnú podporu od výrobcov alebo že výrobcovia prispievajú k vývoju takéhoto produktu, by sama osebe nemala určovať, že ide o činnosť obchodnej povahy. Okrem toho samotné vydávanie pravidelných verzií by samo osebe nemalo viesť k záveru, že produkt s digitálnymi prvkami sa dodáva v rámci obchodnej činnosti. Napokon na účely tohto nariadenia by sa vývoj produktov s digitálnymi prvkami, ktoré neziskové organizácie označujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, nemal považovať za obchodnú činnosť za predpokladu, že organizácia je zriadená tak, aby sa zabezpečilo, že všetky príjmy po odpočítaní nákladov sa použijú na dosiahnutie neziskových cieľov. Toto nariadenie sa nevzťahuje na fyzické alebo právnické osoby, ktoré prispievajú zdrojovým kódom k produktom s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, za ktoré nenesú zodpovednosť.
(19) Vzhľadom na význam mnohých produktov s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, pre kybernetickú bezpečnosť, ktoré sa zverejňujú, ale nesprístupňujú na trhu v zmysle tohto nariadenia, by právnické osoby, ktoré poskytujú trvalú podporu vývoju takýchto produktov určených na obchodné činnosti a ktoré zohrávajú hlavnú úlohu pri zabezpečovaní životaschopnosti týchto produktov (správcovia softvéru s otvoreným zdrojovým kódom), mali podliehať miernemu a individuálne prispôsobenému regulačnému režimu. Medzi správcov softvéru s otvoreným zdrojovým kódom patria určité nadácie, ako aj subjekty, napríklad neziskové subjekty, ktoré vyvíjajú a vydávajú slobodný softvér a softvér s otvoreným zdrojovým kódom v podnikateľskom prostredí. Regulačný režim by mal zohľadňovať ich osobitnú povahu a zlučiteľnosť s druhom uložených povinností. Mal by sa vzťahovať len na produkty s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, ktorý je v konečnom dôsledku určený na obchodné činnosti, napríklad na integráciu do komerčných služieb alebo do speňažovaných produktov s digitálnymi prvkami.
Na účely regulačného režimu zahŕňa zámer integrácie do speňažovaných produktov s digitálnymi prvkami prípady, keď výrobcovia, ktorí komponent integrujú do vlastných produktov s digitálnymi prvkami, buď pravidelne prispievajú k vývoju tohto komponentu, alebo poskytujú pravidelnú finančnú pomoc na zabezpečenie kontinuity softvérového produktu. Poskytovanie trvalej podpory vývoju produktu s digitálnymi prvkami zahŕňa okrem iného hosting a riadenie platforiem spolupráce pri vývoji softvéru, hosting zdrojového kódu alebo softvéru, správu alebo riadenie produktov s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, ako aj riadenie vývoja takýchto produktov. Keďže správcovia softvéru s otvoreným zdrojovým kódom nepodliehajú v rámci regulačného režimu rovnakým povinnostiam ako výrobcovia podľa tohto nariadenia, nemali by mať povolené umiestňovať označenie CE na produkty s digitálnymi prvkami, ktorých vývoj podporujú.
(20) Samotný hosting produktov s digitálnymi prvkami na otvorených úložiskách prostredníctvom správcov balíkov nie je ako taký sprístupňovaním produktu s digitálnymi prvkami na trhu. Poskytovatelia takýchto služieb by sa mali považovať za distribútorov, len ak sprístupňujú takýto softvér na trhu, a teda dodávajú ho na distribúciu alebo používanie na trhu Únie v rámci obchodnej činnosti.
(21) S cieľom podporiť a uľahčiť náležitú starostlivosť výrobcov, ktorí integrujú komponenty slobodného softvéru a softvéru s otvoreným zdrojovým kódom, na ktoré sa nevzťahujú základné požiadavky stanovené v tomto nariadení, do svojich produktov s digitálnymi prvkami by Komisia mala mať možnosť zaviesť programy dobrovoľného osvedčovania bezpečnosti, a to buď delegovaným aktom, ktorým sa doplní toto nariadenie, alebo požiadaním o európsky systém certifikácie kybernetickej bezpečnosti podľa článku 48 nariadenia (EÚ) 2019/881, v ktorom sa zohľadnia osobitosti modelov vývoja slobodného softvéru a softvéru s otvoreným zdrojovým kódom. Programy osvedčovania bezpečnosti by mali byť koncipované tak, aby osvedčenie bezpečnosti mohli iniciovať alebo financovať nielen fyzické alebo právnické osoby, ktoré vyvíjajú alebo prispievajú k vývoju produktu s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, ale aj tretie strany, ako sú výrobcovia, ktorí takéto produkty integrujú do vlastných produktov s digitálnymi prvkami, používatelia alebo orgány verejnej správy Únie a členských štátov.
(22) Vzhľadom na verejné ciele tohto nariadenia v oblasti kybernetickej bezpečnosti a s cieľom zlepšiť situačnú informovanosť členských štátov o závislosti Únie od softvérových komponentov, a najmä od potenciálne slobodných softvérových komponentov a softvérových komponentov s otvoreným zdrojovým kódom, by špecializovaná skupina pre administratívnu spoluprácu (ďalej len „ADCO“) zriadená týmto nariadením mala mať možnosť rozhodnúť o spoločnom posúdení závislosti Únie. Orgány dohľadu nad trhom by mali mať možnosť požiadať výrobcov kategórií produktov s digitálnymi prvkami stanovených skupinou ADCO o predloženie softvérových kusovníkov, ktoré zostavili podľa tohto nariadenia. S cieľom chrániť dôvernosť softvérových kusovníkov by orgány dohľadu nad trhom mali skupine ADCO anonymne a súhrnne predkladať relevantné informácie o závislostiach.
(23) Účinnosť vykonávania tohto nariadenia bude závisieť aj od dostupnosti zodpovedajúcich kybernetickobezpečnostných zručností. Na úrovni Únie sa v rôznych programových a politických dokumentoch vrátane oznámenia Komisie z 18. apríla 2023 s názvom „Riešenie nedostatku odborníkov v oblasti kybernetickej bezpečnosti s cieľom posilniť konkurencieschopnosť, rast a odolnosť EÚ“ a v záveroch Rady z 22. mája 2023 o politike EÚ v oblasti kybernetickej obrany uznal nedostatok zručností v oblasti kybernetickej bezpečnosti v Únii a potreba prioritne riešiť takéto výzvy vo verejnom aj súkromnom sektore. S cieľom zaistiť účinné vykonávanie tohto nariadenia by členské štáty mali zabezpečiť, aby boli k dispozícii primerané zdroje na vhodné personálne obsadenie orgánov dohľadu nad trhom a orgánov posudzovania zhody na vykonávanie ich úloh stanovených v tomto nariadení. Tieto opatrenia by mali posilniť mobilitu pracovnej sily v oblasti kybernetickej bezpečnosti a s nimi súvisiace kariérne možnosti. Mali by tiež prispieť k zvýšeniu odolnosti a inkluzívnosti pracovnej sily v oblasti kybernetickej bezpečnosti, a to aj z hľadiska rodovej rovnosti. Členské štáty by preto mali prijať opatrenia s cieľom zabezpečiť, aby tieto úlohy vykonávali primerane vyškolení odborníci s potrebnými zručnosťami v oblasti kybernetickej bezpečnosti.
Podobne by výrobcovia mali zabezpečiť, aby ich zamestnanci mali potrebné zručnosti na plnenie svojich povinností stanovených v tomto nariadení. Členské štáty a Komisia by v súlade so svojimi výsadami a právomocami a osobitnými úlohami, ktoré im boli zverené týmto nariadením, mali prijať opatrenia na podporu výrobcov, a najmä mikropodnikov a malých a stredných podnikov vrátane startupov, a to aj v oblastiach, ako je rozvoj zručností, na účely plnenia ich povinností stanovených v tomto nariadení. Keďže v smernici (EÚ) 2022/2555 sa od členských štátov vyžaduje, aby v rámci svojich národných stratégií kybernetickej bezpečnosti prijali politiky na podporu a rozvoj odbornej prípravy v oblasti kybernetickej bezpečnosti a zručností v oblasti kybernetickej bezpečnosti, členské štáty môžu okrem toho pri prijímaní takýchto stratégií zvážiť aj riešenie potrieb zručností v oblasti kybernetickej bezpečnosti vyplývajúcich z tohto nariadenia vrátane rekvalifikácie a zvyšovania úrovne zručností.
(24) Pre fungovanie kritickej infraštruktúry a pre spoločnosť ako celok je bezpečný internet nevyhnutný. ▌ Cieľom smernice (EÚ) 2022/2555 je zaistiť vysokú úroveň kybernetickej bezpečnosti služieb poskytovaných kľúčovými a dôležitými subjektmi uvedenými v jej článku 3 vrátane poskytovateľov digitálnej infraštruktúry, ktorí podporujú základné funkcie otvoreného internetu, zabezpečujú prístup na internet a internetové služby. Je preto dôležité, aby sa produkty s digitálnymi prvkami, ktoré potrebujú poskytovatelia digitálnej infraštruktúry na zabezpečenie fungovania internetu, vyvíjali bezpečným spôsobom a aby boli v súlade so zavedenými normami bezpečnosti internetu. Toto nariadenie, ktoré sa uplatňuje na všetky pripojiteľné hardvérové a softvérové produkty, sa takisto zameriava na uľahčenie dodržiavania požiadaviek dodávateľského reťazca podľa ▌ smernice (EÚ) 2022/2555 poskytovateľmi digitálnej infraštruktúry tým, že sa zabezpečí, aby sa produkty s digitálnymi prvkami, ktoré používajú na poskytovanie ich služieb, vyvíjali bezpečne a aby mali prístup k včasným bezpečnostným aktualizáciám takýchto produktov.
(25) V nariadení Európskeho parlamentu a Rady (EÚ) 2017/745(10) sú stanovené pravidlá pre zdravotnícke pomôcky a v nariadení Európskeho parlamentu a Rady (EÚ) 2017/746(11) sú stanovené pravidlá pre diagnostické zdravotnícke pomôcky in vitro. V týchto nariadeniach sa riešia kybernetickobezpečnostné riziká a uplatňujú sa v nich osobitné prístupy, ktorým sa venuje aj v toto nariadenie. Presnejšie sa v nariadeniach (EÚ) 2017/745 a (EÚ) 2017/746 stanovujú základné požiadavky na zdravotnícke pomôcky, ktoré fungujú prostredníctvom elektronického systému alebo ktoré samotné sú softvérom. Uvedené nariadenia sa vzťahujú aj na určitý nezabudovaný softvér a zohľadňovanie celoživotného cyklu. Tieto požiadavky ukladajú výrobcom povinnosť vyvíjať a konštruovať produkty pri uplatnení zásad manažérstva rizika a so stanovením požiadaviek, ktoré sa týkajú bezpečnostných opatrení IT a zodpovedajú postupom posudzovania zhody. Okrem toho je od decembra 2019 zavedené osobitné usmernenie ku kybernetickej bezpečnosti zdravotníckych pomôcok, ktorým sa výrobcom zdravotníckych pomôcok vrátane diagnostických pomôcok in vitro poskytuje usmernenie k tomu, ako splniť všetky príslušné základné kybernetickobezpečnostné požiadavky prílohy I k uvedeným nariadeniam. Produkty s digitálnymi prvkami, na ktoré sa uplatňuje jedno z uvedených nariadení, by preto nemali podliehať tomuto nariadeniu.
(26) Produkty s digitálnymi prvkami vyvinuté alebo upravené výlučne na účely národnej bezpečnosti alebo na obranné účely, prípadne produkty špecificky navrhnuté na spracovanie utajovaných skutočností nepatria do rozsahu pôsobnosti tohto nariadenia. Členské štáty sa vyzývajú, aby zabezpečili rovnakú alebo vyššiu úroveň ochrany týchto produktov v porovnaní s produktmi, ktoré patria do rozsahu pôsobnosti tohto nariadenia.
(27) V nariadení Európskeho parlamentu a Rady (EÚ) 2019/2144(12) sa stanovujú požiadavky na typové schvaľovanie vozidiel a ich systémov a komponentov, pričom sa zavádzajú určité požiadavky kybernetickej bezpečnosti vrátane požiadaviek na prevádzku certifikovaného systému riadenia kybernetickej bezpečnosti a na aktualizácie softvéru, ktoré sa vzťahujú na politiky a procesy organizácií v oblasti kybernetických rizík počas celého životného cyklu vozidiel, zariadení a služieb v súlade s uplatniteľnými predpismi Organizácie Spojených národov o technických špecifikáciách a kybernetickej bezpečnosti, najmä predpisom OSN č. 155 – Jednotné ustanovenia na účely typového schvaľovania vozidiel vzhľadom na kybernetickú bezpečnosť a systém riadenia kybernetickej bezpečnosti a stanovujú sa osobitné postupy posudzovania zhody.
V oblasti letectva je hlavným cieľom nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139(13) dosiahnutie a udržanie vysokej a jednotnej úrovne bezpečnosti civilného letectva v Únii. Vytvára sa ním rámec pre základné požiadavky letovej spôsobilosti výrobkov, súčastí a zariadení vrátane softvéru leteckej techniky, ktorý zahŕňa povinnosti ochrany pred ohrozením bezpečnosti informácií. Postupom certifikácie podľa nariadenia (EÚ) 2018/1139 sa zaisťuje úroveň zabezpečenia, ktorá je cieľom tohto nariadenia. Produkty s digitálnymi prvkami, na ktoré sa uplatňuje nariadenie (EÚ) 2019/2144 a produkty certifikované v súlade s nariadením (EÚ) 2018/1139 preto nepodliehajú základným požiadavkám a postupom posudzovania zhody stanoveným v tomto nariadení.
(28) Týmto nariadením sa stanovujú horizontálne pravidlá kybernetickej bezpečnosti, ktoré nie sú špecifické pre jednotlivé odvetvia alebo určité produkty s digitálnymi prvkami. Mohli by sa však zaviesť špecifické pravidlá Únie pre dané odvetvie alebo produkt a v nich by sa stanovili požiadavky na riešenie všetkých alebo niektorých rizík, na ktoré sa vzťahujú základné požiadavky stanovené v tomto nariadení. V takýchto prípadoch možno uplatňovanie tohto nariadenia na produkty s digitálnymi prvkami upravených v iných pravidlách Únie, ktorými sa stanovujú požiadavky na riešenie všetkých alebo niektorých rizík, ktorých sa týkajú základné požiadavky stanovené v tomto nariadení, obmedziť alebo vylúčiť, ak sa takéto obmedzenie alebo vylúčenie zhoduje s celkovým regulačným rámcom uplatňovaným na tieto produkty a ak sa odvetvovými pravidlami dosiahne aspoň rovnaká úroveň ochrany ako úroveň stanovená týmto nariadením. Komisia je splnomocnená prijímať delegované akty s cieľom doplniť toto nariadenie identifikovaním takýchto produktov a pravidiel. V prípade právnych predpisov Únie, na ktoré by sa mali takéto obmedzenia alebo vylúčenia uplatniť, obsahuje toto nariadenie osobitné ustanovenia na objasnenie jeho vzťahu k uvedeným právnym predpisom Únie.
(29) S cieľom zabezpečiť možnosť účinnej opravy produktov s digitálnymi prvkami sprístupnených na trhu a predĺženie ich životnosti by sa mala udeliť výnimka pre náhradné diely. Táto výnimka by mala platiť pre náhradné diely, ktorých účelom je oprava pôvodných produktov sprístupnených pred dátumom začatia uplatňovania tohto nariadenia, ako aj pre náhradné diely, ktoré už prešli postupom posudzovania zhody podľa tohto nariadenia.
(30) V delegovanom nariadení Komisie (EÚ) 2022/30(14) sa stanovuje, že niekoľko základných požiadaviek stanovených v článku 3 ods. 3 písm. d), e) a f) smernice Európskeho parlamentu a Rady 2014/53/EÚ(15), ktoré sa týkajú poškodenia siete a zneužitia sieťových zdrojov, osobných údajov a súkromia a podvodov, sa uplatňuje na rádiové zariadenia. Vo vykonávacom rozhodnutí Komisie 5637/2022 o mandáte na tvorbu normy pre európske normalizačné organizácie(16) sa stanovujú požiadavky na vypracovanie konkrétnych noriem s ďalším špecifikovaním spôsobu, akým by sa tieto tri základné požiadavky mali riešiť. Základné požiadavky stanovené v tomto nariadení obsahujú všetky prvky základných požiadaviek uvedených v článku 3 ods. 3 písm. d), e) a f) smernice 2014/53/EÚ. Okrem toho sú základné požiadavky stanovené v tomto nariadení zosúladené s cieľmi požiadaviek na konkrétne normy, ktoré obsahuje uvedený mandát na tvorbu normy. Ak teda Komisia zruší alebo zmení delegované nariadenie (EÚ) 2022/30 s tým dôsledkom, že sa prestane uplatňovať na určité produkty, na ktoré sa vzťahuje toto nariadenie, Komisia a európske normalizačné organizácie by mali pri príprave a vypracúvaní harmonizovaných noriem na uľahčenie vykonávania tohto nariadenia zohľadniť normalizačnú prácu vykonanú v súvislosti s vykonávacím rozhodnutím Komisie C(2022) 5637 o mandáte na tvorbu normy týkajúcom sa delegovaného nariadenia 2022/30, ktorým sa dopĺňa smernica o rádiových zariadeniach. Počas prechodného obdobia tohto nariadenia by Komisia mala poskytnúť usmernenia výrobcom, na ktorých sa vzťahuje toto nariadenie a na ktorých sa vzťahuje aj delegované nariadenie (EÚ) 2022/30, s cieľom uľahčiť preukazovanie súladu s týmito dvoma nariadeniami.
(31) Toto nariadenie dopĺňa smernica Rady 85/374/EHS(17). Uvedenou smernicou sa stanovujú pravidlá zodpovednosti za chybné výrobky, aby poškodené osoby mohli uplatniť nárok na náhradu, keď im škodu spôsobili chybné výrobky. Ustanovuje zásadu, že výrobca zodpovedá za škody spôsobené nedostatočnou bezpečnosťou svojho produktu bez ohľadu na chybu (objektívna zodpovednosť). Ak sú príčinou nedostatočnej bezpečnosti nedostatočné bezpečnostné aktualizácie po uvedení produktu na trh a tie spôsobia škodu, môže sa uplatniť zodpovednosť výrobcu. Povinnosti výrobcu, ktoré sa týkajú poskytovania bezpečnostných aktualizácií, by sa mali stanoviť v tomto nariadení.
(32) Týmto nariadením by nemalo byť dotknuté nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679(18), a to ani ustanovenia týkajúce sa zavedenia mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov na účely preukazovania súladu spracovateľských operácií vykonávaných prevádzkovateľmi a sprostredkovateľmi s uvedeným nariadením. Tieto operácie by mohli byť začlenené do produktu s digitálnymi prvkami. Špecificky navrhnutá a štandardná ochrana údajov a kybernetická bezpečnosť vo všeobecnosti sú kľúčovými prvkami nariadenia (EÚ) 2016/679. Základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení majú ochranou spotrebiteľov a organizácií pred kybernetickobezpečnostnými rizikami prispieť aj k zvýšeniu ochrany osobných údajov a súkromia jednotlivcov. Mala by sa zvážiť synergia aspektov normalizácie, ako aj certifikácie kybernetickej bezpečnosti prostredníctvom spolupráce medzi Komisiou, európskymi normalizačnými organizáciami, Agentúrou Európskej únie pre kybernetickú bezpečnosť (ENISA), Európskym výborom pre ochranu údajov, ktorý bol zriadený nariadením (EÚ) 2016/679, a národnými dozornými orgánmi pre ochranu údajov. Vzniknúť by mala synergia aj medzi týmto nariadením a právnymi predpismi Únie o ochrane údajov v oblasti dohľadu nad trhom a presadzovania práva.
Na tento účel by národné orgány dohľadu nad trhom ustanovené podľa tohto nariadenia mali spolupracovať s orgánmi, ktoré vykonávajú dohľad nad právom Únie v oblasti ochrany údajov. Tie by mali mať prístup aj k informáciám, ktoré sú dôležité pre plnenie ich úloh.
(33) Poskytovatelia európskych peňaženiek digitálnej identity uvedení v článku 7 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014(19) by v rozsahu, v akom ich produkty patria do rozsahu pôsobnosti tohto nariadenia, mali spĺňať základné horizontálne požiadavky stanovené v tomto nariadení, ako aj osobitné bezpečnostné požiadavky stanovené v článku 8 nariadenia (EÚ) č. 910/2014. V záujme uľahčenia dodržiavania predpisov by poskytovatelia peňaženiek mali byť schopní preukázať súlad európskych peňaženiek digitálnej identity s požiadavkami stanovenými v tomto nariadení a v nariadení (EÚ) č. 910/2014 certifikáciou svojich produktov v rámci európskeho systému certifikácie kybernetickej bezpečnosti zavedeného podľa nariadenia (EÚ) 2019/881, pre ktorý Komisia prostredníctvom delegovaného aktu špecifikovala predpoklad zhody s týmto nariadením, pokiaľ sa certifikát alebo jeho časti vzťahujú na uvedené požiadavky.
(34) Pri integrácii komponentov získaných od tretích strán do produktov s digitálnymi prvkami vo fáze návrhu a vývoja by výrobcovia s cieľom zabezpečiť, aby sa produkty navrhovali, vyvíjali a vyrábali v súlade so základnými požiadavkami stanovenými v tomto nariadení, mali uplatňovať náležitú starostlivosť, pokiaľ ide o tieto komponenty vrátane komponentov so slobodným softvérom a softvérom s otvoreným zdrojovým kódom, ktoré neboli sprístupnené na trhu. Primeraná úroveň náležitej starostlivosti závisí od povahy a úrovne kybernetickobezpečnostného rizika spojeného s daným komponentom a na tento účel by mala zahŕňať jedno alebo viaceré z týchto opatrení: podľa potreby overenie, či výrobca komponentu preukázal zhodu s týmto nariadením, a to aj kontrolou toho, či komponent už má označenie CE; overenie, či je komponent pravidelne aktualizovaný na účely bezpečnosti, napríklad kontrolou histórie jeho bezpečnostných aktualizácií; overenie, či komponent neobsahuje zraniteľnosti zaznamenané v európskej databáze zraniteľností zriadenej podľa článku 12 ods. 2 smernice (EÚ) 2022/2555 alebo v iných verejne prístupných databázach zraniteľností; alebo vykonanie dodatočných bezpečnostných testov.
Povinnosti riešiť zraniteľnosti stanovené v tomto nariadení, ktoré sú výrobcovia povinní dodržiavať pri uvádzaní produktu s digitálnymi prvkami na trh a počas obdobia podpory, sa vzťahujú na produkty s digitálnymi prvkami v ich celistvosti, ako aj na všetky integrované komponenty. Ak pri vykonávaní náležitej starostlivosti výrobca produktu s digitálnymi prvkami zistí zraniteľnosť komponentu, a to aj komponente, ktorý obsahuje slobodný softvér a softvér s otvoreným zdrojovým kódom, mal by informovať osobu alebo subjekt, ktorý komponent vyrába alebo poskytuje jeho údržbu, riešiť a napraviť zraniteľnosť a prípadne poskytnúť tejto osobe alebo subjektu používanú bezpečnostnú nápravu.
(35) Ihneď po prechodnom období na uplatňovanie tohto nariadenia výrobca produktu s digitálnymi prvkami, ktorý integruje jeden alebo viacero komponentov od tretích strán, na ktoré sa takisto vzťahuje toto nariadenie, nemusí byť schopný v rámci svojej povinnosti náležitej starostlivosti overiť, či výrobcovia týchto komponentov preukázali zhodu s týmto nariadením, napríklad overením toho, či tieto komponenty už majú označenie CE. Môže ísť o prípad, keď komponenty boli integrované skôr, ako sa toto nariadenie začne uplatňovať na výrobcov týchto komponentov. V tom prípade by mal výrobca, ktorý takéto komponenty integruje, uplatňovať náležitú starostlivosť inými prostriedkami.
(36) Produkty s digitálnymi prvkami by mali niesť označenie CE, ktorým sa viditeľne, čitateľne a nezmazateľne preukazuje zhoda s týmto nariadením, aby im bol umožnený voľný pohyb v rámci vnútorného trhu. Členské štáty by nemali vytvárať neodôvodnené prekážky uvedeniu produktov s digitálnymi prvkami, ktoré spĺňajú požiadavky stanovené v tomto nariadení a majú označenie CE, na trh. Okrem toho by členské štáty na obchodných veľtrhoch, výstavách a predvádzaniach alebo podobných podujatiach nemali brániť ukážkam alebo používaniu produktu s digitálnymi prvkami, ktorý nie je v súlade s týmto nariadením, vrátane jeho prototypov, za predpokladu, že je prezentovaný s viditeľným označením, ktoré jasne uvádza, že produkt nie je v súlade s týmto nariadením a že pokiaľ nebude v súlade s týmto nariadením, nesmie sa sprístupňovať na trhu.
(37) S cieľom zabezpečiť, aby výrobcovia mohli uvoľňovať softvér na účely testovania pred podrobením svojich produktov posudzovaniu zhody, by členské štáty nemali brániť sprístupneniu nedokončeného softvéru, ako sú alfa verzie, beta verzie alebo kandidáti na finálnu verziu, pokiaľ sa nedokončený softvér sprístupňuje iba na čas potrebný na jeho testovanie a získanie spätnej väzby. Výrobcovia by mali zabezpečiť, aby sa softvér sprístupnený podľa týchto podmienok uvoľnil iba po posúdení rizika a aby v najväčšej možnej miere spĺňal požiadavky bezpečnosti týkajúce sa vlastností produktov s digitálnymi prvkami, ktoré stanovuje toto nariadenie. Výrobcovia by takisto mali v najväčšej možnej miere spĺňať požiadavky na riešenia zraniteľností. Výrobcovia by nemali nútiť používateľov, aby prešli na vyššie verzie uvoľnené iba na účely testovania.
(38) V záujme zabezpečenia toho, aby produkty s digitálnymi prvkami uvedené na trh nepredstavovali pre osoby a organizácie kybernetickobezpečnostné riziká, mali by sa pre takéto produkty stanoviť základné požiadavky. Tieto základné požiadavky vrátane požiadaviek na riadenie zraniteľnosti sa uplatňujú na každý jednotlivý produkt s digitálnymi prvkami pri jeho uvedení na trh bez ohľadu na to, či sa produkt s digitálnymi prvkami vyrába ako samostatná jednotka alebo v sérii. Napríklad v prípade typu produktu by každý jednotlivý produkt s digitálnymi prvkami mal mať všetky dostupné bezpečnostné opravy alebo aktualizácie na riešenie relevantných bezpečnostných problémov pri uvedení na trh.Ak sa produkty s digitálnymi prvkami následne fyzicky alebo digitálne upravia spôsobom, s ktorým výrobca pri prvom posúdení rizika nepočítal a z ktorého môže vyplynúť, že už nespĺňajú príslušné základné požiadavky, táto úprava by sa mala považovať za podstatnú. Napríklad ▌ opravy softvéru by sa mohli klásť na rovnakú úroveň ako činnosti údržby za predpokladu, že by sa nimi produkt s digitálnymi prvkami, ktorý už bol uvedený na trh, neupravil takým spôsobom, ktorý by mohol ovplyvniť spĺňanie uplatniteľných požiadaviek alebo ktorým by sa mohlo zmeniť zamýšľaný účel, na ktoré sa produkt posudzoval. ▌
(39) Rovnako ako v prípade fyzických opráv alebo úprav by sa produkt s digitálnymi prvkami mal považovať za podstatne zmenený zmenou softvéru, ak sa aktualizáciou softvéru mení zamýšľaný účel daného produktu a tieto zmeny výrobca nepredpokladal v počiatočnom posúdení rizika, alebo ak sa povaha nebezpečenstva zmenila alebo sa zvýšila úroveň kybernetickobezpečnostného rizika v dôsledku aktualizácie softvéru a aktualizovaná verzia produktu sa sprístupňuje na trhu. Ak bezpečnostné aktualizácie, ktoré sú navrhnuté na zníženie úrovne kybernetickobezpečnostného rizika produktu s digitálnymi prvkami, nemenia zamýšľaný účel produktu s digitálnymi prvkami, nepovažujú sa za podstatnú zmenu. Zvyčajne to zahŕňa situácie, keď si bezpečnostné aktualizácie vyžadujú len malé úpravy zdrojového kódu. Mohlo by ísť napríklad o prípad, keď bezpečnostná aktualizácia rieši známu zraniteľnosť, a to aj úpravou funkcií alebo výkonnosti produktu s digitálnymi prvkami výlučne s cieľom znížiť úroveň kybernetickobezpečnostného rizika. Podobne menšie aktualizácie funkcií, ako sú vizuálne zlepšenia, pridanie nových jazykov do používateľského rozhrania alebo nový súbor piktogramov, by sa vo všeobecnosti nemali považovať za podstatné úpravy.
Naopak ak aktualizácie funkcií menia pôvodné zamýšľané funkcie alebo typ, prípadne výkonnosť produktu s digitálnymi prvkami a spĺňajú tieto kritériá, mali by sa považovať za podstatnú zmenu, keďže pridanie nových prvkov zvyčajne vedie k širšej ploche útoku, čím sa kybernetickobezpečnostné riziko zvyšuje. Mohlo by ísť napríklad o prípad, keď sa do aplikácie pridá nový vstupný prvok, ktorý od výrobcu vyžaduje, aby zabezpečil primeranú validáciu vstupov. Pri posudzovaní toho, či sa aktualizácia prvku považuje za podstatnú zmenu, nie je relevantné, či sa poskytuje ako samostatná aktualizácia alebo v kombinácii s bezpečnostnou aktualizáciou. Komisia by mala vydať usmernenia o tom, ako určiť, čo predstavuje podstatnú zmenu.
(40) Vzhľadom na cyklický charakter vývoja softvéru by výrobcovia, ktorí uviedli na trh nové verzie softvérového produktu v dôsledku následných podstatných úprav tohto produktu, mali mať možnosť poskytovať bezpečnostné aktualizácie počas obdobia podpory len pre verziu softvérového produktu, ktorú uviedli na trh naposledy. Mali by mať možnosť tak urobiť, len ak používatelia príslušných predchádzajúcich verzií produktu majú bezplatný prístup k verzii, ktorá bola naposledy uvedená na trh, a nevznikajú im dodatočné náklady na prispôsobenie hardvérového a softvérového prostredia, v ktorom produkt prevádzkujú. Mohlo by ísť napríklad o prípad, keď si modernizácia operačného systému pre stolové počítače nevyžaduje nový hardvér, napríklad rýchlejší centrálny procesor alebo väčšiu pamäť. Výrobca by však mal počas obdobia podpory naďalej spĺňať ďalšie požiadavky na riešenie zraniteľností, ako je politika koordinovaného zverejňovania zraniteľností alebo opatrenia na uľahčenie výmeny informácií o potenciálnych zraniteľnostiach pre všetky následné podstatne zmenené verzie softvérového produktu uvedeného na trh.
Výrobcovia by mali mať možnosť poskytovať menšie bezpečnostné alebo funkčné aktualizácie, ktoré nepredstavujú podstatnú zmenu, len pre poslednú verziu alebo čiastkovú verziu softvérového produktu, ktorý nebol podstatne zmenený. Ak zároveň hardvérový produkt, napríklad smartfón, nie je kompatibilný s najnovšou verziou operačného systému, s ktorým bol pôvodne dodaný, výrobca by mal naďalej poskytovať bezpečnostné aktualizácie aspoň pre poslednú kompatibilnú verziu operačného systému počas obdobia podpory.
(41) V súlade so všeobecne zaužívaným pojmom podstatnej úpravy pri produktoch regulovaných v rámci harmonizačných právnych predpisov Únie je vždy, keď dôjde k podstatnej úprave, ktorá môže ovplyvniť súlad produktu s digitálnymi prvkami s týmto nariadením, alebo keď sa zmení zamýšľaný účel tohto produktu, vhodné overiť súlad produktu s digitálnymi prvkami s predpismi a prípadne ho podrobiť novému posúdeniu zhody. V prípade, keď sa výrobca rozhodne vykonať posúdenie zhody s účasťou tretej strany, tejto tretej strane by sa mali oznámiť zmeny, ktoré by mohli viesť k podstatným úpravám.
(42) „Renovácia“, „údržba“ a „oprava“ produktu s digitálnymi prvkami v zmysle vymedzenia v článku 2, bodoch (18), (19) a (20) nariadenia (EÚ) .../... Európskeho parlamentu a Rady(20) [nariadenie o ekodizajne], nemusia nevyhnutne viesť k podstatnej úprave produktu, napríklad ak sa zamýšľaný účel a funkcie nezmenia a neovplyvnená zostane aj úroveň rizika. Modernizácia produktu s digitálnymi prvkami výrobcom by mohla viesť k zmenám v návrhu a vývoji produktu, a teda by mohla ovplyvniť zamýšľaný účel a súlad produktu s digitálnymi prvkami s požiadavkami stanovenými v tomto nariadení.
(43) Produkty s digitálnymi prvkami by sa mali považovať za dôležité, ak môže byť nepriaznivý účinok zneužitia potenciálnych zraniteľností produktu závažný okrem iného z dôvodu funkcie súvisiacej s kybernetickou bezpečnosťou alebo funkcie, ktorá predstavuje významné riziko nepriaznivých účinkov z hľadiska jeho intenzity a schopnosti narušiť, ovládať alebo spôsobiť poškodenie veľkého počtu iných produktov s digitálnymi prvkami alebo zdravia, bezpečnosti alebo ochrany jeho používateľov pri priamej manipulácii, ako je funkcia centrálneho systému vrátane riadenia siete, kontroly konfigurácie, virtualizácie alebo spracovania osobných údajov. Zraniteľnosti produktov s digitálnymi prvkami, ktoré majú funkciu súvisiacu s kybernetickou bezpečnosťou, napríklad správcovia spúšťania, môžu viesť k šíreniu bezpečnostných problémov v celom dodávateľskom reťazci. Závažnosť dosahu incidentu sa môže zvýšiť aj vtedy, keď produkt vykonáva funkciu centrálneho systému vrátane správy siete, kontroly konfigurácie, virtualizácie alebo spracovania osobných údajov.
(44) Určité kategórie produktov s digitálnymi prvkami by mali podliehať prísnejším postupom posudzovania zhody pri súčasnom zachovaní primeraného prístupu. Na tento účel by sa mali dôležité produkty s digitálnymi prvkami rozdeliť do dvoch tried podľa úrovne kybernetickobezpečnostného rizika spojeného s týmito kategóriami produktov. Incident zahŕňajúci dôležité produkty s digitálnymi prvkami, ktoré patria do triedy II, by mohol viesť k väčším nepriaznivým účinkom ako incident zahŕňajúci dôležité produkty s digitálnymi prvkami, ktoré patria do triedy I, napríklad z dôvodu povahy ich funkcie súvisiacej s kybernetickou bezpečnosťou alebo výkonu inej funkcie, ktorá so sebou prináša významné riziko nepriaznivých účinkov. So zreteľom na takéto významnejšie nepriaznivé účinky by produkty s digitálnymi prvkami, ktoré patria do triedy II mohli plniť funkciu súvisiacu s kybernetickou bezpečnosťou alebo inú funkciu, ktorá so sebou prináša významné riziko nepriaznivých účinkov, ktoré je vyššie ako v prípade produktov patriacich do triedy I, alebo by mohli spĺňať obe uvedené kritériá. Dôležité produkty s digitálnymi prvkami, ktoré patria do triedy II, by preto mali podliehať prísnejšiemu postupu posudzovania zhody.
(45) Dôležité produkty s digitálnymi prvkami uvedené v tomto nariadení by sa mali chápať ako produkty, ktoré majú základnú funkciu kategórie dôležitých produktov s digitálnymi prvkami, ktorá je stanovená v tomto nariadení. V tomto nariadení sa napríklad stanovujú kategórie dôležitých produktov s digitálnymi prvkami, ktoré sú podľa ich základnej funkcie vymedzené ako firewally alebo systémy detekcie alebo prevencie narušení v triede II. Preto sú firewally a systémy detekcie alebo prevencie narušení predmetom povinného posudzovania zhody treťou stranou. Neplatí to v prípade iných produktov s digitálnymi prvkami, ktoré nie sú kategorizované ako dôležité produkty s digitálnymi prvkami, ktoré môžu zahŕňať firewally alebo systémy detekcie alebo prevencie narušení. Komisia by mala prijať vykonávací akt s cieľom spresniť technický opis kategórií dôležitých produktov s digitálnymi prvkami, ktoré patria do tried I a II, ako sa stanovuje v tomto nariadení.
(46) Kategórie kritických produktov s digitálnymi prvkami stanovené v tomto nariadení majú funkciu súvisiacu s kybernetickou bezpečnosťou a vykonávajú funkciu, ktorá nesie významné riziko nepriaznivých účinkov, pokiaľ ide o ich intenzitu a schopnosť narušiť, ovládať alebo poškodiť veľký počet iných produktov s digitálnymi prvkami prostredníctvom priamej manipulácie. Okrem toho sa tieto kategórie produktov považujú za kritické závislosti pre kľúčové subjekty uvedené v článku 3 ods. 1 smernice (EÚ) 2022/2555. Kategórie kritických produktov s digitálnymi prvkami uvedené v prílohe k tomuto nariadeniu vzhľadom na svoju kritickosť už vo veľkej miere využívajú rôzne formy certifikácie a vzťahuje sa na ne aj európsky systém certifikácie kybernetickej bezpečnosti založený na spoločných kritériách stanovený vo [vykonávacom nariadení Komisie (EÚ) č. /... z ... o európskom systéme certifikácie kybernetickej bezpečnosti založenom na spoločných kritériách(21)] (EUCC). S cieľom zabezpečiť spoločnú primeranú ochranu kybernetickej bezpečnosti kritických produktov s digitálnymi prvkami v Únii by preto mohlo byť vhodné a primerané, aby sa takéto kategórie produktov prostredníctvom delegovaného aktu podrobili povinnej európskej certifikácii kybernetickej bezpečnosti, ak už existuje príslušný európsky systém certifikácie kybernetickej bezpečnosti, ktorý sa na tieto produkty vzťahuje, a Komisia vykonala posúdenie potenciálneho vplyvu plánovanej povinnej certifikácie na trh.
V tomto posúdení by sa mala zohľadniť strana ponuky aj dopytu vrátane toho, či existuje dostatočný dopyt po dotknutých produktoch s digitálnymi prvkami z členských štátov aj používateľov na to, aby sa vyžadovala európska certifikácia kybernetickej bezpečnosti, ako aj účely, na ktoré sa majú produkty s digitálnymi prvkami používať, ako sú kritické závislosti kľúčových subjektov uvedené v článku 3 ods. 1 smernice (EÚ) 2022/2555. V posúdení by sa mali analyzovať aj potenciálne účinky povinnej certifikácie na dostupnosť týchto produktov na vnútornom trhu a schopnosti a pripravenosť členských štátov vykonávať príslušné európske systémy certifikácie kybernetickej bezpečnosti.
(47) V delegovaných aktoch vyžadujúcich povinnú európsku certifikáciu kybernetickej bezpečnosti by sa mali určiť produkty s digitálnymi prvkami, ktoré majú základnú funkciu kategórie kritických produktov s digitálnymi prvkami podľa tohto nariadenia a ktoré majú podliehať povinnej certifikácii, ako aj požadovaná úroveň dôveryhodnosti, ktorá by mala byť aspoň „podstatná“. Požadovaný stupeň dôveryhodnosti by mal byť primeraný úrovni kybernetickobezpečnostného rizika spojeného s produktom s digitálnymi prvkami. Ak má napríklad produkt s digitálnymi prvkami základnú funkciu kategórie kritických produktov s digitálnymi prvkami podľa tohto nariadenia a je určený na použitie v citlivom alebo kritickom prostredí, ako sú produkty určené na používanie kľúčovými subjektmi uvedenými v článku 3 ods. 1 smernice (EÚ) 2022/2555, môže sa vyžadovať najvyššia úroveň zabezpečenia.
(48) S cieľom zabezpečiť v Únii spoločnú primeranú kybernetickobezpečnostnú ochranu produktov s digitálnymi prvkami, ktoré majú základnú funkciu kategórie kritických produktov s digitálnymi prvkami podľa tohto nariadenia, Komisia by mala byť splnomocnená prijímať delegované akty s cieľom zmeniť toto nariadenie doplnením alebo zrušením kategórií kritických produktov s digitálnymi prvkami, v prípade ktorých by sa od výrobcov mohlo vyžadovať, aby získali európsky certifikát kybernetickej bezpečnosti v rámci európskeho systému certifikácie kybernetickej bezpečnosti podľa nariadenia (EÚ) 2019/881 na preukázanie súladu s týmto nariadením. Do týchto kategórií sa môže doplniť nová kategória kritických produktov s digitálnymi prvkami, ak kľúčové subjekty uvedené v článku 3 ods. 1 smernice (EÚ) 2022/2555 od nej kriticky závisia, alebo ak sú ovplyvnené incidentmi alebo obsahujú zneužívané zraniteľné miesta, čo môže viesť k narušeniam kritických dodávateľských reťazcov. Pri posudzovaní potreby doplniť alebo zrušiť kategórie kritických produktov s digitálnymi prvkami prostredníctvom delegovaného aktu by Komisia mala mať možnosť zohľadniť, či členské štáty na vnútroštátnej úrovni identifikovali produkty s digitálnymi prvkami, ktoré zohrávajú kľúčovú úlohu z hľadiska odolnosti kľúčových subjektov uvedených v článku 3 ods. 1 smernice (EÚ) 2022/2555 a ktoré čoraz viac čelia kybernetickým útokom v dodávateľskom reťazci s možnými vážnymi rušivými účinkami.
Komisia by okrem toho mala byť schopná zohľadniť výsledok koordinovaného posúdenia bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie, ktoré sa vykonáva v súlade s článkom 22 smernice (EÚ) 2022/2555.
(49) Pri príprave opatrení na vykonávanie tohto nariadenia by Komisia mala zabezpečiť štruktúrované a pravidelné konzultácie so širokou škálou príslušných zainteresovaných strán. Malo by to tak byť najmä v prípade, keď Komisia usúdi, že sú potrebné potenciálne aktualizácie zoznamov kategórií dôležitých alebo kritických produktov s digitálnymi prvkami, keď by sa s malo konzultovať príslušnými výrobcami a mali by sa zohľadniť ich názory s cieľom analyzovať kybernetickobezpečnostné riziká, ako aj vyváženosť nákladov a prínosov označenia takýchto kategórií produktov za dôležité alebo kritické.
(50) V tomto nariadení sa riešia kybernetickobezpečnostné riziká cieleným spôsobom. Produkty s digitálnymi prvkami by však mohli predstavovať ďalšie bezpečnostné riziká, ktoré vždy nesúvisia s kybernetickou bezpečnosťou, ale môžu byť dôsledkom narušenia bezpečnosti. Tieto riziká by mali byť naďalej regulované inými príslušnými harmonizačnými právnymi predpismi Únie, než je toto nariadenie. Ak sa neuplatňujú žiadne iné harmonizačné právne predpisy Únie, než je toto nariadenie, malo by sa uplatňovať nariadenie Európskeho parlamentu a Rady (EÚ) 2023/988(22).Preto vzhľadom na cielenú povahu tohto nariadenia by sa odchylne od článku 2 ods. 1 tretieho pododseku písm. b) nariadenia (EÚ) 2023/988 mala kapitola III oddiel 1, kapitoly V a VII a kapitoly IX až XI nariadenia (EÚ) 2023/988 uplatňovať na produkty s digitálnymi prvkami, pokiaľ ide o bezpečnostné riziká, na ktoré sa nevzťahuje toto nariadenie, ak sa na tieto produkty nevzťahujú osobitné požiadavky uložené inými harmonizačnými právnymi predpismi Únie, než je toto nariadenie, v zmysle ▌ článku 3 bodu (27) nariadenia (EÚ) 2023/988.
(51) Produkty s digitálnymi prvkami klasifikované ako vysokorizikové systémy umelej inteligencie podľa [článku 6] nariadenia (EÚ) .../... Európskeho parlamentu a Rady(23) [nariadenie o umelej inteligencii], ktoré patria do rozsahu pôsobnosti tohto nariadenia, by mali vyhovovať základným požiadavkám stanoveným v tomto nariadení. Keď tieto vysokorizikové systémy umelej inteligencie spĺňajú základné požiadavky tohto nariadenia, mali by sa považovať za systémy, ktoré spĺňajú požiadavky kybernetickej bezpečnosti stanovené v článku [článok 15] nariadenia ... [nariadenie o umelej inteligencii], pokiaľ sa na tieto požiadavky vzťahuje EÚ vyhlásenie o zhode alebo jeho časti vydané podľa tohto nariadenia. Na tento účel by posúdenie kybernetickobezpečnostných rizík spojených s produktom s digitálnymi prvkami klasifikovaným ako vysokorizikový systém umelej inteligencie podľa nariadenia ... [nariadenie o umelej inteligencii], ktoré sa majú zohľadniť vo fáze plánovania, navrhovania, vývoja, výroby, dodávky a údržby takéhoto produktu, ako sa vyžaduje podľa tohto nariadenia, malo zohľadňovať riziká pre kybernetickú odolnosť systému umelej inteligencie, pokiaľ ide o pokusy neoprávnených tretích strán zmeniť jeho používanie, správanie alebo výkonnosť vrátane zraniteľností súvisiacich s umelou inteligenciou, ako sú otravy údajov alebo nepriateľské útoky, ako aj relevantné riziká pre základné práva v súlade s nariadením ... [nariadenie o umelej inteligencii]. Pokiaľ ide o postupy posudzovania zhody týkajúce sa základných požiadaviek kybernetickej bezpečnosti produktu s digitálnymi prvkami, ktorý spadá do rozsahu pôsobnosti tohto nariadenia a ktorý je klasifikovaný ako vysokorizikový systém umelej inteligencie, namiesto príslušných ustanovení tohto nariadenia by sa mali spravidla uplatňovať príslušné ustanovenia [článku 43] nariadenia [nariadenie o umelej inteligencii]. Toto pravidlo by však nemalo viesť k zníženiu potrebného stupňa dôveryhodnosti pre dôležité a kritické produkty s digitálnymi prvkami, ako sú uvedené v tomto nariadení. Odchylne od tohto pravidla by preto vysokorizikové systémy umelej inteligencie, ktoré patria do rozsahu pôsobnosti nariadenia [nariadenie o umelej inteligencii] a zároveň sú tiež dôležitými a kritickými produktmi s digitálnymi prvkami, ako sú uvedené v tomto nariadení, a na ktoré sa uplatňuje postup posudzovania zhody na základe vnútornej kontroly uvedený v prílohe VI k nariadeniu [nariadenie o umelej inteligencii], mali podliehať postupom posudzovania zhody podľa tohto nariadenia, pokiaľ ide o základné požiadavky tohto nariadenia. V tomto prípade by sa na všetky ostatné aspekty, na ktoré sa vzťahuje nariadenie [nariadenie o umelej inteligencii], mali uplatňovať príslušné ustanovenia o posudzovaní zhody na základe vnútornej kontroly uvedené v prílohe VI k uvedenému nariadeniu.
(52) S cieľom zlepšiť bezpečnosť produktov s digitálnymi prvkami uvádzaných na vnútorný trh je potrebné stanoviť základné požiadavky uplatniteľné na takéto produkty. Týmito základnými požiadavkami by nemalo byť dotknuté koordinované posudzovanie bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie stanovené v článku 22 smernice (EÚ) 2022/2555, pri ktorom sa zohľadňujú technické a prípadne aj netechnické faktory rizík, ako je neprimeraný vplyv tretej krajiny na dodávateľov. Okrem toho by nimi nemalo byť dotknuté výsadné právo členských štátov stanoviť ďalšie požiadavky, ktoré zohľadňujú netechnické faktory na účely zaistenia vysokej úrovne odolnosti vrátane požiadaviek vymedzených v odporúčaní Komisie (EÚ) 2019/534(24), v koordinovanom posúdení rizika kybernetickej bezpečnosti sietí 5G na úrovni EÚ a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, ktoré schválila skupina pre spoluprácu ▌zriadená podľa článku 14 smernice (EÚ) 2022/2555.
(53) Výrobcovia produktov patriacich do rozsahu pôsobnosti nariadenia Európskeho parlamentu a Rady (EÚ) 2023/1230(25), ktoré sú zároveň produktmi s digitálnymi prvkami v zmysle tohto nariadenia, by mali spĺňať základné požiadavky stanovené v tomto nariadení, ako aj základné požiadavky na bezpečnosť a ochranu zdravia stanovené v nariadení (EÚ) 2023/1230. Základnými požiadavkami stanovenými v tomto nariadení a určitými základnými požiadavkami nariadenia (EÚ) 2023/1230 sa môžu riešiť podobné kybernetickobezpečnostné riziká. Dodržiavanie základných požiadaviek stanovených v tomto nariadení by preto mohlo uľahčiť dodržiavanie základných požiadaviek na určité kybernetickobezpečnostné riziká stanovené v nariadení (EÚ) 2023/1230, a to najmä požiadaviek na ochranu pred zneužitím a bezpečnosti a spoľahlivosti ovládacích systémov stanovených v oddieloch 1.1.9 a 1.2.1 prílohy III k uvedenému nariadeniu. Takéto synergie musí výrobca preukázať, napríklad uplatnením harmonizovaných noriem alebo iných technických špecifikácií, ktoré sa vzťahujú na príslušné základné požiadavky, ak sú k dispozícii, na základe posúdenia rizík, ktoré sa vzťahuje na uvedené kybernetickobezpečnostné riziká. Výrobca by sa mal riadiť aj uplatniteľnými postupmi posudzovania zhody stanovenými v tomto nariadení a v nariadení (EÚ) 2023/1230. Komisia a európske normalizačné organizácie by v rámci prípravných prác na podporu vykonávania tohto nariadenia a nariadenia (EÚ) 2023/1230 a súvisiacich normalizačných postupov mali podporovať konzistentnosť spôsobu posudzovania kybernetickobezpečnostných rizík a toho, ako majú byť tieto riziká pokryté harmonizovanými normami, pokiaľ ide o príslušné základné požiadavky. Komisia a európske normalizačné organizácie by mali toto nariadenie zohľadniť najmä pri príprave a vypracovaní harmonizovaných noriem s cieľom uľahčiť vykonávanie nariadenia (EÚ) 2023/1230, najmä pokiaľ ide o aspekty kybernetickej bezpečnosti súvisiace s ochranou pred zneužitím a bezpečnosťou a spoľahlivosťou ovládacích systémov stanovených v oddieloch 1.1.9 a 1.2.1 prílohy III k uvedenému nariadeniu. Komisia by mala poskytnúť usmernenia na podporu výrobcov, na ktorých sa vzťahuje toto nariadenie a tiež aj nariadenie (EÚ) 2023/1230, najmä s cieľom uľahčiť preukazovanie dodržiavania príslušných základných požiadaviek stanovených v tomto nariadení a v nariadení (EÚ) 2023/1230.
(54) Nariadením Európskeho parlamentu a Rady (EÚ).../...(26) [nariadenie o európskom priestore pre zdravotné údaje] sa dopĺňajú základné požiadavky stanovené v tomto nariadení. Systémy elektronických zdravotných záznamov patriace do rozsahu pôsobnosti nariadenia [nariadenie o európskom priestore pre zdravotné údaje], ktoré sú v zmysle tohto nariadenia produktmi s digitálnymi prvkami, by preto takisto mali spĺňať základné požiadavky stanovené v tomto nariadení. Ich výrobcovia by mali preukázať zhodu požadovanú podľa nariadenia [nariadenie o európskom priestore pre zdravotné údaje]. Na uľahčenie súladu by výrobcovia mali byť schopní vypracovať jednotnú technickú dokumentáciu obsahujúcu prvky požadované týmto nariadením a nariadením ... Keďže toto nariadenie sa nevzťahuje na softvér ako službu (SaaS) ako taký, systémy elektronických zdravotných záznamov ponúkané prostredníctvom modelu udeľovania licencií a dodávania SaaS nepatria do rozsahu pôsobnosti tohto nariadenia. Podobne do rozsahu pôsobnosti tohto nariadenia nepatria systémy elektronických zdravotných záznamov vyvinuté a používané interne, keďže sa neuvádzajú na trh.
(55) S cieľom zaistiť, aby boli produkty s digitálnymi prvkami zabezpečené tak v čase ich uvedenia na trh, ako aj počas ich očakávaného obdobia používania, je potrebné stanoviť základné požiadavky na riešenie zraniteľností a základné požiadavky kybernetickej bezpečnosti týkajúce sa vlastností produktov s digitálnymi prvkami. Hoci by výrobcovia mali splniť všetky základné požiadavky týkajúce sa riešenia zraniteľností počas celého obdobia podpory, mali by určiť, ktoré ďalšie základné požiadavky týkajúce sa vlastností produktu sú relevantné pre príslušný druh produktu s digitálnymi prvkami. Na tento účel by výrobcovia mali vykonať posúdenie kybernetickobezpečnostných rizík spojených s produktom s digitálnymi prvkami s cieľom identifikovať príslušné riziká a relevantné základné požiadavky, aby mohli sprístupňovať svoje produkty s digitálnymi prvkami bez známych zneužiteľných zraniteľností, ktoré by mohli mať vplyv na bezpečnosť týchto produktov, a primerane uplatňovať vhodné harmonizované normy, spoločné špecifikácie alebo európske či medzinárodné normy.
(56) Ak na produkt s digitálnymi prvkami uvádzaný na trh nemožno uplatniť určité základné požiadavky, výrobca by mal v posúdení kybernetickobezpečnostného rizika priloženého k technickej dokumentácii uviesť jasné odôvodnenie. Môže ísť o prípady, keď je základná požiadavka nezlučiteľná s povahou produktu s digitálnymi prvkami. Napríklad zamýšľaný účel produktu s digitálnymi prvkami môže vyžadovať, aby výrobca dodržiaval všeobecne uznávané normy interoperability, aj keď sa jeho bezpečnostné prvky už nepovažujú za najmodernejšie. Podobne sa v iných právnych predpisoch Únie vyžaduje, aby výrobcovia uplatňovali osobitné požiadavky na interoperabilitu. Ak sa základná požiadavka na produkt s digitálnymi prvkami nevzťahuje, ale výrobca v súvislosti s touto základnou požiadavkou identifikoval kybernetickobezpečnostné riziká, mal by prijať opatrenia na riešenie týchto rizík inými prostriedkami, napríklad obmedzením zamýšľaného účelu produktu na dôveryhodné prostredia alebo informovaním používateľov o týchto rizikách.
(57) Jedným z najdôležitejších opatrení, ktoré majú používatelia prijať na ochranu svojich produktov s digitálnymi prvkami pred kybernetickými útokmi, je čo najskôr nainštalovať najnovšie dostupné bezpečnostné aktualizácie. Výrobcovia by preto mali navrhovať svoje produkty a zavádzať postupy tak, aby produkty s digitálnymi prvkami zahŕňali funkcie, ktoré umožňujú automatické oznamovanie, distribúciu, sťahovanie a inštaláciu bezpečnostných aktualizácií, najmä v prípade spotrebných produktov. Mali by tiež umožniť v poslednom kroku súhlas so stiahnutím a inštaláciou bezpečnostných aktualizácií. Používatelia by mali mať možnosť deaktivovať automatické aktualizácie s jasným a ľahko použiteľným mechanizmom a zrozumiteľným návodom na vypnutie aktualizácie vypnúť. Požiadavky týkajúce sa automatických aktualizácií stanovené v prílohe k tomuto nariadeniu sa neuplatňujú na produkty s digitálnymi prvkami, ktoré sú primárne určené na integráciu ako komponenty do iných produktov. Nevzťahujú sa ani na produkty s digitálnymi prvkami, v prípade ktorých používatelia dôvodne neočakávajú automatické aktualizácie vrátane produktov s digitálnymi prvkami, ktoré sa majú používať v profesionálnych sieťach IKT, a najmä v kritickom a priemyselnom prostredí, v ktorom by automatická aktualizácia mohla spôsobiť zasahovanie do prevádzky.
Bez ohľadu na to, či je produkt s digitálnymi prvkami navrhnutý tak, aby prijímal automatické aktualizácie alebo nie, jeho výrobca by mal používateľov informovať o zraniteľnostiach a bezodkladne poskytnúť bezpečnostné aktualizácie. Ak má produkt s digitálnymi prvkami používateľské rozhranie alebo podobné technické prostriedky umožňujúce priamu interakciu s používateľmi, výrobca by mal takéto funkcie využiť na informovanie používateľov o tom, že ich produkt s digitálnymi prvkami dosiahol koniec obdobia podpory. Oznámenia by sa mali obmedziť na to, čo je potrebné na zabezpečenie účinného prijímania týchto informácií, a nemali by mať negatívny vplyv na skúsenosti používateľov s produktom s digitálnymi prvkami.
(58) S cieľom zlepšiť transparentnosť procesov riešenia zraniteľností a zabezpečiť, aby používatelia neboli povinní inštalovať nové aktualizácie funkcií výlučne na účely prijímania najnovších bezpečnostných aktualizácií, by výrobcovia mali zabezpečiť, ak je to technicky možné, aby sa nové bezpečnostné aktualizácie poskytovali oddelene od aktualizácií funkcií.
(59) V spoločnom oznámení Komisie a vysokého predstaviteľa Únie pre zahraničné veci a bezpečnostnú politiku z 20. júna 2023 s názvom „Európska stratégia hospodárskej bezpečnosti“ sa uvádza, že Únia musí maximalizovať prínosy svojej hospodárskej otvorenosti a zároveň minimalizovať riziká vyplývajúce z hospodárskej závislosti od vysokorizikových predajcov, a to prostredníctvom spoločného strategického rámca pre hospodársku bezpečnosť Únie. Závislosť od vysokorizikových dodávateľov produktov s digitálnymi prvkami môže predstavovať strategické riziko, ktoré sa musí riešiť na úrovni Únie, najmä ak sú produkty s digitálnymi prvkami určené na použitie pre kľúčové subjekty podľa článku 3 ods. 1 smernice (EÚ) 2022/2555. Takéto riziká môžu byť spojené nielen s jurisdikciou výrobcu, charakteristikami jeho vlastníckej štruktúry a kontrolnými prepojeniami na vládu tretej krajiny, v ktorej je usadený, najmä ak daná krajina vykonáva priemyselnú špionáž alebo nezodpovedné štátne zásahy v kybernetickom priestore a jej právne predpisy umožňujú svojvoľný prístup k akémukoľvek druhu operácií alebo k údajom podnikov, a to vrátane citlivých obchodných údajov, a môže ukladať povinnosti na spravodajské účely bez demokratického systému bŕzd a protiváh, mechanizmu dohľadu, riadneho konania alebo práva odvolať sa na nezávislý súd alebo tribunál.
Pri určovaní závažnosti kybernetickobezpečnostného rizika v zmysle tohto nariadenia by Komisia a orgány dohľadu nad trhom v rámci svojich povinností stanovených v tomto nariadení mali zohľadniť aj netechnické rizikové faktory, najmä faktory identifikované na základe koordinovaných posúdení bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie, ktoré sa vykonávajú v súlade s článkom 22 smernice (EÚ) 2022/2555.
(60) Na účely zaistenia bezpečnosti produktov s digitálnymi prvkami po ich uvedení na trh by výrobcovia mali určiť obdobia podpory, ktoré by mali zodpovedať času predpokladaného používania produktu s digitálnymi prvkami. Pri určovaní obdobia podpory by mal výrobca zohľadniť najmä primerané očakávania používateľov, povahu produktu, ako aj príslušné právo Únie určujúce životnosť produktov s digitálnymi prvkami. Výrobcovia by mali mať možnosť zohľadniť aj iné relevantné faktory. Kritériá by sa mali uplatňovať spôsobom, ktorý pri určovaní období podpory zabezpečí proporcionalitu. Výrobca by mal na požiadanie poskytnúť orgánom dohľadu nad trhom informácie, ktoré sa zohľadnili pri určovaní obdobia podpory produktu s digitálnymi prvkami.
(61) Obdobie podpory, počas ktorého výrobca zabezpečuje účinné riešenie zraniteľností, by nemalo byť kratšie ako päť rokov, pokiaľ životnosť produktu s digitálnymi prvkami nie je kratšia ako päť rokov, pričom v takom prípade by mal výrobca zabezpečiť riešenie zraniteľností počas tejto životnosti. Ak sa dôvodne očakáva, že životnosť produktu s digitálnymi prvkami je dlhšia ako päť rokov, ako je to často v prípade hardvérových komponentov, ako sú základné dosky alebo mikroprocesory, sieťových zariadení, ako sú smerovače, modemy alebo prepínače, ako aj softvéru, ako sú operačné systémy alebo nástroje na editovanie videí, výrobcovia by mali zabezpečiť dlhšie obdobia podpory. Najmä produkty s digitálnymi prvkami určené na použitie v priemyselnom prostredí, ako sú priemyselné riadiace systémy, sa často používajú počas výrazne dlhšieho obdobia. Výrobca by mal mať možnosť vymedziť obdobie podpory kratšie ako päť rokov, len ak je to odôvodnené povahou dotknutého produktu s digitálnymi prvkami a ak sa očakáva, že tento produkt sa bude používať menej ako päť rokov, pričom v takom prípade by obdobie podpory malo zodpovedať očakávanému času používania. Napríklad životnosť aplikácie na sledovanie kontaktov určenej na použitie počas pandémie by mohla byť obmedzená na trvanie pandémie.
Okrem toho niektoré softvérové aplikácie môžu byť pre svoju povahu sprístupnené len s predplatným, najmä ak sa aplikácia stane pre používateľa nedostupnou, a teda po skončení predplatného sa už nepoužíva.
(62) S cieľom zabezpečiť, aby sa zraniteľnosti mohli riešiť po skončení obdobia podpory, keď sa obdobie podpory produktov s digitálnymi prvkami skončí, výrobcovia by mali zvážiť poskytnutie zdrojového kódu takýchto produktov s digitálnymi prvkami buď iným podnikom, ktoré sa zaviažu predĺžiť poskytovanie služieb riešenia zraniteľností, alebo verejnosti. Ak výrobcovia poskytnú zdrojový kód iným podnikom, mali by byť schopní chrániť vlastníctvo produktu s digitálnymi prvkami a zabrániť poskytovaniu zdrojového kódu verejnosti, napríklad prostredníctvom zmluvných ustanovení.
(63) S cieľom zabezpečiť, aby výrobcovia v celej Únii určili podobné obdobia podpory pre porovnateľné produkty s digitálnymi prvkami, skupina ADCO by mala zverejňovať štatistiky o priemerných obdobiach podpory určených výrobcami pre kategórie produktov s digitálnymi prvkami a vydať usmernenia, v ktorých sa uvedú vhodné obdobia podpory pre takéto kategórie. Okrem toho s cieľom zabezpečiť harmonizovaný prístup na celom vnútornom trhu by Komisia mala mať možnosť prijímať delegované akty, v ktorých stanoví minimálne obdobia podpory pre konkrétne kategórie produktov, ak z údajov poskytnutých orgánmi dohľadu nad trhom vyplýva, že obdobia podpory určené výrobcami buď systematicky nie sú v súlade s kritériami na určenie období podpory stanovenými v tomto nariadení, alebo že výrobcovia v rôznych členských štátoch neodôvodnene určujú odlišné obdobia podpory.
(64) Výrobcovia by mali zriadiť jednotné kontaktné miesto, ktoré používateľom umožní jednoduchú komunikáciu s nimi, a to aj na účely oznamovania a prijímania informácií o zraniteľnosti produktu s digitálnym prvkom. Mali by zabezpečiť jednoduchý prístup používateľov k jednotnému kontaktnému miestu, jasne uviesť jeho dostupnosť a tieto informácie aktualizovať. Ak sa výrobcovia rozhodnú ponúkať automatizované nástroje, napr. chatboty, mali by uviesť aj telefónne číslo alebo iné digitálne kontaktné prostriedky, ako je e-mailová adresa alebo kontaktný formulár. Jednotné kontaktné miesto by nemalo využívať výlučne automatizované nástroje.
(65) Výrobcovia by mali svoje produkty s digitálnymi prvkami sprístupniť na trhu so štandardne zabezpečenou konfiguráciou a používateľom bezplatne poskytovať bezpečnostné aktualizácie. Výrobcovia by mali mať možnosť odchýliť sa od týchto základných požiadaviek len v súvislosti s produktmi na mieru, ktoré sú namontované na konkrétny účel pre konkrétneho komerčného používateľa, a ak výrobca aj používateľ výslovne súhlasili s iným súborom zmluvných podmienok.
(66) Výrobcovia by mali súčasne prostredníctvom jednotnej oznamovacej platformy informovať jednotku pre riešenie počítačových bezpečnostných incidentov (CSIRT) určenú za koordinátora, ako aj agentúru ENISA, o aktívne zneužívaných zraniteľnostiach v produktoch s digitálnymi prvkami, ako aj o závažných incidentoch, ktoré majú vplyv na bezpečnosť týchto produktov. Tieto oznámenia by sa mali podávať prostredníctvom koncového bodu na elektronické oznamovanie jednotky CSIRT určenej za koordinátora a mali by byť súčasne prístupné agentúre ENISA.
(67) Výrobcovia by mali oznamovať aktívne zneužívané zraniteľnosti s cieľom zabezpečiť, aby jednotky CSIRT určené za koordinátorov a agentúra ENISA mali primeraný prehľad o takýchto zraniteľnostiach a aby im boli poskytnuté informácie potrebné na plnenie ich úloh stanovených v smernici (EÚ) 2022/2555 a zvýšenie celkovej úrovne kybernetickej bezpečnosti kľúčových a dôležitých subjektov podľa článku 3 uvedenej smernice, ako aj zabezpečenie účinného fungovania orgánov dohľadu nad trhom ▌. Keďže väčšina produktov s digitálnymi prvkami sa predáva na celom vnútornom trhu, akákoľvek zneužitá zraniteľnosť produktu s digitálnymi prvkami by sa mala považovať za ohrozenie fungovania vnútorného trhu. Agentúra ENISA by mala po dohode s výrobcom zverejniť pevné zraniteľnosti v európskej databáze zraniteľností zriadenej podľa článku 12 ods. 2 smernice (EÚ) 2022/2555. Európska databáza zraniteľností by mala pomáhať výrobcom pri zisťovaní známych zneužiteľných zraniteľností v ich produktoch, aby sa zabezpečilo, že sa na trh budú uvádzať bezpečné produkty.
(68) Výrobcovia by takisto mali oznámiťjednotke CSIRTako koordinátorovi a agentúre ENISA každý závažný incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami. S cieľom zaistiť používateľom možnosť rýchlo reagovať na závažné incidenty, ktoré majú vplyv na bezpečnosť ich produktov s digitálnymi prvkami, by výrobcovia mali informovať svojich používateľov aj o akomkoľvek takomto incidente a prípadne o akýchkoľvek nápravných opatreniach, ktoré môžu používatelia použiť na zmiernenie vplyvu daného incidentu, napríklad uverejnením príslušných informácií na svojich webových sídlach alebo priamym oslovením používateľov, ak výrobca dokáže kontaktovať používateľov a ak je to odôvodnené kybernetickobezpečnostnými rizikami.
(69) Aktívne zneužívané zraniteľnosti sa týkajú prípadov, keď výrobca zistí, že narušenie bezpečnosti ovplyvňujúce jeho používateľov alebo akékoľvek iné fyzické alebo právnické osoby bolo spôsobené tým, že škodlivý subjekt využil chybu v jednom z produktov s digitálnymi prvkami, ktoré výrobca sprístupnil na trhu. Príkladmi takýchto zraniteľností by mohli byť nedostatky v identifikačných a autentifikačných funkciách produktu. Zraniteľnosti, ktoré sa zistia bez zlého úmyslu na účely testovania, skúmania, opravy alebo zverejnenia v dobrej viere s cieľom podporiť bezpečnosť alebo ochranu vlastníka systému a jeho používateľov, by nemali podliehať povinnému oznamovaniu. Závažné incidenty, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami, sa na druhej strane týkajú situácií, keď kybernetickobezpečnostný incident ovplyvňuje postupy vývoja, výroby alebo údržby výrobcu takým spôsobom, že by mohol viesť k zvýšenému kybernetickobezpečnostnému riziku pre používateľov alebo iné osoby. Takýto závažný incident by mohol zahŕňať situácie, keď útočník úspešne vloží škodlivý kód do kanála, prostredníctvom ktorého výrobca poskytuje bezpečnostné aktualizácie používateľom.
(70) S cieľom zabezpečiť rýchle rozposielanie oznámení všetkým príslušným jednotkám CSIRT určeným za koordinátorov a s cieľom umožniť výrobcom predložiť jedno oznámenie v každej fáze postupu oznamovania by agentúra ENISA mala zriadiť jednotnú oznamovaciu platformu s vnútroštátnymi koncovými bodmi na elektronické oznamovanie. Agentúra ENISA by mala riadiť každodennú prevádzku tejto jednotnej oznamovacej platformy a vykonávať jej údržbu. Jednotky CSIRT určené za koordinátorov by mali informovať svoje príslušné orgány dohľadu nad trhom o oznámených zraniteľnostiach alebo incidentoch. Jednotná oznamovacia platforma by mala byť navrhnutá tak, aby zabezpečovala dôvernosť oznámení, najmä pokiaľ ide o zraniteľnosti, pre ktoré ešte nie je k dispozícii bezpečnostná aktualizácia. Agentúra ENISA by okrem toho mala zaviesť postupy na bezpečné a dôverné zaobchádzanie s informáciami. Agentúra ENISA by na základe informácií, ktoré zhromažďuje, mala každé dva roky vypracovať technickú správu o nových trendoch v oblasti kybernetickobezpečnostných rizík produktov s digitálnymi prvkami a predložiť ju skupine pre spoluprácu uvedenej v článku 14 smernice (EÚ) 2022/2555.
(71) Za výnimočných okolností, a najmä na žiadosť výrobcu, by jednotka CSIRT určená za koordinátora, ktorej bolo oznámenie pôvodne doručené, mala mať možnosť rozhodnúť o odložení jeho rozposielania ostatným príslušným jednotkám CSIRT určeným za koordinátorov prostredníctvom jednotnej oznamovacej platformy, ak to možno odôvodniť dôvodmi súvisiacimi s kybernetickou bezpečnosťou a na nevyhnutne potrebné obdobie. Jednotka CSIRT určená za koordinátora by mala bezodkladne informovať agentúru ENISA o svojom rozhodnutí odložiť rozposielanie informácií, o dôvodoch takéhoto rozhodnutia, ako aj o tom, kedy má v úmysle šíriť informácie ďalej. Komisia by mala prostredníctvom delegovaného aktu špecifikovať podmienky, za ktorých by sa mohli uplatňovať dôvody súvisiace s kybernetickou bezpečnosťou, a pri príprave návrhu delegovaného aktu by mala spolupracovať so sieťou jednotiek CSIRT zriadenou podľa článku 15 smernice (EÚ) 2022/2555 (sieť CSIRT) a agentúrou ENISA. K príkladom dôvodov súvisiacich s kybernetickou bezpečnosťou patrí prebiehajúci koordinovaný postup zverejňovania zraniteľností alebo situácie, keď má výrobca čoskoro poskytnúť zmierňujúce opatrenie a kybernetickobezpečnostné riziká okamžitého rozoslania informácií prostredníctvom jednotnej oznamovacej platformy prevažujú nad jeho prínosmi. Ak o to jednotka CSIRT určená za koordinátora požiada, agentúra ENISA by jej mala byť schopná poskytnúť podporu pri uplatňovaní dôvodov spojených s kybernetickou bezpečnosťou v súvislosti s odloženým rozoslaním oznámenia na základe informácií, ktoré agentúra ENISA prijala od tejto jednotky CSIRT o rozhodnutí pozastaviť oznámenie z uvedených dôvodov kybernetickej bezpečnosti. Okrem toho by sa agentúre ENISA za obzvlášť výnimočných okolností nemali doručovať všetky podrobnosti oznámenia o aktívne zneužívanej zraniteľnosti súčasne. Ide o prípad, keď výrobca vo svojom oznámení uvedie, že oznámenú zraniteľnosť aktívne zneužíva škodlivý subjekt a že podľa dostupných informácií nebola zneužitá v žiadnom inom členskom štáte okrem členského štátu jednotky CSIRT určenej za koordinátora, ktorej výrobca zraniteľnosť oznámil, pričom akýmkoľvek ďalším okamžitým rozoslaním oznámenej zraniteľnosti by sa pravdepodobne poskytli informácie, ktorých zverejnenie by bolo v rozpore so základnými záujmami daného členského štátu, alebo keď oznámená zraniteľnosť predstavuje bezprostredné vysoké kybernetickobezpečnostné riziko vyplývajúce z ďalšieho šírenia. V takýchto prípadoch agentúra ENISA zároveň získa prístup len k informáciám o tom, že výrobca podal oznámenie, k všeobecným informáciám o dotknutom produkte s digitálnymi prvkami, k informáciám o všeobecnej povahe zneužitia a k informáciám o tom, že výrobca uviedol dané bezpečnostné dôvody, a že sa preto neposkytuje úplný obsah oznámenia. Úplné oznámenie by sa následne malo sprístupniť agentúre ENISA a ostatným príslušným jednotkám CSIRT určeným za koordinátorov, keď jednotka CSIRT určená za koordinátora, ktorej bolo oznámenie pôvodne doručené, zistí, že tieto bezpečnostné dôvody, ktoré zodpovedajú mimoriadne výnimočným okolnostiam stanoveným v tomto nariadení, prestali existovať. Ak sa agentúra ENISA na základe dostupných informácií domnieva, že existuje systémové riziko ovplyvňujúce bezpečnosť na vnútornom trhu, odporučí jednotke CSIRT, ktorej bolo oznámenie doručené, aby rozoslala úplné oznámenie ostatným jednotkám CSIRT určeným za koordinátorov a samotnej agentúre ENISA.
(72) Keď výrobcovia oznámia aktívne zneužívanú zraniteľnosť alebo závažný incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, mali by uviesť, do akej miery považujú oznámené informácie za citlivé. Jednotka CSIRT určená za koordinátora, ktorej je oznámenie doručené ako prvej, by mala tieto informácie zohľadniť pri posudzovaní toho, či oznámenie vedie k výnimočným okolnostiam, ktoré by mohli byť dôvodom pre odložené rozoslanie oznámenia ostatným príslušným jednotkám CSIRT určeným za koordinátorov na základe opodstatnených kybernetickobezpečnostných dôvodov. Tieto informácie by mala zohľadniť aj pri posudzovaní toho, či oznámenie aktívne zneužívanej zraniteľnosti vedie k mimoriadne výnimočným okolnostiam, ktoré odôvodňujú, že úplné oznámenie nie je súčasne sprístupnené agentúre ENISA. Jednotky CSIRT určené za koordinátorov by napokon mali byť schopné zohľadniť tieto informácie pri určovaní vhodných opatrení na zmiernenie rizík vyplývajúcich z takýchto zraniteľností a incidentov.
(73) S cieľom zjednodušiť oznamovanie informácií požadovaných podľa tohto nariadenia a vzhľadom na ďalšie doplňujúce požiadavky na oznamovanie stanovené v práve Únie, ako je nariadenie (EÚ) 2016/679, nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554(27), smernica Európskeho parlamentu a Rady 2002/58/ES a smernica (EÚ) 2022/2555(28), ako aj znížiť administratívnu záťaž subjektov sa členské štáty vyzývajú, aby zvážili zriadenie jednotných kontaktných miest pre takéto požiadavky na oznamovanie na vnútroštátnej úrovni. Používanie takéhoto jednotného kontaktného miesta na oznamovanie bezpečnostných incidentov podľa nariadenia (EÚ) 2016/679 a smernice 2002/58/ES by nemalo mať vplyv na uplatňovanie ustanovení nariadenia (EÚ) 2016/679 a smernice 2002/58/ES, najmä nie na uplatňovanie ustanovení o nezávislosti orgánov v nich uvedených. Pri zriaďovaní jednotnej oznamovacej platformy uvedenej v tomto nariadení by agentúra ENISA mala zohľadniť možnosť začlenenia vnútroštátnych koncových bodov na elektronické oznamovanie uvedených v tomto nariadení do vnútroštátnych jednotných kontaktných miest, ktoré môžu prijímať aj iné oznámenia požadované podľa práva Únie.
(74) Pri zriaďovaní jednotnej oznamovacej platformy uvedenej v tomto nariadení a s cieľom využiť predchádzajúce skúsenosti by agentúra ENISA mala konzultovať s inými inštitúciami alebo agentúrami Únie, ktoré spravujú platformy alebo databázy podľa prísnych bezpečnostných požiadaviek, ako je Agentúra Európskej únie na prevádzkové riadenie rozsiahlych informačných systémov v priestore slobody, bezpečnosti a spravodlivosti (eu-LISA). Agentúra ENISA by mala uskutočniť analýzu možnej doplnkovosti s európskou databázou zraniteľností zriadenou podľa článku 12 ods. 2 smernice (EÚ) 2022/2555.
(75) Výrobcovia a iné fyzické a právnické osoby by mali mať možnosť dobrovoľne oznámiť jednotke CSIRT určenej za koordinátora alebo agentúre ENISA každú zraniteľnosť produktu s digitálnymi prvkami, kybernetické hrozby, ktoré by mohli ovplyvniť rizikový profil produktu s digitálnymi prvkami, akýkoľvek incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, ako aj situácie, ktoré takmer viedli k takémuto incidentu.
(76) Členské štáty by sa mali v súlade s vnútroštátnym právom snažiť v čo najväčšej miere riešiť výzvy, ktorým čelia výskumní pracovníci zaoberajúci sa zraniteľnosťami, vrátane ich možnej trestnej zodpovednosti. Keďže fyzické a právnické osoby, ktoré skúmajú zraniteľnosti, by v niektorých členských štátoch mohli byť vystavené trestnej a občianskoprávnej zodpovednosti, členským štátom sa odporúča prijať usmernenia, aby výskumní pracovníci v oblasti bezpečnosti informácií neboli za svoju činnosť stíhaní a dostali výnimku z občianskoprávnej zodpovednosti.
(77) Výrobcovia produktov s digitálnymi prvkami by mali zaviesť koordinované politiky zverejňovania informácií o zraniteľnosti s cieľom uľahčiť oznamovanie zraniteľností jednotlivcami alebo subjektmi, a to buď priamo výrobcovi alebo nepriamo a na požiadanie anonymne prostredníctvom jednotiek CSIRT určených za koordinátorov na účely koordinovaného zverejňovania informácií o zraniteľnostiach v súlade s článkom 12 ods. 1 smernice (EÚ) 2022/2555. V politike výrobcovtýkajúcej sa koordinovaného zverejňovania informácií o zraniteľnosti by sa mal špecifikovať štruktúrovaný proces, v rámci ktorého sa zraniteľnosti oznamujú výrobcovi takým spôsobom, ktorým sa danému výrobcovi umožňuje diagnostikovať a napraviť takéto zraniteľnosti pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Okrem toho by výrobcovia mali zvážiť aj zverejňovanie svojich bezpečnostných politík v strojovo čitateľnom formáte. Keďže informácie o zneužiteľných zraniteľnostiach v bežne používaných produktoch s digitálnymi prvkami sa môžu predávať na čiernom trhu za vysoké ceny, výrobcovia takýchto produktov by mali mať možnosť používať ako súčasť svojich politík koordinovaného zverejňovania informácií o zraniteľnostiach programy na stimulovanie oznamovania zraniteľností tým, že zaistia, aby jednotlivci alebo subjekty dostali uznanie a odmenu za svoje úsilie. Ide o „programy odmeňovania za nájdenie chýb“.
(78) Výrobcovia by na uľahčenie analýzy zraniteľnosti mali identifikovať a zdokumentovať komponenty obsiahnuté v produktoch s digitálnymi prvkami, a to aj vypracovaním softvérového kusovníka. Softvérový kusovník môže tým, ktorí vyrábajú, kupujú a prevádzkujú softvér, poskytnúť informácie pre lepšie pochopenie dodávateľského reťazca, čo má viacero prínosov, konkrétne pomáha výrobcom a používateľom sledovať známe novovzniknuté zraniteľnosti a kybernetickobezpečnostné riziká. Pre výrobcov má osobitný význam zabezpečiť, aby ich produkty s digitálnymi prvkami neobsahovali zraniteľné komponenty vyvinuté tretími stranami. Výrobcovia by nemali byť povinní zverejňovať softvérový kusovník.
(79) V rámci nových komplexných obchodných modelov spojených s online predajom môže subjekt pôsobiaci online poskytovať rôzne služby. Podľa povahy služieb poskytovaných v súvislosti s daným produktom s digitálnymi prvkami môže ten istý subjekt patriť do rôznych kategórií obchodných modelov alebo hospodárskych subjektov. Ak subjekt poskytuje len online sprostredkovateľské služby pre produkt s digitálnymi prvkami a je len prevádzkovateľom online trhoviska v zmysle vymedzenia v článku 3 ods. 14 nariadenia (EÚ) 2023/988, nepovažuje sa za hospodársky subjekt v zmysle tohto nariadenia. Ak je ten istý subjekt prevádzkovateľom online trhoviska a koná aj ako hospodársky subjekt v zmysle vymedzenia v tomto nariadení, pokiaľ ide o predaj produktov s digitálnymi prvkami, mali by sa naň vzťahovať povinnosti podľa tohto nariadenia pre daný typ hospodárskeho subjektu. Ak napríklad prevádzkovateľ online trhoviska aj distribuuje produkt s digitálnymi prvkami, v súvislosti s predajom tohto produktu by sa považoval za distribútora.
Podobne ak by daný subjekt predával svoje vlastné značkové produkty s digitálnymi prvkami, považoval by sa za výrobcu, a preto by musel spĺňať požiadavky uplatniteľné na výrobcov. Niektoré subjekty sa takisto môžu považovať za poskytovateľov logistických služieb v zmysle vymedzenia v článku 3 bodu 11 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/1020(29), ak takéto služby ponúkajú. Takéto prípady by sa mali posudzovať individuálne. Vzhľadom na významnú úlohu, ktorú online trhy zohrávajú pri umožňovaní elektronického obchodu, by sa mali usilovať o spoluprácu s orgánmi dohľadu nad trhom členských štátov s cieľom pomôcť zabezpečiť, aby produkty s digitálnymi prvkami zakúpené prostredníctvom online trhov boli v súlade s požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení.
(80) Na uľahčenie posudzovania zhody s požiadavkami stanovenými v tomto nariadení by mal existovať predpoklad zhody v prípade produktov s digitálnymi prvkami, ktoré sú v zhode s harmonizovanými normami, v ktorých sú základné požiadavky tohto nariadenia premietnuté do podrobných technických špecifikácií a ktoré sú prijaté v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 1025/2012(30). V uvedenom nariadení sa stanovuje postup týkajúci sa námietok voči harmonizovaným normám, keď tieto normy nespĺňajú v plnej miere požiadavky tohto nariadenia. Procesom normalizácie by sa malo zabezpečiť vyvážené zastúpenie záujmov a účinná účasť zainteresovaných strán občianskej spoločnosti vrátane organizácií spotrebiteľov. Na uľahčenie vývoja harmonizovaných noriem a vykonávanie tohto nariadenia, ako aj dodržiavanie predpisov zo strany podnikov, najmä mikropodnikov a malých a stredných podnikov, ako aj podnikov s globálnym pôsobením, by sa mali zohľadniť aj medzinárodné normy, ktoré sú v súlade s úrovňou ochrany kybernetickej bezpečnosti, ktorá je predmetom základných požiadaviek stanovených v tomto nariadení.
(81) Včasné vypracovanie harmonizovaných noriem počas prechodného obdobia a ich dostupnosť pred dátumom začatia uplatňovania tohto nariadenia budú mimoriadne dôležité pre jeho účinné vykonávanie. To sa týka najmä dôležitých produktov s digitálnymi prvkami, ktoré patria do triedy I. Dostupnosť harmonizovaných noriem umožní výrobcom takýchto produktov vykonávať posudzovanie zhody postupom vnútornej kontroly, a preto môže zabrániť prekážkam a oneskoreniam v činnosti orgánov posudzovania zhody.
(82) Nariadením (EÚ) 2019/881 sa ustanovuje dobrovoľný európsky rámec certifikácie kybernetickej bezpečnosti pre produkty, procesy IKT a služby IKT. Európske systémy certifikácie kybernetickej bezpečnosti poskytujú používateľom spoločný rámec dôvery na používanie produktov s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia. Týmto nariadením by sa mala následne vytvoriť synergia s nariadením (EÚ) 2019/881. Na uľahčenie posudzovania zhody s požiadavkami stanovenými v tomto nariadení sa predpokladá, že produkty s digitálnymi prvkami, ktoré sú certifikované alebo pre ktoré bolo vydané vyhlásenie o zhode v rámci európskeho systému kybernetickej bezpečnosti podľa nariadenia (EÚ) 2019/881, ktorý bol Komisiou identifikovaný vo vykonávacom akte, sú v súlade so základnými požiadavkami stanovenými v tomto nariadení, pokiaľ sa európsky certifikát kybernetickej bezpečnosti alebo vyhlásenie o zhode alebo ich časti na tieto požiadavky vzťahujú. Potreba nových európskych systémov certifikácie kybernetickej bezpečnosti pre produkty s digitálnymi prvkami by sa mala posúdiť na základe tohto nariadenia, a to aj pri príprave priebežného pracovného programu Únie v súlade s nariadením (EÚ) 2019/881.
Ak je potrebný nový systém vzťahujúci sa na produkty s digitálnymi prvkami, a to aj s cieľom uľahčiť súlad s týmto nariadením, Komisia môže požiadať agentúru ENISA, aby pripravila kandidátske systémy v súlade s článkom 48 nariadenia (EÚ) 2019/881. Takéto budúce európske systémy certifikácie kybernetickej bezpečnosti vzťahujúce sa na produkty s digitálnymi prvkami by mali zohľadňovať základné požiadavky a postupy posudzovania zhody stanovené v tomto nariadení a uľahčovať dodržanie súladu s týmto nariadením. V prípade európskych systémov certifikácie kybernetickej bezpečnosti, ktoré nadobudnú účinnosť pred nadobudnutím účinnosti tohto nariadenia, môžu byť potrebné ďalšie špecifikácie podrobných aspektov uplatňovania predpokladu zhody. Komisia by mala mať právomoc prostredníctvom delegovaných aktov špecifikovať, za akých podmienok sa môžu európske systémy certifikácie kybernetickej bezpečnosti ▌ používať na preukázanie zhody so základnými požiadavkami stanovenými v tomto nariadení. Okrem toho s cieľom predísť prípadnému neprimeranému administratívnemu zaťaženiu výrobcov by výrobcovia nemali mať povinnosť vykonať posúdenie zhody treťou stranou, ako to stanovuje toto nariadenie pri zodpovedajúcich požiadavkách, ak bol v rámci takýchto európskych systémov certifikácie kybernetickej bezpečnosti vydaný certifikát kybernetickej bezpečnosti najmenej na úrovni „pokročilý“.
(83) Po nadobudnutí účinnosti vykonávacieho aktu, ktorým sa stanovuje [vykonávacie nariadenie Komisie (EÚ) .../...] (EUCC), ktorý sa týka ▌produktov, ktoré patria do pôsobnosti tohto nariadenia, napr. hardvérové bezpečnostné moduly a mikroprocesory, by Komisia mala mať možnosť prostredníctvom delegovaného aktu špecifikovať, ako sa v systéme EUCC zabezpečí predpoklad zhody so základnými požiadavkami stanovenými v tomto nariadení alebo s ich časťami. Okrem toho môže takýto delegovaný akt špecifikovať, akým spôsobom certifikát vydaný v rámci systému EUCC ruší povinnosť výrobcov dať vykonať posúdenie tretej strane, ako sa vyžaduje podľa tohto nariadenia pri zodpovedajúcich požiadavkách.
(84) Súčasný európsky normalizačný rámec, ktorý je založený na zásadách nového prístupu stanovených v uznesení Rady zo 7. mája 1985 o novom prístupe k technickej harmonizácii a normám a na nariadení (EÚ) č. 1025/2012, predstavuje štandardný rámec pre vypracovanie noriem, ktoré stanovujú predpoklad zhody s príslušnými základnými požiadavkami stanovenými v tomto nariadení. Európske normy by mali byť trhovo orientované a mali by zohľadňovať verejný záujem, ako aj politické ciele jasne uvedené v žiadosti Komisieadresovanej jednej alebo viacerým európskym normalizačným organizáciám o vypracovanie harmonizovaných noriem v stanovenej lehote a mali by byť založené na konsenze. Ak však neexistujú príslušné odkazy na harmonizované normy, Komisia by mala mať možnosť stanoviť prostredníctvom vykonávacích aktov spoločné špecifikácie pre základné kybernetickobezpečnostné požiadavky stanovené v tomto nariadení za predpokladu, že pritom náležite zohľadní úlohu a funkcie normalizačných organizácií ako výnimočné núdzové riešenie na uľahčenie povinnosti výrobcu dosiahnuť súlad s týmito základnými požiadavkami, keď je normalizačný proces zablokovaný alebo keď pri zavádzaní vhodných harmonizovaných noriem dochádza k oneskoreniam. Ak je takéto oneskorenie spôsobené technickou zložitosťou príslušnej normy, Komisia by to mala zohľadniť skôr, ako zváži stanovenie spoločných špecifikácií.
(85) S cieľom čo najefektívnejšie stanoviť spoločné špecifikácie, ktoré sa vzťahujú na základné požiadavky stanovené v tomto nariadení, by Komisia mala do tohto procesu zapojiť príslušné zainteresované strany.
(86) „Primeraná lehota“ súvislosti s uverejnením odkazu na harmonizované normy v Úradnom vestníku Európskej únie v súlade s nariadením (EÚ) č. 1025/2012 je lehota, počas ktorej sa očakáva uverejnenie odkazu na normu, jej korigenda alebo jej zmeny v Úradnom vestníku Európskej únie a ktorá by nemala presiahnuť jeden rok po lehote na vypracovanie európskej normy stanovenej v súlade s nariadením (EÚ) č. 1025/2012.
(87) Na uľahčenie posudzovania zhody so základnými požiadavkami stanovenými v tomto nariadení by mal existovať predpoklad zhody pre produkty s digitálnymi prvkami, ktoré sú v súlade so spoločnými špecifikáciami prijatými Komisiou podľa tohto nariadenia na účely vyjadrenia podrobných technických špecifikácií týchto požiadaviek.
(88) Uplatňovanie harmonizovaných noriem, spoločných špecifikácií alebo európskych systémov certifikácie kybernetickej bezpečnosti prijatých podľa nariadenia (EÚ) 2019/881, v ktorých sa stanovuje predpoklad zhody v súvislosti so základnými požiadavkami uplatniteľnými na produkty s digitálnymi prvkami, uľahčí posudzovanie zhody výrobcami. Ak sa výrobca rozhodne neuplatňovať takéto prostriedky na určité požiadavky, musí vo svojej technickej dokumentácii uviesť, akým iným spôsobom dosahuje súlad. Okrem toho by uplatňovanie harmonizovaných noriem, spoločných špecifikácií alebo európskych systémov certifikácie kybernetickej bezpečnosti prijatých podľa nariadenia (EÚ) 2019/881, v ktorých sa stanovuje predpoklad zhody zo strany výrobcov, uľahčilo kontrolu súladu produktov s digitálnymi prvkami, ktorú vykonávajú orgány dohľadu nad trhom. Výrobcom produktov s digitálnymi prvkami sa preto odporúča, aby uplatňovali takéto harmonizované normy, spoločné špecifikácie alebo európske systémy certifikácie kybernetickej bezpečnosti.
(89) Výrobcovia by mali vypracovať EÚ vyhlásenie o zhode a poskytnúť tak informácie požadované podľa tohto nariadenia o zhode produktov s digitálnymi prvkami so základnými požiadavkami stanovenými v tomto nariadení a prípadne iných relevantných harmonizačných právnych predpisov Únie, ktoré sa vzťahujú na produkt s digitálnymi prvkami. Od výrobcov sa môže vypracovanie EÚ vyhlásenia o zhode vyžadovať aj v iných právnych predpisoch Únie. Na zabezpečenie účinného prístupu k informáciám na účely dohľadu nad trhom by sa malo vypracovať jediné EÚ vyhlásenie o zhode, pokiaľ ide o súlad so všetkými príslušnými právnymi aktmi Únie. V záujme zníženia administratívnej záťaže hospodárskych subjektov by sa malo umožniť, aby toto jediné EÚ vyhlásenie o zhode tvoril súbor pozostávajúci z príslušných jednotlivých vyhlásení o zhode.
(90) Označenie CE, ktorým sa preukazuje zhoda výrobku, je viditeľným výsledkom celého postupu posudzovania zhody v širokom zmysle. Všeobecné zásady, ktorými sa riadi označenie CE, sú uvedené v nariadení Európskeho parlamentu a Rady (ES) č. 765/2008(31). Pravidlá umiestňovania označenia CE na produkty s digitálnymi prvkami by sa mali stanoviť v tomto nariadení. Označenie CE by malo byť jediným označením, ktoré zaručuje súlad produktov s digitálnymi prvkami s požiadavkami stanovenými v tomto nariadení.
(91) S cieľom umožniť hospodárskym subjektom preukázať zhodu so základnými požiadavkami stanovenými v tomto nariadení a umožniť orgánom dohľadu nad trhom zaistiť, aby produkty s digitálnymi prvkami sprístupnené na trhu spĺňali tieto požiadavky, je potrebné stanoviť postupy posudzovania zhody. Rozhodnutím Európskeho parlamentu a Rady č. 768/2008/ES(32) sa stanovujú moduly pre postupy posudzovania zhody úmerne k úrovni možného rizika a úrovni požadovanej bezpečnosti. S cieľom zaistiť súlad medzi odvetviami a vyhnúť sa ad hoc variantom by postupy posudzovania zhody vhodné na overovanie zhody produktov s digitálnymi prvkami so základnými požiadavkami stanovenými v tomto nariadení mali byť založené na týchto moduloch. Postupmi posudzovania zhody by sa mali preskúmať a overiť požiadavky týkajúce sa produktu aj procesu, ktoré sa vzťahujú na celý životný cyklus produktov s digitálnymi prvkami vrátane plánovania, návrhu, vývoja alebo výroby, testovania a údržby produktu s digitálnymi prvkami.
(92) ▌ Posudzovanie zhody produktov s digitálnymi prvkami, ktoré nie sú v tomto nariadení uvedené ako dôležité alebo kritické produkty s digitálnymi prvkami, môže výrobca vykonávať na vlastnú zodpovednosť postupom vnútornej kontroly podľa modulu A rozhodnutia č. 768/2008/ES v súlade s týmto nariadením. Platí to aj v prípadoch, keď sa výrobca rozhodne úplne alebo čiastočne neuplatňovať platnú harmonizovanú normu, spoločnú špecifikáciu alebo európsky systém certifikácie kybernetickej bezpečnosti. Výrobca si zachováva flexibilitu pri výbere prísnejšieho postupu posudzovania zhody za účasti tretej strany. Pri postupe vnútornej kontroly výrobca na vlastnú zodpovednosť zabezpečuje a vyhlasuje, že produkt s digitálnymi prvkami a procesy výrobcu spĺňajú uplatniteľné základné požiadavky stanovené v tomto nariadení. Ak dôležitý produkt s digitálnymi prvkami patrí do triedy I, vyžaduje sa dodatočné uistenie na preukázanie zhody so základnými požiadavkami stanovenými v tomto nariadení. Výrobca by mal uplatniť harmonizované normy, spoločné špecifikácie alebo európske systémy certifikácie kybernetickej bezpečnosti prijaté podľa nariadenia (EÚ) 2019/881, ktoré Komisia identifikovala vo vykonávacom akte, ak chce vykonať posudzovanie zhody na vlastnú zodpovednosť (modul A). Ak výrobca neuplatňuje takéto harmonizované normy, spoločné špecifikácie alebo európske systémy certifikácie kybernetickej bezpečnosti, mal by podstúpiť posudzovanie zhody so zapojením tretej strany (podľa modulov B a C alebo H). Pri zohľadnení administratívneho zaťaženia výrobcov a toho, že kybernetická bezpečnosť zohráva dôležitú úlohu vo fáze návrhu a vývoja hmotných a nehmotných produktov s digitálnymi prvkami, boli ako najvhodnejšie postupy posudzovania zhody na primerané a účinné posudzovanie zhody dôležitých produktov s digitálnymi prvkami zvolené postupy posudzovania zhody podľa modulov B + C alebo modulu H rozhodnutia 768/2008/ES. Výrobca, ktorý vykonáva posudzovanie zhody treťou stranou, si môže vybrať postup, ktorý najlepšie vyhovuje jeho procesom navrhovania a výroby. Vzhľadom na ešte väčšie kybernetickobezpečnostné riziko spojené s používaním dôležitých produktov s digitálnymi prvkami, ktoré patria do triedy II ▌ by sa na posudzovaní zhody mala vždy zúčastňovať tretia strana, a to aj vtedy, keď je produkt úplne alebo čiastočne v súlade s harmonizovanými normami, spoločnými špecifikáciami alebo európskymi systémami certifikácie kybernetickej bezpečnosti. Výrobcovia dôležitých produktov s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, by mali mať možnosť uplatniť postup vnútornej kontroly podľa modulu A za predpokladu, že technickú dokumentáciu zverejnia.
(93) Kým pri vytváraní hmotných produktov s digitálnymi prvkami sa od výrobcov obvykle vyžaduje značné úsilie vo fáze návrhu, vývoja a výroby, tvorba produktov s digitálnymi prvkami vo forme softvéru sa takmer výlučne zameriava na návrh a vývoj, zatiaľ čo výrobná fáza zohráva menšiu rolu. Napriek tomu je v mnohých prípadoch stále potrebné pred uvedením na trh softvérové produkty kompilovať, zostaviť, zabaliť, sprístupniť na stiahnutie alebo skopírovať na fyzické médiá. Tieto činnosti by sa mali považovať za činnosti predstavujúce výrobu pri uplatňovaní príslušných modulov posudzovania zhody na overenie súladu produktu so základnými požiadavkami stanovenými v tomto nariadení vo fáze návrhu, vývoja a výroby.
(94) Pokiaľ ide o mikropodniky a malé podniky, s cieľom zabezpečiť proporcionalitu je vhodné zmierniť administratívne náklady bez toho, aby bola dotknutá úroveň ochrany kybernetickej bezpečnosti produktov s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia, alebo rovnaké podmienky pre výrobcov. Preto je vhodné, aby Komisia vypracovala zjednodušený formulár technickej dokumentácie pre potreby mikropodnikov a malých podnikov. Zjednodušený formulár technickej dokumentácie prijatý Komisiou by mal zahŕňať všetky uplatniteľné prvky súvisiace s technickou dokumentáciou stanovenou v tomto nariadení a špecifikovať, ako môže mikropodnik alebo malý podnik v stručnej forme poskytnúť požadované prvky, ako je opis návrhu, vývoja a výroby produktu s digitálnymi prvkami. Formulár tak prispeje k zmierneniu administratívnej záťaže spojenej s dodržiavaním predpisov tým, že dotknutým podnikom poskytne právnu istotu, pokiaľ ide o rozsah a podrobnosti informácií, ktoré sa majú odovzdať. Mikropodniky a malé podniky by mali mať možnosť rozhodnúť sa, že uplatniteľné prvky súvisiace s technickou dokumentáciou odovzdajú v neskrátenej forme a nepoužijú zjednodušený technický formulár, ktorý majú k dispozícii.
(95) V záujme podpory a ochrany inovácií je dôležité, aby sa osobitne zohľadnili záujmy výrobcov malých a stredných podnikov, najmä mikropodnikov a malých podnikov vrátane startupov. Na tento účel by členské štáty mohli vyvinúť iniciatívy zamerané na výrobcov z radov mikropodnikov alebo malých podnikov, a to aj v oblasti odbornej prípravy, zvyšovania informovanosti, komunikácie a testovania a činností posudzovania zhody tretími stranami, ako aj vytvárania experimentálnych prostredí. Náklady na preklady súvisiace s povinnou dokumentáciou, ako je technická dokumentácia a informácie a návody pre používateľov požadované podľa tohto nariadenia, a komunikácia s orgánmi môžu predstavovať značné výdavky najmä pre malých výrobcov. Členské štáty by preto mali podľa možnosti zvážiť, aby jedným z jazykov, ktoré určia a akceptujú na účely príslušnej dokumentácie výrobcov a komunikácie s nimi, bol jazyk, ktorému vo všeobecnosti rozumie čo najväčší počet používateľov.
(96) S cieľom zabezpečiť bezproblémové uplatňovanie tohto nariadenia by členské štáty mali pred dátumom začatia jeho uplatňovania zabezpečiť, aby bol v Únii dostatočný počet notifikovaných osôb na výkon posudzovania zhody treťou stranou. Komisia by v tomto úsilí mala pomáhať členským štátom a iným relevantným subjektom, aby sa predišlo problémovým miestam a prekážkam pri vstupe výrobcov na trh. Cielené činnosti odbornej prípravy pod vedením členských štátov, prípadne aj s podporou Komisie, môžu prispieť k dostupnosti kvalifikovaných odborníkov, a to aj na podporu činností notifikovaných osôb podľa tohto nariadenia. Okrem toho by sa vzhľadom na náklady, ktoré môže predstavovať posudzovanie zhody treťou stranou, mali zvážiť iniciatívy financovania na úrovni Únie a členských štátov, ktorých cieľom je zmierniť takéto náklady pre mikropodniky a malé podniky.
(97) S cieľom zabezpečiť proporcionalitu by orgány posudzovania zhody mali pri určovaní poplatkov za postupy posudzovania zhody zohľadňovať osobitné záujmy a potreby mikropodnikov a malých a stredných podnikov vrátane startupov. Orgány posudzovania zhody by predovšetkým mali uplatňovať príslušný postup preskúmania a skúšky stanovené v tomto nariadení len v prípade potreby a podľa prístupu založeného na riziku.
(98) Cieľom experimentálnych regulačných prostredí by mala byť podpora inovácií a konkurencieschopnosti podnikov vytvorením kontrolovaných testovacích prostredí pred uvedením produktov s digitálnymi prvkami na trh. Experimentálne regulačné prostredia by mali prispieť k zlepšeniu právnej istoty pre všetkých aktérov, ktorí patria do rozsahu pôsobnosti tohto nariadenia, a uľahčiť a urýchliť prístup produktov s digitálnymi prvkami na trh Únie, najmä ak ich poskytujú mikropodniky a malé podniky vrátane startupov.
(99) S cieľom vykonávať posudzovanie zhody treťou stranou v prípade produktov s digitálnymi prvkami by vnútroštátne notifikujúce orgány mali Komisii a ostatným členským štátom notifikovať orgány posudzovania zhody za predpokladu, že spĺňajú súbor požiadaviek, najmä pokiaľ ide o nezávislosť, spôsobilosť a neexistenciu konfliktu záujmov.
(100) S cieľom zabezpečiť konzistentnú úroveň kvality výkonu posudzovania zhody produktov s digitálnymi prvkami je takisto potrebné stanoviť požiadavky na notifikujúce orgány a iné orgány zapojené do posudzovania, notifikácie a monitorovania notifikovaných osôb. Systém stanovený v tomto nariadení by mal byť doplnený systémom akreditácie stanovený v nariadení (ES) č. 765/2008. Keďže akreditácia je základným prostriedkom na overenie odbornej spôsobilosti orgánov posudzovania zhody, mala by sa používať aj na účely notifikácie.
(101) Orgány posudzovania zhody, ktoré boli akreditované a notifikované podľa právnych predpisov Únie, ktorými sa stanovujú požiadavky podobné požiadavkám stanoveným v tomto nariadení, ako napríklad orgán posudzovania zhody, ktorý bol notifikovaný pre európsky systém certifikácie kybernetickej bezpečnosti prijatý podľa nariadenia (EÚ) 2019/881 alebo podľa delegovaného nariadenia (EÚ) 2022/30, by sa mali znovu posúdiť a notifikovať podľa tohto nariadenia. Príslušné orgány však môžu vymedziť synergie akýchkoľvek duplicitných požiadaviek s cieľom zabrániť zbytočnej finančnej a administratívnej záťaži a zabezpečiť bezproblémový a včasný proces notifikácie.
(102) Transparentnú akreditáciu stanovenú v nariadení (ES) č. 765/2008, ktorou sa zabezpečuje potrebná úroveň dôvery v certifikáty zhody, by mali vnútroštátne subjekty verejného sektora v celej Únii považovať za prednostný spôsob preukazovania technickej spôsobilosti orgánov posudzovania zhody. Vnútroštátne orgány sa však môžu domnievať, že majú k dispozícii vhodné prostriedky na to, aby toto hodnotenie uskutočnili samy. V takom prípade by mali v záujme zabezpečenia vhodnej úrovne dôveryhodnosti hodnotenia vykonávaného inými vnútroštátnymi orgánmi poskytnúť Komisii a ostatným členským štátom nevyhnutné listinné dôkazy preukazujúce súlad hodnotených orgánov posudzovania zhody s príslušnými regulačnými požiadavkami.
(103) Orgány posudzovania zhody často zadávajú časť svojich činností spojených s posudzovaním zhody subdodávateľom alebo pomocným orgánom. S cieľom zabezpečiť úroveň ochrany požadovanú v súvislosti s produktmi s digitálnymi prvkami, ktoré sa majú uviesť na trh, je nevyhnutné, aby subdodávatelia a pomocné orgány vykonávajúce posudzovanie zhody spĺňali pri vykonávaní úloh posudzovania zhody rovnaké požiadavky ako notifikované osoby.
(104) Notifikujúci orgán by mal notifikáciu orgánu posudzovania zhody zaslať Komisii a ostatným členským štátom prostredníctvom informačného systému NANDO. NANDO je elektronický nástroj na oznamovanie, ktorý vyvinula a spravuje Komisia a v ktorom sa nachádza zoznam všetkých notifikovaných osôb.
(105) Keďže notifikované osoby môžu ponúkať svoje služby v celej Únii, je vhodné poskytnúť iným členským štátom a Komisii možnosť vzniesť v súvislosti s notifikovanými osobami námietky. Je preto dôležité stanoviť lehotu, počas ktorej bude možné objasniť všetky pochybnosti alebo obavy, pokiaľ ide o spôsobilosť orgánov posudzovania zhody skôr, než začnú pôsobiť ako notifikované osoby.
(106) V záujme konkurencieschopnosti je nevyhnutné, aby notifikované osoby uplatňovali postupy posudzovania zhody, ktoré zbytočne nezaťažujú hospodárske subjekty. Z rovnakého dôvodu a s cieľom zaistiť rovnaké zaobchádzanie s hospodárskymi subjektmi je potrebné zabezpečiť konzistentné technické uplatňovanie postupov posudzovania zhody. Najlepšie by sa to malo dosiahnuť primeranou koordináciou a spoluprácou medzi notifikovanými osobami.
(107) Dohľad nad trhom predstavuje nevyhnutný nástroj zaisťovania správneho a jednotného uplatňovania práva Únie. Je preto vhodné zaviesť právny rámec, v ktorom sa môže dohľad nad trhom vykonávať primeraným spôsobom. Na produkty s digitálnymi prvkami, ktoré patria do pôsobnosti tohto nariadenia, sa uplatňujú pravidlá pre dohľad nad trhom Únie a kontrolu produktov vstupujúcich na trh Únie stanovené v nariadení (EÚ) 2019/1020.
(108) Orgán dohľadu nad trhom vykonáva v súlade s nariadením (EÚ) 2019/1020 dohľad nad trhom na území členského štátu, ktorý ho vymenuje. Toto nariadenie by členským štátom nemalo brániť vo výbere príslušných orgánov na vykonávanie úloh dohľadu nad trhom. Každý členský štát by mal na svojom území určiť jeden orgán alebo viac orgánov dohľadu nad trhom. Členské štáty by mali mať možnosť určiť ktorýkoľvek existujúci alebo nový orgán, aby konal ako orgán dohľadu nad trhom, a to vrátane ▌ príslušných orgánov vymenovaných alebo zriadených podľa článku 8 smernice (EÚ) 2022/2555 alebo určených vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti vymenovaných podľa článku 58 nariadenia (EÚ) 2019/881 alebo orgánov dohľadu nad trhom vymenovaných na účely smernice 2014/53/EÚ. Hospodárske subjekty by mali v plnej miere spolupracovať s orgánmi dohľadu nad trhom a s ďalšími príslušnými orgánmi. Každý členský štát by mal o svojich orgánoch dohľadu nad trhom a oblasti pôsobnosti každého z týchto orgánov informovať Komisiu a ostatné členské štáty a mal by zaistiť potrebné zdroje a zručnosti na vykonávanie úloh dohľadu nad trhom v súvislosti s týmto nariadením. Podľa článku 10 ods. 2 a 3 nariadenia (EÚ) 2019/1020 by mal každý členský štát vymenovať jednotný úrad pre spoluprácu zodpovedný okrem iného za zastupovanie koordinovanej pozície orgánov dohľadu nad trhom a pomoc v rámci spolupráce orgánov dohľadu nad trhom v rôznych členských štátoch.
(109) Na jednotné uplatňovanie tohto nariadenia by sa podľa článku 30 ods. 2 nariadenia (EÚ) 2019/1020 mala zriadiť osobitná skupina pre administratívnu spoluprácu (ADCO) v oblasti kybernetickej odolnosti produktov s digitálnymi prvkami. Skupinu ADCO by mali tvoriť zástupcovia určených orgánov dohľadu nad trhom a prípadne zástupcovia jednotných úradov pre spoluprácu. Komisia by mala podporovať a podnecovať spoluprácu medzi orgánmi dohľadu nad trhom prostredníctvom siete Únie pre súlad výrobkov zriadenej podľa článku 29 nariadenia (EÚ) 2019/1020, ktorá pozostáva zo zástupcov každého členského štátu vrátane zástupcu každého jednotného úradu pre spoluprácu uvedeného v článku 10 uvedeného nariadenia a prípadného národného experta, predsedov skupín ADCO a zástupcov z Komisie. Komisia by sa mala zúčastňovať na zasadnutiach siete Únie pre súlad výrobkov, jej podskupín a skupiny ADCO. Mala by takisto pomáhať skupine ADCO prostredníctvom výkonného sekretariátu, ktorý poskytuje technickú a logistickú podporu. ADCO môže takisto prizvať nezávislých odborníkov, aby sa spojili a spolupracovali s inými skupinami ADCO, napríklad zriadenými podľa smernice 2014/53/EÚ.
(110) Orgány dohľadu nad trhom by mali prostredníctvom skupiny ADCO zriadenej podľa tohto nariadenia úzko spolupracovať a mali by mať možnosť vypracovať usmerňovacie dokumenty na uľahčenie činností dohľadu nad trhom na vnútroštátnej úrovni, napríklad vypracovaním najlepších postupov a ukazovateľov na účinnú kontrolu súladu produktov s digitálnymi prvkami s týmto nariadením.
(111) Na zabezpečenie včasných, primeraných a účinných opatrení týkajúcich sa produktov s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko, by sa mal stanoviť ochranný postup Únie, v rámci ktorého sa zainteresované strany informujú o opatreniach, ktoré sa majú prijať v súvislosti s takýmito produktmi. Orgánom dohľadu nad trhom by sa malo takisto umožniť v prípade potreby konať v spolupráci s príslušnými hospodárskymi subjektmi v skoršej fáze. Ak členské štáty a Komisia súhlasia so zdôvodnením opatrenia prijatého členským štátom, nemalo by byť potrebné žiadne ďalšie zapojenie Komisie s výnimkou prípadov, keď nesúlad možno pripísať nedostatkom harmonizovanej normy.
(112) V určitých prípadoch môže produkt s digitálnymi prvkami, ktorý je v súlade s týmto nariadením, napriek tomu predstavovať významné kybernetickobezpečnostné riziko alebo riziko pre zdravie a bezpečnosť osôb, dodržiavanie povinností podľa práva Únie alebo vnútroštátneho práva, ktorých cieľom je ochrana základných práv, pre dostupnosť, pravosť, integritu alebo dôvernosť služieb ponúkaných prostredníctvom elektronického informačného systému základnými subjektmi podľa článku 3 ods. 1 ▌smernice (EÚ) 2022/2555 alebo iné aspekty ochrany verejného záujmu. Preto je potrebné stanoviť pravidlá, ktorými sa zaistí zmiernenie týchto rizík. Preto by orgány dohľadu nad trhom mali prijať opatrenia, ktorými by sa od hospodárskeho subjektu v závislosti od rizika vyžadovalo zaistenie stiahnutia produktu od používateľa alebo z trhu, aby už nepredstavoval uvedené riziko. Keď orgán dohľadu nad trhom takto obmedzí alebo zakáže voľný pohyb produktu s digitálnymi prvkami, členský štát by mal bezodkladne oznámiť predbežné opatrenia Komisii a ostatným členským štátom, pričom uvedie dôvody a opodstatnenie rozhodnutia.
Ak orgán dohľadu nad trhom prijme takéto opatrenia proti produktom s digitálnymi prvkami predstavujúcim riziko, Komisia by mala bezodkladne začať konzultácie s členskými štátmi a príslušným hospodárskym subjektom alebo hospodárskymi subjektmi a mala by vyhodnotiť dané vnútroštátne opatrenie. Na základe výsledkov tohto hodnotenia by Komisia mala rozhodnúť, či vnútroštátne opatrenie je alebo nie je opodstatnené. Komisia by mala svoje rozhodnutie adresovať všetkým členským štátom a okamžite ho oznámiť týmto členským štátom a príslušnému hospodárskemu subjektu či subjektom. Ak sa opatrenie považuje za opodstatnené, Komisia môže zvážiť aj prijatie návrhov na revíziu príslušných právnych predpisov Únie.
(113) V prípade produktov s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko, a ak existuje dôvod domnievať sa, že nie sú v súlade s týmto nariadením, alebo v prípade produktov, ktoré sú v súlade s týmto nariadením, ale predstavujú iné významné riziká, napríklad riziká pre zdravie alebo bezpečnosť osôb, pre dodržiavanie povinností podľa právnych predpisov Únie alebo vnútroštátnych právnych predpisov, ktoré majú chrániť základné práva, alebo pre dostupnosť, pravosť, integritu alebo dôvernosť služieb poskytovaných pomocou elektronického informačného systému základnými subjektmi ▌podľa článku 3 ods. 1 smernice (EÚ) 2022/2555, by Komisia mala mať možnosť požiadať agentúru ENISA o vykonanie hodnotenia. Na základe tohto hodnotenia by Komisia mala mať možnosťprostredníctvom vykonávacích aktov prijať nápravné alebo reštriktívne opatrenia na úrovni Únie, ako aj požiadať o stiahnutie príslušných produktov s digitálnymi prvkami z trhu alebo od používateľov v primeranej lehote úmernej povahe rizika. Komisia by mala mať možnosť využiť takýto zásah len za mimoriadnych okolností, ktoré opodstatňujú okamžitý zásah s cieľom zachovať riadne fungovanie vnútorného trhu, a len vtedy, ak orgány dohľadu nad trhom neprijali na nápravu situácie žiadne účinné opatrenia.
Takýmito mimoriadnymi okolnosťami môžu byť núdzové situácie, keď napríklad výrobca vo veľkej miere sprístupňuje vo viacerých členských štátoch nevyhovujúci produkt s digitálnymi prvkami, ktorý používajú aj subjekty v kľúčových odvetviach, ktoré patria do rozsahu pôsobnosti ▌ smernice (EÚ) 2022/2555, i keď obsahuje známe zraniteľnosti, ktoré zneužívajú škodlivé subjekty a na ktoré výrobca neposkytuje dostupné záplaty. Komisia by mala mať možnosť v takýchto núdzových situáciách zasiahnuť len počas trvania mimoriadnych okolností a ak pretrváva nesúlad s týmto nariadením alebo prezentované významné riziká.
(114) Ak existujú náznaky nesúladu s týmto nariadením vo viacerých členských štátoch, orgány dohľadu nad trhom by mali mať možnosť vykonávať spoločné činnosti s ostatnými orgánmi s cieľom overiť dodržiavanie súladu a identifikovať kybernetickobezpečnostné riziká produktov s digitálnymi prvkami.
(115) Bezpečnosť produktov môžu ďalej zvýšiť súbežné koordinované kontrolné akcie (ďalej len „kontrolné akcie“), ktoré sú osobitnými opatreniami orgánov dohľadu nad trhom na presadzovanie práva. Kontrolné akcie by sa mali vykonávať najmä vtedy, keď z trhových trendov, sťažností spotrebiteľov alebo iných náznakov vyplýva, že pri určitých kategóriách produktov s digitálnymi prvkami sa často zisťuje, že predstavujú kybernetickobezpečnostné riziká. Okrem toho by orgány dohľadu nad trhom pri určovaní kategórií produktov, ktoré majú podliehať kontrolným akciám, mali zohľadniť aj aspekty týkajúce sa netechnických rizikových faktorov. Na tento účel by orgány dohľadu nad trhom mali mať možnosť zohľadniť výsledky koordinovaného posúdenia bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie, ktoré sa vykonáva v súlade s článkom 22 smernice (EÚ) 2022/2555, a to vrátane aspektov týkajúcich sa netechnických rizikových faktorov. Agentúra ENISA by mala orgánom dohľadu nad trhom predložiť návrhy kategórií produktov s digitálnymi prvkami, v prípade ktorých by sa mohli organizovať kontrolné akcie okrem iného na základe prijatých oznámení o zraniteľnostiach produktov a incidentoch.
(116) Vzhľadom na svoje odborné znalosti a mandát by agentúra ENISA mala byť schopná podporovať proces vykonávania tohto nariadenia. Mala by byť najmä schopná navrhovať spoločné činnosti, ktoré by mali vykonávať orgány dohľadu nad trhom na základe údajov alebo informácií o možnom nesúlade produktov s digitálnymi prvkami s týmto nariadením vo viacerých členských štátoch, alebo identifikovať kategórie produktov, pri ktorých by sa mali organizovať kontrolné akcie. Za mimoriadnych okolností by na žiadosť Komisie mala byť agentúra ENISA schopná vykonať hodnotenie konkrétnych produktov s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko, keď sa vyžaduje okamžitý zásah v záujme zachovania riadneho fungovania vnútorného trhu.
(117) Týmto nariadením sa agentúra ENISA poveruje vykonávaním určitých úloh, ktoré si vyžadujú primerané zdroje, pokiaľ ide o odborné znalosti aj ľudské zdroje, aby mohla tieto úlohy účinne vykonávať. Komisia pri príprave návrhu všeobecného rozpočtu Únie navrhne potrebné rozpočtové zdroje pre plán pracovných miest agentúry ENISA v súlade s postupom stanoveným v článku 29 nariadenia (EÚ) 2019/881. Počas tohto procesu Komisia posúdi celkové zdroje agentúry ENISA, aby mohla plniť svoje úlohy vrátane úloh, ktorých vykonávaním je poverená podľa tohto nariadenia.
(118) S cieľom zabezpečiť, aby sa regulačný rámec mohol v prípade potreby upraviť, by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie (ZFEÚ), pokiaľ ide o aktualizáciu a prílohu so zoznamom dôležitých produktov s digitálnymi prvkami ▌. Právomoc prijímať akty v súlade s uvedeným článkom by sa mala na Komisiu delegovať s cieľom identifikovať produkty s digitálnymi prvkami, na ktoré sa vzťahujú iné pravidlá Únie, ktorými sa dosahuje rovnaká úroveň ochrany ako týmto nariadením, pričom sa špecifikuje, či by bolo potrebné obmedzenie alebo vylúčenie z rozsahu pôsobnosti tohto nariadenia, ako aj prípadný rozsah uvedeného obmedzenia. Právomoc prijímať akty v súlade s uvedeným článkom by sa mala delegovať na Komisiu aj v súvislosti s možným poverením týkajúcim sa certifikácie kritických produktov s digitálnymi prvkami v rámci európskeho systému certifikácie kybernetickej bezpečnosti stanoveného v prílohe k tomuto nariadeniu, ako aj pokiaľ ide o aktualizáciu zoznamu kritických produktov s digitálnymi prvkami založenými na kritériách kritickosti stanovených v tomto nariadení a na spresnenie európskych systémov certifikácie kybernetickej bezpečnosti prijatých podľa nariadenia (EÚ) 2019/881, ktoré možno použiť na preukázanie zhody so základnými požiadavkami alebo ich časťami stanovenými v prílohe k tomuto nariadeniu.
Na Komisiu by sa mala delegovať aj právomoc prijímať delegované akty s cieľom stanoviť minimálne obdobie podpory pre konkrétne kategórie produktov, ak z údajov z dohľadu nad trhom vyplývajú neprimerané obdobia podpory, ako aj stanoviť podmienky uplatňovania dôvodov spojených s kybernetickou bezpečnosťou v súvislosti s odkladom rozosielania oznámení o aktívne zneužívaných zraniteľnostiach. Okrem toho by sa mala na Komisiu delegovať právomoc prijímať delegované akty s cieľom stanoviť dobrovoľné programy bezpečnostných osvedčení na posudzovanie zhody produktov s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, so všetkými alebo určitými základnými požiadavkami alebo inými povinnosťami stanovenými v tomto nariadení, ako aj špecifikovať minimálny obsah vyhlásenia EÚ o zhode a doplniť prvky, ktoré sa majú zahrnúť do technickej dokumentácie. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva(33).
Predovšetkým v záujme rovnakého zastúpenia pri príprave delegovaných aktov sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematický prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov. Právomoc prijímať delegované akty podľa tohto nariadenia sa Komisii udeľuje na obdobie do ... [piatich rokov odo dňa nadobudnutia účinnosti tohto nariadenia]. Najneskôr deväť mesiacov pred uplynutím tohto päťročného obdobia Komisia vypracuje správu o delegovaní právomoci. Delegovanie právomoci by sa malo automaticky predĺžiť o rovnako dlhé obdobia, pokiaľ Európsky parlament alebo Rada nevznesú voči takémuto predĺženiu námietku najneskôr tri mesiace pred koncom každého obdobia.
(119) S cieľom zabezpečiť jednotné podmienky vykonávania tohto nariadenia by sa mali na Komisiu preniesť vykonávacie právomoci s cieľom spresniť technický opis kategórií dôležitých produktov s digitálnymi prvkami stanovený v prílohe k tomuto nariadeniu, špecifikovať formát a prvky softvérového kusovníka, bližšie špecifikovať ▌formát a postup oznamovania aktívne zneužívaných zraniteľností a závažných incidentov, ktoré majú vplyv na bezpečnosť produktov s digitálnymi prvkami predložených výrobcami, stanoviť spoločné špecifikácie zahŕňajúce technické požiadavky, ktoré poskytujú prostriedky na splnenie základných požiadaviek ▌stanovených v prílohe k tomuto nariadeniu, ▌stanoviť technické špecifikácie pre štítky, piktogramy alebo akékoľvek iné značky týkajúce sa bezpečnosti produktov s digitálnymi prvkami, obdobia ich podpory a mechanizmov na propagáciu ich používania a na zvýšenie informovanosti verejnosti o bezpečnosti produktov s digitálnymi prvkami, špecifikovať zjednodušený dokumentačný formulár zameraný na potreby mikropodnikov a malých podnikov a rozhodnúť o nápravných alebo reštriktívnych opatreniach na úrovni Únie za výnimočných okolností, ktoré opodstatňujú okamžitý zásah na zachovanie riadneho fungovania vnútorného trhu. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011(34).
(120) Na zabezpečenie dôveryhodnej a konštruktívnej spolupráce orgánov dohľadu nad trhom na úrovni Únie a na vnútroštátnej úrovni by mali všetky strany zapojené do uplatňovania tohto nariadenia rešpektovať dôvernosť informácií a údajov získaných pri plnení svojich úloh.
(121) V záujme zabezpečenia účinného presadzovania povinností stanovených v tomto nariadení by každý orgán dohľadu nad trhom mal mať právomoc ukladať správne pokuty alebo požiadať o ich uloženie. Mali by sa preto zaviesť maximálne úrovne správnych pokút, ktoré sa majú stanoviť vo vnútroštátnych právnych predpisoch za nesplnenie povinností stanovených v tomto nariadení. Pri rozhodovaní o výške správnej pokuty v každom jednotlivom prípade by sa mali zohľadniť všetky relevantné okolnosti konkrétnej situácie a minimálne tie, ktoré sú výslovne uvedené v tomto nariadení vrátane toho, či je výrobca mikropodnikom alebo malým či stredným podnikom, prípadne startupom, a či už tomu istémuhospodárskemu subjektu uložili tie isté alebo iné orgány dohľadu nad trhom správne poplatky za podobné porušenia.
Takéto okolnosti by mohli byť buď priťažujúce v situáciách, keď porušenie tým istým hospodárskym subjektom pretrváva na území iných členských štátov, než je členský štát, v ktorom už bola uložená správna pokuta, alebo poľahčujúce, pričom sa zaistí, aby sa pri každej ďalšej správnej pokute, ktorú zvažuje iný orgán dohľadu nad trhom pre ten istý hospodársky subjekt alebo ten istý druh porušenia, už zohľadnila spolu s ostatnými relevantnými osobitnými okolnosťami pokuta a jej výška uložená v iných členských štátoch. Vo všetkých takýchto prípadoch by sa súhrnnou správnou pokutou, ktorú by mohli orgány dohľadu nad trhom z viacerých členských štátov uložiť tomu istému hospodárskemu subjektu za rovnaký druh porušenia, malo zaistiť dodržanie zásady proporcionality. Keďže správne pokuty sa nevzťahujú na mikropodniky alebo malé podniky za nedodržanie 24-hodinovej lehoty na včasné varovné oznámenia o aktívne zneužívaných zraniteľnostiach alebo závažných incidentoch, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami, ani na správcov softvéru s otvoreným zdrojovým kódom za akékoľvek porušenie tohto nariadenia, a s výhradou zásady, že sankcie by mali byť účinné, primerané a odrádzajúce, by členské štáty týmto subjektom nemali ukladať iné druhy peňažných sankcií.
(122) Ak sa správne pokuty ukladajú osobe, ktorá nie je podnikom, príslušný orgán by mal pri rozhodovaní o primeranej výške pokuty zohľadniť všeobecnú úroveň príjmov v členskom štáte, ako aj majetkové pomery danej osoby. Členské štáty by mali určiť, či a do akej miery by orgány verejnej moci mali podliehať správnym pokutám.
(123) Členské štáty by mali s prihliadnutím na vnútroštátne okolnosti preskúmať možnosť použiť príjmy z pokút stanovených v tomto nariadení alebo ich finančný ekvivalent na podporu politík kybernetickej bezpečnosti a zvýšenie úrovne kybernetickej bezpečnosti v Únii okrem iného zvýšením počtu kvalifikovaných odborníkov v oblasti kybernetickej bezpečnosti, posilnením budovania kapacít mikropodnikov a malých a stredných podnikov a zlepšením informovanosti verejnosti o kybernetických hrozbách.
(124) Vo svojich vzťahoch s tretími krajinami sa Únia snaží podporovať medzinárodný obchod s regulovanými produktmi. Na uľahčenie obchodu sa môže uplatniť široká paleta opatrení vrátane viacerých právnych nástrojov, ako sú dvojstranné (medzivládne) dohody o vzájomnom uznávaní posudzovania zhody a označovania regulovaných produktov. Dohody o vzájomnom uznávaní sa uzatvárajú medzi Úniou a tretími krajinami, ktoré sú na porovnateľnej úrovni technického vývoja a majú kompatibilný prístup k posudzovaniu zhody. Tieto dohody sú založené na vzájomnom uznávaní certifikátov, označení zhody a protokolov o skúškach vydaných orgánmi posudzovania zhody každej strany v súlade s právnymi predpismi druhej strany. V súčasnosti sú dohody o vzájomnom uznávaní uzavreté s niekoľkými krajinami. Tieto dohody sú uzatvorené v mnohých špecifických odvetviach, ktoré sa v jednotlivých krajinách líšiť. Na ďalšie uľahčenie obchodu a vzhľadom na to, že dodávateľské reťazce produktov s digitálnymi prvkami sú celosvetové, môže Únia v súlade s článkom 218 ZFEÚ uzatvárať dohody o vzájomnom uznávaní posúdení zhody pre produkty, na ktoré sa vzťahuje toto nariadenie. Dôležitá je aj spolupráca s partnerskými krajinami s cieľom celosvetovo posilniť kybernetickú odolnosť, keďže z dlhodobého hľadiska to prispeje k posilnenému rámcu kybernetickej bezpečnosti v Únii aj mimo nej.
(125) V súvislosti s povinnosťami uloženými hospodárskym subjektom podľa tohto nariadenia by spotrebitelia mali mať právo presadzovať svoje práva prostredníctvom žalôb v zastúpení v súlade so smernicou Európskeho parlamentu a Rady (EÚ) 2020/1828(35). Na tento účel by sa v tomto nariadení malo stanoviť, že smernica (EÚ) 2020/1828 sa uplatňuje na žaloby v zastúpení týkajúce sa porušení tohto nariadenia, ktoré poškodzujú alebo môžu poškodiť kolektívne záujmy spotrebiteľov. Preto by sa mala zodpovedajúcim spôsobom zmeniť príloha I k uvedenej smernici. Úlohou členských štátov je zabezpečiť, aby sa tieto zmeny zohľadnili v transpozičných opatreniach prijatých v súlade s uvedenou smernicou, aj keď prijatie vnútroštátnych transpozičných opatrení v tejto súvislosti nie je podmienkou uplatniteľnosti uvedenej smernice na uvedené žaloby v zastúpení. Uplatniteľnosť uvedenej smernice na žaloby v zastúpení podané proti porušeniu ustanovení tohto nariadenia hospodárskymi subjektmi, ktoré poškodzujú alebo môžu poškodiť kolektívne záujmy spotrebiteľov, by sa mala začať od ... [36 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia].
(126) Komisia by mala toto nariadenie pravidelne preskúmavať a radiť sa pritom s príslušnými zainteresovanými stranami najmä s cieľom určiť, či ho treba zmeniť na základe zmien spoločenských, politických, technologických alebo trhových podmienok. Týmto nariadením sa uľahčí dodržiavanie povinností v oblasti bezpečnosti dodávateľského reťazca pre subjekty, ktoré patria do rozsahu pôsobnosti nariadenia (EÚ) 2022/2554 a smernice (EÚ) 2022/2555 a ktoré používajú produkty s digitálnymi prvkami. V rámci tohto pravidelného preskúmania by Komisia mala vyhodnotiť kombinované účinky rámca kybernetickej bezpečnosti Únie.
(127) Hospodárskym subjektom by sa mal poskytnúť dostatočný čas prispôsobiť sa požiadavkám stanoveným v tomto nariadení. Toto nariadenie by sa malo uplatňovať od ... [36 mesiacov odo dňa nadobudnutia jeho účinnosti]▌ s výnimkou oznamovacích povinností týkajúcich sa aktívne zneužívaných zraniteľností a závažných incidentov, ktoré majú vplyv na bezpečnosť produktov s digitálnymi prvkami, ktoré by sa mali uplatňovať od ... [21 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia]a ustanovení o oznamovaní orgánov posudzovania zhody, ktoré by sa mali uplatňovať od[18 mesiacov ▌ odo dňa nadobudnutia účinnosti tohto nariadenia].
(128) Pri vykonávaní tohto nariadenia je dôležité poskytnúť podporu mikropodnikom a malým a stredným podnikom vrátane startupov a minimalizovať riziká pre vykonávanie vyplývajúce z nedostatku poznatkov a odborných znalostí na trhu, a to aj s cieľom uľahčiť výrobcom plnenie ich povinností stanovených v tomto nariadení. Program Digitálna Európa a iné príslušné programy Únie poskytujú finančnú a technickú podporu, ktorá týmto podnikom umožňuje prispievať k rastu hospodárstva Únie a posilneniu spoločnej úrovne kybernetickej bezpečnosti v Únii. Podniky a organizácie verejného sektora by mohli podporovať aj Európske centrum kompetencií v oblasti kybernetickej bezpečnosti a národné koordinačné centrá, ako aj európske centrá digitálnych inovácií zriadené Komisiou a členskými štátmi na úrovni Únie alebo na vnútroštátnej úrovni a mohli by prispieť k vykonávaniu tohto nariadenia. V rámci svojich príslušných úloh a oblastí pôsobnosti by mohli poskytovať technickú a vedeckú podporu mikropodnikom a malým a stredným podnikom, napríklad pri testovaní a posudzovaní zhody tretími stranami. Mohli by tiež podporiť zavádzanie nástrojov na uľahčenie vykonávania tohto nariadenia.
(129) Okrem toho by členské štáty mali zvážiť všetky možné doplnkové opatrenia zamerané na poskytovanie usmernení a podpory mikropodnikom a malým a stredným podnikom, ako je zriaďovanie experimentálnych regulačných prostredí a osobitných komunikačných kanálov. S cieľom posilniť úroveň kybernetickej bezpečnosti v Únii môžu členské štáty zvážiť aj poskytnutie podpory na rozvoj kapacít a zručností súvisiacich s kybernetickou bezpečnosťou produktov s digitálnymi prvkami, zlepšenie kybernetickej odolnosti hospodárskych subjektov, najmä mikropodnikov a malých a stredných podnikov, a zvýšenie informovanosti verejnosti o kybernetickej bezpečnosti produktov s digitálnymi prvkami.
(130) Keďže cieľ tohto nariadenia nie je možné uspokojivo dosiahnuť na úrovni samotných členských štátov, ale z dôvodu dôsledkov činnosti ho možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie týchto cieľov.
(131) S európskym dozorným úradníkom pre ochranu údajov sa konzultovalo v súlade s článkom 42 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725(36) a európsky dozorný úradník pre ochranu údajov vydal stanovisko 9. novembra 2022(37),
PRIJALI TOTO NARIADENIE:
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
Článok 1
Predmet úpravy
V tomto nariadení sa stanovujú:
a) pravidlá sprístupňovania produktov s digitálnymi prvkami na trhu s cieľom zaistiť ich kybernetickú bezpečnosť;
b) základné požiadavky na návrh, vývoj a výrobu produktov s digitálnymi prvkami a povinnosti hospodárskych subjektov v súvislosti s týmito produktmi, pokiaľ ide o kybernetickú bezpečnosť;
c) základné požiadavky na procesy riešenia zraniteľností zavedené výrobcami s cieľom zaistiť kybernetickú bezpečnosť produktov s digitálnymi prvkami počas predpokladaného obdobia používania produktu, a povinnosti hospodárskych subjektov v súvislosti s týmito procesmi;
d) pravidlá dohľadu nad trhom vrátane monitorovania a presadzovanie pravidiel a požiadaviek uvedených v tomto článku.
Článok 2
Rozsah pôsobnosti
1. Toto nariadenie sa uplatňuje na všetky produkty s digitálnymi prvkami sprístupnenými na trhu, ktorých zamýšľaný účel alebo odôvodnene predvídateľné použitie zahŕňa priame alebo nepriame logické alebo fyzické dátové pripojenie k zariadeniu alebo sieti.
2. Toto nariadenie sa neuplatňuje na produkty s digitálnymi prvkami, na ktoré sa uplatňujú tieto právne akty Únie:
a) nariadenie (EÚ) 2017/745;
b) nariadenie (EÚ) 2017/746;
c) nariadenie (EÚ) 2019/2144.
3. Toto nariadenie sa neuplatňuje na produkty s digitálnymi prvkami, ktoré boli certifikované v súlade s nariadením (EÚ) 2018/1139.
4. Toto nariadenie sa nevzťahuje na vybavenie, ktoré patrí do rozsahu pôsobnosti smernice Európskeho parlamentu a Rady 2014/90/EÚ(38).
5. Uplatňovanie tohto nariadenia na produkty s digitálnymi prvkami, na ktoré sa vzťahujú iné pravidlá Únie stanovujúce požiadavky, ktoré sa týkajú všetkých alebo niektorých rizík, na ktoré sa vzťahujú základné požiadavky uvedené v prílohe I, sa môže obmedziť alebo vylúčiť, ak:
a) je takéto obmedzenie alebo vylúčenie v súlade s celkovým regulačným rámcom, ktorý sa na tieto produkty uplatňuje; a
b) sa sektorovými predpismi dosahuje rovnaká alebo vyššia úroveň ochrany, ako je úroveň stanovená v tomto nariadení.
Komisia je v súlade s článkom 61 splnomocnená prijímať delegované akty s cieľom doplniť toto nariadenie, pričom špecifikuje, či je takéto obmedzenie alebo vylúčenie potrebné a uvedie dotknuté produkty a pravidlá, ako aj prípadný rozsah obmedzenia.
6. Toto nariadenie sa nevzťahuje na náhradné diely, ktoré sa sprístupňujú na trhu s cieľom nahradiť identické komponenty v produktoch s digitálnymi prvkami a ktoré sa vyrábajú podľa rovnakých špecifikácií ako komponenty, ktoré majú nahradiť.
7. Toto nariadenie sa neuplatňuje na produkty s digitálnymi prvkami vyvinuté alebo upravené výlučne na účely národnej bezpečnosti alebo na účely obrany alebo na produkty osobitne určené na spracúvanie utajovaných skutočností.
8. Povinnosti stanovené v tomto nariadení nezahŕňajú poskytovanie informácií, ktorých zverejnenie by bolo v rozpore so základnými záujmami členských štátov v oblasti národnej bezpečnosti, verejnej bezpečnosti alebo obrany.
Článok 3
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:
1. „produkt s digitálnymi prvkami“ je akýkoľvek softvérový alebo hardvérový produkt a jeho riešenia diaľkového spracovania údajov vrátane softvérových alebo hardvérových komponentov, ktoré sa uvádzajú na trh samostatne;
2. „diaľkové spracovanie údajov“ je spracovanie údajov na diaľku, pre ktoré je softvér navrhnutý a vyvinutý výrobcom alebo na zodpovednosť výrobcu a ktorého neexistencia by bránila produktu s digitálnymi prvkami plniť jednu z jeho funkcií;
3. „kybernetická bezpečnosť“ je kybernetická bezpečnosť v zmysle vymedzenia v článku 2 bode 1 nariadenia (EÚ) 2019/881;
4. „softvér“ je časť elektronického informačného systému, ktorý pozostáva z počítačového kódu;
5. „hardvér“ je fyzický elektronický informačný systém alebo jeho časti so schopnosťou spracúvať, uchovávať alebo prenášať digitálne údaje;
6. „komponent“ je softvér alebo hardvér určený na integráciu do elektronického informačného systému;
7. „elektronický informačný systém“ je systém vrátane elektrických alebo elektronických zariadení, ktorý je schopný spracúvať, uchovávať alebo prenášať digitálne údaje;
8. „logické pripojenie“ je virtuálna forma dátového spojenia realizovaná prostredníctvom softvérového rozhrania;
9. „fyzické pripojenie“ je spojenie medzi elektronickými informačnými systémami alebo komponentmi realizované s použitím fyzických prostriedkov vrátane elektrických, optických alebo mechanických rozhraní, vodičov alebo rádiových vĺn;
10. „nepriame pripojenie“ je pripojenie k zariadeniu alebo sieti, ktoré sa nevykonáva priamo, ale skôr ako súčasť väčšieho systému, ktorý je priamo pripojiteľný k takémuto zariadeniu alebo sieti;
▌
11. „koncový bod“ je akékoľvek zariadenie, ktoré je pripojené k sieti a slúži ako vstupný bod do danej siete;
▌
12. „hospodársky subjekt“ je výrobca, splnomocnený zástupca, dovozca, distribútor alebo akákoľvek iná fyzická alebo právnická osoba, ktorá podlieha povinnostiam súvisiacim s výrobou produktov s digitálnymi prvkami alebo s ich sprístupňovaním na trhu v súlade s týmto nariadením;
13. „výrobca“ je fyzická alebo právnická osoba, ktorá vyvíja alebo vyrába produkty s digitálnymi prvkami alebo si dáva navrhnúť, vyvinúť alebo vyrobiť produkty s digitálnymi prvkami a predáva ich pod svojím menom alebo svojou ochrannou známkou, či už za odplatu, speňaženie alebo bezodplatne;
14. „správca softvéru s otvoreným zdrojovým kódom“ je právnická osoba iná ako výrobca, ktorej účelom alebo cieľom je systematicky a trvalo podporovať vývoj špecifických produktov s digitálnymi prvkami považovaných za slobodný softvér a softvér s otvoreným zdrojovým kódom a určených na obchodné činnosti a ktorá zabezpečuje životaschopnosť týchto produktov;
15. „splnomocnený zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorej bolo doručené písomné splnomocnenie od výrobcu konať v jeho mene v súvislosti s konkrétnymi úlohami;
16. „dovozca“ je fyzická alebo právnická osoba usadená v Únii, ktorá uvádza na trh produkt s digitálnymi prvkami označený menom alebo ochrannou známkou fyzickej alebo právnickej osoby usadenej mimo Únie;
17. „distribútor“ je fyzická alebo právnická osoba v dodávateľskom reťazci okrem výrobcu alebo dovozcu, ktorá na trhu Únie sprístupňuje produkt s digitálnymi prvkami bez toho, aby ovplyvňovala jeho vlastnosti;
18. „spotrebiteľ“ je fyzická osoba, ktorá koná na účely, ktoré nesúvisia s jej obchodnou činnosťou, podnikaním, remeslom alebo povolaním;
19. „mikropodniky“, „malé podniky“ a „stredné podniky“ sú mikropodniky, malé a stredné podniky v zmysle vymedzenia v prílohe k odporúčaniu Komisie 2003/361/ES;
20. „obdobie podpory“ je obdobie, počas ktorého je výrobca povinný zabezpečiť účinné riešenie zraniteľností produktu s digitálnymi prvkami v súlade so základnými požiadavkami stanovenými v časti II prílohy I;
21. „uvedenie na trh“ je prvé sprístupnenie produktu s digitálnymi prvkami na trhu Únie;
22. „sprístupnenie na trhu“ je dodávka produktu s digitálnymi prvkami na distribúciu alebo použitie na trhu Únie v rámci obchodnej činnosti, či už za odplatu alebo bezodplatne;
23. „zamýšľaný účel“ je použitie produktu s digitálnymi prvkami, ktoré určil výrobca, vrátane osobitného kontextu a podmienok používania, ako sa uvádza v informáciách od výrobcu v návode na použitie, v propagačných alebo predajných materiáloch a vyhláseniach, ako aj v technickej dokumentácii;
24. „odôvodnene predvídateľné použitie“ je použitie, ktoré nemusí byť nevyhnutne zamýšľaným účelom, ktorý výrobca uvádza v návode na použitie, v propagačných alebo predajných materiáloch a vyhláseniach, ako aj v technickej dokumentácii, ale ktoré pravdepodobne vyplynie z odôvodnene predvídateľného ľudského správania alebo technických operácií či interakcií;
25. „odôvodnene predvídateľné nesprávne použitie“ je použitie produktu s digitálnymi prvkami, ktoré nie je v súlade so zamýšľaným účelom, ale ktoré môže vyplynúť z odôvodnene predvídateľného ľudského správania alebo interakcie s inými systémami;
26. „notifikujúci orgán“ je vnútroštátny orgán zodpovedný za stanovenie a vykonávanie nevyhnutných postupov na posudzovanie, určovanie a notifikáciu orgánov posudzovania zhody a za ich monitorovanie;
27. „posudzovanie zhody“ je postup, ktorým sa overuje, či boli splnené základné požiadavky uvedené v prílohe I;
28. „orgán posudzovania zhody“ je orgán posudzovania zhody v zmysle vymedzenia v bode 13 článku 2 nariadenia (EÚ) č. 765/2008;
29. „notifikovaná osoba“ je orgán posudzovania zhody určený v súlade s článkom 43 a inými relevantnými harmonizačnými právnymi predpismi Únie;
30. „podstatná úprava“ je zmena produktu s digitálnymi prvkami po jeho uvedení na trh, ktorá ovplyvňuje súlad produktu s digitálnymi prvkami so základnými požiadavkami uvedenými v časti I prílohy I alebo ktorá vedie k úprave zamýšľaného účelu, pre ktoré bol produkt s digitálnymi prvkami posudzovaný;
31. „označenie CE“ je označenie, ktorým výrobca vyjadruje, že produkt s digitálnymi prvkami a procesy zavedené výrobcom sú v súlade so základnými požiadavkami uvedenými v prílohe I a s inými uplatniteľnými harmonizačnými právnymi predpismi Únie ▌, ktoré stanovujú umiestnenie tohto označenia;
32. „harmonizačné právne predpisy Únie“ sú právne predpisy Únie uvedené v prílohe I k nariadeniu (EÚ) 2019/1020 a akékoľvek iné právne predpisy Únie, ktorými sa harmonizujú podmienky uvádzania výrobkov, na ktoré sa uvedené nariadenie vzťahuje, na trh;
33. „orgán dohľadu nad trhom“ je orgán dohľadu nad trhom v zmysle vymedzenia v článku 3 bodu 4 nariadenia (EÚ) 2019/1020;
34. „medzinárodná norma“ je medzinárodná norma v zmysle vymedzenia v článku 2 ods. 1 písm. a) nariadenia (EÚ) č. 1025/2012;
35. „európska norma“ je európska norma v zmysle vymedzenia v článku 2 bode 1 písm. b) nariadenia (EÚ) č. 1025/2012;
36. „harmonizovaná norma“ je harmonizovaná norma v zmysle vymedzenia v článku 2 bode 1 písm. c) nariadenia (EÚ) č. 1025/2012;
37. „kybernetickobezpečnostné riziko“ je potenciál straty alebo narušenia v dôsledku incidentu a má byť vyjadrené ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu incidentu;
38. „významné kybernetickobezpečnostné riziko“ je kybernetickobezpečnostné riziko, pri ktorom možno na základe jeho technických charakteristík predpokladať vysokú pravdepodobnosť incidentu, ktorý by mohol viesť k závažnému negatívnemu vplyvu, a to aj spôsobením značnej majetkovej alebo nemajetkovej ujmy či narušenia;
39. „softvérový kusovník“ je formálny záznam obsahujúci podrobnosti a vzťahy v rámci dodávateľského reťazca komponentov zahrnutých v softvérových prvkoch produktu s digitálnymi prvkami;
40. „zraniteľnosť“ je slabá stránka, náchylnosť alebo chyba produktu s digitálnymi prvkami, ktorú môže zneužiť kybernetická hrozba;
41. „zneužiteľná zraniteľnosť“ je zraniteľnosť, ktorú môže nepriateľský subjekt účinne využiť za reálnych prevádzkových podmienok;
42. „aktívne zneužívaná zraniteľnosť“ je zraniteľnosť, v prípade ktorej existuje spoľahlivý dôkaz, že škodlivý ▌subjekt ju zneužil v systéme bez povolenia vlastníka systému;
43. „incident“ je incident v zmysle vymedzenia v článku 6 bode 6 smernice (EÚ) 2022/2555;
44. „incident, ktorý ma vplyv na bezpečnosť produktu s digitálnymi prvkami“ je incident, ktorý negatívne ovplyvňuje alebo môže negatívne ovplyvniť schopnosť produktu s digitálnymi prvkami chrániť dostupnosť, pravosť, integritu alebo dôvernosť údajov alebo funkcií;
45. „udalosť odvrátená v poslednej chvíli“ je udalosť odvrátená v poslednej chvíli v zmysle vymedzenia v článku 6 bode 5 smernice (EÚ) 2022/2555;
46. „kybernetická hrozba“ je kybernetická hrozba v zmysle vymedzenia v článku 2 bode 8 nariadenia (EÚ) 2019/881;
47. „osobné údaje“ sú osobné údaje v zmysle vymedzenia v článku 4 bode 1 nariadenia (EÚ) 2016/679;
48. „slobodný softvér a softvér s otvoreným zdrojovým kódom“ je softvér, ktorého zdrojový kód je voľne dostupný a ktorý je vytvorený na základe bezplatnej a otvorenej licencie, ktorá udeľuje všetky práva na voľný prístup k nemu, jeho použiteľnosť, modifikovateľnosť a redistribúciu;
49. „spätné prevzatie“ je spätné prevzatie v zmysle vymedzenia v článku 3 bode 22 nariadenia (EÚ) 2019/1020;
50. „stiahnutie“ je stiahnutie v zmysle vymedzenia v článku 3 bode 23 nariadenia (EÚ) 2019/1020;
51. „jednotka CSIRT určená za koordinátora“ je jednotka CSIRT určená za koordinátora podľa článku 12 ods. 1 smernice (EÚ) 2022/2555.
Článok 4
Voľný pohyb
1. Členské štáty nesmú v prípade záležitostí, na ktoré sa vzťahuje toto nariadenie, brániť sprístupňovaniu produktov s digitálnymi prvkami, ktoré sú v súlade s týmto nariadením, na trhu.
2. Na obchodných veľtrhoch, výstavách a predvádzaniach alebo podobných podujatiach nesmú členské štáty brániť ukážkam alebo používaniu produktu s digitálnymi prvkami, ktorý nie je v súlade s týmto nariadením, vrátane jeho prototypov, za predpokladu, že je prezentovaný s viditeľným označením, ktoré jasne uvádza, že produkt nie je v súlade s týmto nariadením a že pokiaľ nebude v súlade s týmto nariadením, nesmie sa sprístupňovať na trhu.
3. Členské štáty nesmú brániť sprístupňovaniu nedokončeného softvéru, ktorý nie je v súlade s týmto nariadením, na trhu za predpokladu, že softvér sa sprístupní len na obmedzený čas potrebný na účely testovania a má viditeľné označenie, ktoré jasne uvádza, že nie je v súlade s týmto nariadením a nie je dostupný na trhu na iné účely, než je testovanie.
4. Odsek 3 sa nevzťahuje na bezpečnostné komponenty uvedené v harmonizačných právnych predpisoch Únie iných, ako je toto nariadenie.
Článok 5
Obstarávanie alebo používanie produktov s digitálnymi prvkami
1. Toto nariadenie nebráni členským štátom, aby na produkty s digitálnymi prvkami uplatňovali dodatočné kybernetickobezpečnostné požiadavky na obstarávanie alebo používanie týchto produktov na konkrétne účely, a to aj v prípadoch, keď sa tieto produkty obstarávajú alebo používajú na účely národnej bezpečnosti alebo obrany, za predpokladu, že takéto požiadavky sú v súlade s povinnosťami členských štátov stanovenými v práve Únie a že sú potrebné a primerané na dosiahnutie týchto účelov.
2. Bez toho, aby boli dotknuté smernice 2014/24/EÚ a 2014/25/EÚ, ak sa obstarávajú produkty s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia, členské štáty zabezpečia, aby sa v postupoch verejného obstarávania zohľadňoval súlad so základnými požiadavkami stanovenými v prílohe I k tomuto nariadeniu vrátane schopnosti výrobcov účinne riešiť zraniteľnosti.
Článok 6
Požiadavky na produkty s digitálnymi prvkami
Produkty s digitálnymi prvkami sa na trhu sprístupnia, len ak:
1. spĺňajú základné požiadavky uvedené v časti I prílohy I za predpokladu, že sú riadne nainštalované, udržiavané, používané na ich zamýšľaný účel alebo za podmienok, ktoré možno odôvodnene predvídať, a prípadne s nainštalovanými potrebnými aktualizáciami a
2. postupy zavedené výrobcom sú v súlade so základnými požiadavkami uvedenými v časti II prílohy I.
Článok 7
Dôležité produkty s digitálnymi prvkami
1. Produkty s digitálnymi prvkami, ktoré majú základnú funkciu kategórie produktov stanovenej v prílohe III, sa považujú za dôležité produkty s digitálnymi prvkami a podliehajú postupom posudzovania zhody uvedeným v článku 32 ods. 2 a 3. Integrácia produktu s digitálnymi prvkami, ktorý má základnú funkciu kategórie produktov stanovenej v prílohe III, sama osebe nespôsobuje, že produkt, do ktorého je integrovaný, podlieha postupom posudzovania zhody uvedeným v článku 32 ods. 2 a 3.
2. Kategórie produktov s digitálnymi prvkami uvedené v odseku 1 tohto článku rozdelené do tried I a II, ako sa uvádza v prílohe III, a spĺňajú aspoň jedno z týchto kritérií:
a) produkt s digitálnymi prvkami vykonáva predovšetkým funkcie kritické pre kybernetickú bezpečnosť iných produktov, sietí alebo služieb vrátane zabezpečenia autentifikácie a prístupu, prevencie a odhaľovania narušení, bezpečnosti koncových bodov alebo ochrany siete;
b) produkt s digitálnymi prvkami vykonáva funkciu, ktorá predstavuje významné riziko nepriaznivých účinkov z hľadiska jeho intenzity a schopnosti narušiť, ovládať alebo spôsobiť poškodenie veľkého počtu iných produktov alebo zdravia, bezpečnosti alebo ochrany jeho používateľov prostredníctvom priamej manipulácie, ako je funkcia centrálneho systému vrátane riadenia siete, kontroly konfigurácie, virtualizácie alebo spracovania osobných údajov.
3. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 s cieľom zmeniť prílohu III zaradením novej kategórie v každej triede kategórií ▌produktov s digitálnymi prvkami, stanovením jej vymedzenia, presunutím kategórie produktov z jednej triedy do druhej alebo vypustením existujúcej kategórie z tohto zoznamu. Pri posudzovaní potreby zmeniť zoznam uvedený v prílohe III Komisia zohľadní funkcie súvisiace s kybernetickou bezpečnosťou alebo funkciu a úroveň kybernetickobezpečnostného rizika, ktoré predstavujú produkty s digitálnymi prvkami, ako sa stanovuje v kritériách uvedených v odseku 2.
V delegovaných aktoch uvedených v prvom pododseku tohto odseku sa v prípade potreby stanoví minimálne prechodné obdobie 12 mesiacov, najmä ak sa nová kategória dôležitých produktov s digitálnymi prvkami doplní do triedy I alebo II alebo sa presunie z triedy I do triedy II, ako sa stanovuje v prílohe III, pred začatím uplatňovania príslušných postupov posudzovania zhody uvedených v článku 32 ods. 2 a 3, pokiaľ nie je z vážnych a naliehavých dôvodov opodstatnené kratšie prechodné obdobie.
▌
4. Do ... [12 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia] Komisia prijme vykonávací akt,v ktorom spresnítechnický opis ▌ kategórií produktov s digitálnymi prvkami v triedach I a II stanovených v prílohe III a technický opis kategórií produktov s digitálnymi prvkami stanovený v prílohe IV. Tento vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.
▌
Článok 8
Kritické produkty s digitálnymi prvkami
1. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 na doplnenie tohto nariadenia s cieľom určiť, ktoré produkty s digitálnymi prvkami, ktoré majú základnú funkciu kategórie produktov stanovenej v prílohe IV k tomuto nariadeniu, sa majú vyžadovať na získanie európskeho certifikátu kybernetickej bezpečnosti na úrovni dôveryhodnosti aspoň „pokročilý“ v rámci európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa nariadenia (EÚ) 2019/881, aby sa preukázala zhoda so základnými požiadavkami stanovenými v prílohe I k tomuto nariadeniu alebo jeho častí za predpokladu, že európsky systém certifikácie kybernetickej bezpečnosti, ktorý sa vzťahuje na tieto kategórie produktov s digitálnymi prvkami, bol prijatý podľa nariadenia (EÚ) 2019/881 a výrobcovia ho majú k dispozícii. V uvedených delegovaných aktoch sa stanoví požadovaný stupeň dôveryhodnosti, ktorý je primeraný úrovni kybernetickobezpečnostného rizika spojeného s produktmi s digitálnymi prvkami, a zohľadní sa v nich zamýšľaný účel vrátane ich kritickej závislosti kľúčových subjektov uvedených v článku 3 ods. 1 smernice (EÚ) 2022/2555.
Komisia pred prijatím takýchto delegovaných aktov vykoná posúdenie potenciálneho vplyvu plánovaných opatrení na trh a uskutoční konzultácie s príslušnými zainteresovanými stranami vrátane európskej skupiny pre certifikáciu kybernetickej bezpečnosti uvedenej v nariadení (EÚ) 2019/881. V posúdení zohľadní pripravenosť a úroveň kapacity členských štátov na vykonávanie príslušného európskeho systému certifikácie kybernetickej bezpečnosti. Ak neboli prijaté žiadne delegované akty uvedené v prvom pododseku tohto odseku, produkty s digitálnymi prvkami, ktoré majú základnú funkciu kategórie produktov stanovenej v prílohe IV, podliehajú postupom posudzovania zhody uvedeným v článku 32 ods. 3.
V delegovaných aktoch uvedených v prvom pododseku sa na ich uplatňovanie stanoví minimálne prechodné obdobie šiestich mesiacov, pokiaľ z vážnych a naliehavých dôvodov nie je opodstatnené kratšie prechodné obdobie.
2. Komisia je v súlade s článkom 61 splnomocnená prijímať delegované akty s cieľom zmeniť prílohu IV pridaním alebo vypustením kategórií ▌kritických produktov s digitálnymi prvkami. Pri určovaní takýchto kategórií kritických produktov s digitálnymi prvkami a požadovaného stupňa dôveryhodnosti v súlade s odsekom 1 tohto článku Komisia zohľadní kritériá uvedené v článku 7 ods. 2 a rozsah, v akom sa uplatňuje aspoň jedno z týchto kritérií:
a) existuje kritická závislosť kľúčových subjektov uvedených v článku 3 ▌ smernice (EÚ) 2022/2555 od kategórie produktov s digitálnymi prvkami; ▌
b) incidenty a zneužité zraniteľnosti kategórie produktov s digitálnymi prvkami môžu viesť k vážnemu narušeniu kritických dodávateľských reťazcov na celom vnútornom trhu.
Pred prijatím takýchto delegovaných aktov Komisia vykoná typové posúdenie uvedené v odseku 1 druhom pododseku.
V delegovaných aktoch uvedených v prvom pododseku sa stanoví minimálne prechodné obdobie šiestich mesiacov, pokiaľ z vážnych a naliehavých dôvodov nie je opodstatnené kratšie prechodné obdobie.
Článok 9
Konzultácie so zainteresovanými stranami
1. Pri príprave opatrení na vykonávanie tohto nariadenia Komisia konzultuje s príslušnými zainteresovanými stranami, ako sú príslušné orgány členských štátov, podniky súkromného sektora vrátane mikropodnikov a malých a stredných podnikov, komunita v oblasti softvéru s otvoreným zdrojovým kódom, spotrebiteľské združenia, akademická obec a príslušné agentúry a orgány Únie, ako aj expertné skupiny zriadené na úrovni Únie, a ich stanoviská zohľadní. Komisia v prípade potreby vedie štruktúrované konzultácie s týmito zainteresovanými stranami a vyžiada si ich názor, najmä keď:
a) vypracúva usmernenia uvedené v článku 26;
b) vypracúva osobitné technické opisy kategórií produktov uvedených v prílohe III v súlade s článkom 7 ods. 4, pričom posudzuje potreby potenciálnych aktualizácií zoznamu kategórií produktov v súlade s článkom 7 ods. 3 a článkom 8 ods. 2 alebo vykonáva posúdenie potenciálneho vplyvu na trh podľa článku 8 ods. 1 bez toho, aby bol dotknutý článok 61 tohto nariadenia;
c) vykonáva prípravné práce na hodnotení a preskúmaní tohto nariadenia.
2. Komisia aspoň raz ročne usporiada pravidelné konzultácie a informačné stretnutia s cieľom zhromaždiť názory zainteresovaných strán uvedených v odseku 1 na vykonávanie tohto nariadenia.
Článok 10
Zlepšovanie zručností v kyberneticky odolnom digitálnom prostredí
Na účely tohto nariadenia a s cieľom reagovať na potreby odborníkov na podporu vykonávania tohto nariadenia členské štáty podľa potreby s podporou Komisie, Európskeho centra kompetencií v oblasti kybernetickej bezpečnosti a agentúry ENISA, pričom plne rešpektujú zodpovednosť členských štátov v oblasti vzdelávania, presadzujú opatrenia a stratégie zamerané na:
a) rozvoj zručností v oblasti kybernetickej bezpečnosti a vytváranie organizačných a technologických nástrojov na zabezpečenie dostatočnej dostupnosti kvalifikovaných odborníkov s cieľom podporiť činnosti orgánov dohľadu nad trhom a orgánov posudzovania zhody;
b) rozšírenie spolupráce medzi súkromným sektorom, hospodárskymi subjektmi, a to aj prostredníctvom rekvalifikácie alebo zvyšovania kvalifikácie zamestnancov výrobcov, spotrebiteľov, poskytovateľov vzdelávania a odbornej prípravy, ako aj verejnej správy, čím sa rozšíria možnosti prístupu mladých ľudí k pracovným príležitostiam v odvetví kybernetickej bezpečnosti.
Článok 11
Všeobecná bezpečnosť výrobkov
Odchylne od článku 2 ods. 1 tretieho pododseku písm. b) nariadenia (EÚ) 2023/988 sa kapitola III oddiel 1, kapitoly V a VII a kapitoly IX až XI uvedeného nariadenia ▌ uplatňujú na ▌produkty s digitálnymi prvkami, pokiaľ ide o aspekty a riziká alebo kategórie rizík, na ktoré sa nevzťahuje toto nariadenie, ak sa na tieto produkty nevzťahujú osobitné bezpečnostné požiadavky stanovené inými harmonizačnými právnymi predpismi Únie v zmysle vymedzenia v článku 3 bode (27) nariadenia (EÚ) 2023/988.
1. Bez toho, aby boli dotknuté požiadavky na presnosť a odolnosť stanovené v [článku 15] nariadenia ... [nariadenie o umelej inteligencii], produkty s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia a ktoré sú klasifikované ako vysokorizikové systémy umelej inteligencie podľa [článku 6] uvedeného nariadenia, sa považujú za produkty spĺňajúce kybernetickobezpečnostné požiadavky ▌ stanovené v [článku 15] uvedeného nariadenia, ak:
a) tieto produkty spĺňajú základné požiadavky stanovené v časti I prílohy I;
b) procesy zavedené výrobcom sú v súlade so základnými požiadavkami uvedenými v časti II prílohy I; a
c) dosiahnutie úrovne ochrany kybernetickej bezpečnosti požadovanej podľa [článku 15] nariadenia ... [nariadenie o umelej inteligencii] je preukázané vo vyhlásení o zhode EÚ vydanom podľa tohto nariadenia
2. V prípade produktov s digitálnymi prvkami a požiadaviek na kybernetickú bezpečnosť uvedených v odseku 1 tohto článku sa uplatňuje príslušný postup posudzovania zhody stanovenýv [článku 43] nariadenia ... [nariadenie o umelej inteligencii]. Na účely uvedeného posudzovania sú notifikované osoby, ktoré sú kompetentné kontrolovať zhodu vysokorizikových systémov umelej inteligencie podľa ▌ nariadenia... [nariadenie o umelej inteligencii] sú kompetentné kontrolovať aj zhodu ▌ vysokorizikových systémov umelej inteligencie, ktoré patria do rozsahu pôsobnosti tohto nariadenia, s požiadavkami uvedenými v prílohe I k tomuto nariadeniu za predpokladu, že súlad týchto notifikovaných osôb s požiadavkami stanovenými v článku 39 tohto nariadenia bol posúdený v kontexte postupu notifikácie podľa nariadenia [nariadenie o umelej inteligencii].
3. Odchylne od odseku 2 dôležité produkty s digitálnymi prvkami uvedené v prílohe III k tomuto nariadeniu, ktoré podliehajú postupom posudzovania zhody uvedeným v článku 32 ods. 2 písm. a) a b) a článku 32 ods. 3 tohto nariadenia a kritické produkty s digitálnymi prvkami uvedené v prílohe IV tohto nariadenia, ktoré musia zároveň získať európsky certifikát kybernetickej bezpečnosti podľa článku 8 ods. 1 tohto nariadenia alebo, ak ho nemajú, ktoré podliehajú posúdeniu zhody podľa článku 32 ods. 3 tohto nariadenia a ktoré sú zároveň klasifikované ako vysokorizikové systémy umelej inteligencie podľa [článku 6] ▌nariadenia... [nariadenie o umelej inteligencii] a na ktoré sa uplatňuje postup posudzovania zhody založený na vnútornej kontrole uvedenej v [prílohe VI] k nariadeniu... [nariadenie o umelej inteligencii], podliehajú postupom ▌posudzovania zhody, pokiaľ ide o základné požiadavky tohto nariadenia.
4. Výrobcovia produktov s digitálnymi prvkami uvedenými v odseku 1 tohto článku sa môžu zúčastňovať na experimentálnych regulačných prostrediach pre umelú inteligenciu uvedených v [článku 53] nariadenia ... [nariadenie o umelej inteligencii].
▌
KAPITOLA II
POVINNOSTI HOSPODÁRSKYCH SUBJEKTOV A USTANOVENIA TÝKAJÚCE SA SLOBODNÉHO SOFTVÉRU A SOFTVÉRU S OTVORENÝM ZDROJOVÝM KÓDOM
Článok 13
Povinnosti výrobcov
1. Výrobcovia pri uvádzaní produktu s digitálnymi prvkami na trh zaistia, aby bol takýto produkt navrhnutý, vyvinutý a vyrobený v súlade so základnými požiadavkami uvedenými v časti I prílohy I.
2. Na účel dodržania povinnosti stanovenej v odseku 1 výrobcovia vykonajú posúdenie kybernetickobezpečnostných rizík spojených s produktom s digitálnymi prvkami a výsledok tohto posúdenia zohľadňujú vo fáze plánovania, návrhu, vývoja, výroby, dodania a údržby produktu s digitálnymi prvkami s cieľom minimalizovať kybernetickobezpečnostné riziká, predchádzať bezpečnostným incidentom a minimalizovať vplyvy takýchto incidentov, a to aj v súvislosti so zdravím a bezpečnosťou používateľov.
3. Posúdenie kybernetickobezpečnostných rizík sa zdokumentuje a podľa potreby aktualizuje počas obdobia podpory, ktoré sa určí v súlade s odsekom 8 tohto článku. Toto posúdenie kybernetickobezpečnostných rizík zahŕňa aspoň analýzu kybernetickobezpečnostných rizík založenú na zamýšľanom účele a logicky predvídateľnom používaní a podmienkach používania produktu s digitálnymi prvkami, ako je prevádzkové prostredie alebo aktíva, ktoré sa majú chrániť, s ohľadom na dĺžku predpokladaného používania produktu. V posúdení kybernetickobezpečnostných rizík sa uvedie, či, a ak áno, akým spôsobom sa bezpečnostné požiadavky stanovené v bode 3 časti I prílohy I vzťahujú na príslušný produkt s digitálnymi prvkami a ako sa tieto požiadavky vykonávajú na základe posúdenia kybernetickobezpečnostných rizík. Takisto sa v ňom uvedie, ako má výrobca uplatňovať bod 1 časti I prílohy I a požiadavky na riešenie zraniteľností stanovené v časti II prílohy I.
4. Pri uvádzaní produktu s digitálnymi prvkami na trh výrobca zahrnie posudzovanie kybernetickobezpečnostných rizík podľa odseku 3 tohto článku do technickej dokumentácie požadovanej podľa článku 31 a prílohy VII. V prípade produktov s digitálnymi prvkami uvedených v článku 12 a článku 32 ods. 6, ktoré podliehajú aj iným právnym aktom Únie, môže byť posudzovanie kybernetickobezpečnostných rizík súčasťou posudzovania rizík vyžadovaného v týchto právnych aktoch Únie. Ak na produkt s digitálnymi prvkami uvádzaný na trh nemožno uplatniť určité základné požiadavky, výrobca zahrnie do uvedenej technickej dokumentácie jasné odôvodnenie.
5. Na účely dosiahnutia súladu s odsekom 1 výrobcovia uplatňujú náležitú starostlivosť pri integrácii komponentov získaných od tretích strán tak, aby tieto komponenty neohrozovali kybernetickú bezpečnosť produktu s digitálnymi prvkami, a to aj pri integrácii komponentov slobodného softvéru a softvéru s otvoreným zdrojovým kódom, ktoré neboli sprístupnené na trhu v priebehu obchodnej činnosti.
6. Výrobcovia pri identifikácii zraniteľnosti v komponente, a to aj v komponente s otvoreným zdrojovým kódom, ktorý je integrovaný do produktu s digitálnymi prvkami, oznámia zraniteľnosť osobe alebo subjektu, ktorý komponent vyrába alebo vykonáva jeho údržbu, a riešia a odstraňujú zraniteľnosť v súlade s požiadavkami na riešenie zraniteľnosti stanovenými v časti II prílohy I. Ak výrobcovia vyvinuli úpravu softvéru alebo hardvéru na riešenie zraniteľnosti daného komponentu, poskytnú príslušný kód alebo dokumentáciu osobe alebo subjektu, ktoré komponent vyrábajú alebo vykonávajú jeho údržbu, v prípade potreby v strojovo čitateľnom formáte.
7. Výrobcovia systematicky dokumentujú spôsobom, ktorý je primeraný povahe a kybernetickobezpečnostným rizikám, príslušné aspekty kybernetickej bezpečnosti týkajúce sa produktu s digitálnymi prvkami vrátane zraniteľností, ktoré zistili, a akékoľvek relevantné informácie získané od tretích strán a prípadne aktualizujú posúdenie kybernetickobezpečnostných rizík produktu.
8. Pri uvádzaní produktu s digitálnymi prvkami na trh a počas obdobia podpory produktu výrobcovia zaistia,aby sa zraniteľnosti tohto produktu vrátane jeho komponentov riešili účinne a v súlade so základnými požiadavkami uvedenými v časti II prílohy I.
Výrobcovia určia obdobie podpory s ohľadom na dĺžku predpokladaného používania produktu, pričom zohľadnia najmä primerané očakávania používateľov, povahu produktu vrátane jeho zamýšľaného účelu, ako aj príslušné právo Únie, ktorým sa určuje životnosť produktov s digitálnymi prvkami. Pri určovaní obdobia podpory môžu výrobcovia zohľadniť aj obdobia podpory produktov s digitálnymi prvkami s podobnou funkciou, ktoré na trh uvádzajú iní výrobcovia, dostupnosť prevádzkového prostredia, obdobia podpory integrovaných komponentov so základnými funkciami, ktoré pochádzajú od tretích strán, ako aj príslušné usmernenia od špecializovanej skupiny pre administratívnu spoluprácu (ADCO) zriadenej podľa článku 52 ods. 15 a Komisiou. Záležitosti, ktoré sa majú zohľadniť pri určovaní trvania obdobia podpory, sa posudzujú tak, aby sa zabezpečila proporcionalita.
Bez toho, aby bol dotknutý druhý pododsek, je obdobie podpory najmenej päť rokov. Ak sa predpokladá, že produkt s digitálnymi prvkami sa bude používať menej ako päť rokov, obdobie podpory musí zodpovedať očakávanému obdobiu používania.
S prihliadnutím na odporúčania ADCO uvedené v článku 52 ods. 16 môže Komisia prijať delegované akty v súlade s článkom 61 s cieľom doplniť toto nariadenie špecifikovaním minimálneho obdobia podpory pre konkrétne kategórie produktov, ak z údajov dohľadu nad trhom vyplýva neprimerané obdobie podpory.
Výrobcovia uvedú informácie, ktoré sa zohľadnili pri určovaní obdobia podpory produktu s digitálnymi prvkami, v technickej dokumentácii stanovenej v prílohe VII.
Výrobcovia majú vhodné politiky a postupy vrátane politík koordinovaného zverejňovania informácií o zraniteľnostiach uvedených v bode 5 časti II prílohy I na spracovanie a nápravu možných zraniteľností produktu s digitálnymi prvkami oznámených internými alebo externými zdrojmi.
9. Výrobcovia zabezpečia, aby každá bezpečnostná aktualizácia uvedená v bode 8 časti II prílohy I, ktorá bola sprístupnená používateľom počas obdobia podpory, zostala k dispozícii po jej vydaní minimálne 10 rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas zvyšku obdobia podpory, podľa toho, čo trvá dlhšie.
10. Ak výrobca uviedol na trh následné podstatne zmenené verzie softvérového produktov, môže zabezpečiť súlad so základnou požiadavkou stanovenou v bode 2 časti II prílohy I len v prípade verzie, ktorú naposledy uviedol na trh, za predpokladu, že používatelia verzií, ktoré boli uvedené na trh predtým, majú bezplatný prístup k verzii naposledy uvedenej na trh a nevznikajú im dodatočné náklady na úpravu hardvérového a softvérového prostredia, v ktorom používajú pôvodnú verziu tohto produktu.
11. Výrobcovia môžu viesť verejné softvérové archívy na zlepšenie prístupu používateľov k historickým verziám. V týchto prípadoch musia byť používatelia jasne a jednoducho dostupným spôsobom informovaní o rizikách spojených s používaním softvéru, ktorý už nie je podporovaný.
12. Výrobcovia pred uvedením produktu s digitálnymi prvkami na trh vypracujú technickú dokumentáciu uvedenú v článku 31.
Vykonajú alebo dajú vykonať zvolené postupy posudzovania zhody uvedené v článku 32.
Keď bol súlad produktu s digitálnymi prvkami so základnými požiadavkami uvedenými v časti I prílohy I a procesov zavedených výrobcom so základnými požiadavkami uvedenými v časti II prílohy I preukázaný týmto postupom posudzovania zhody, výrobcovia vypracujú EÚ vyhlásenie o zhode v súlade s článkom 28 a umiestnia označenie CE v súlade s článkom 30.
13. Výrobcovia uchovávajú technickú dokumentáciu a EÚ vyhlásenie o zhode ▌k dispozícii pre orgány pre dohľad nad trhom aspoň 10 rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podpory, podľa toho, čo trvá dlhšie.
14. Výrobcovia zaistia, aby boli zavedené postupy, vďaka ktorým bude v sériovej výrobe zachovaná zhoda produktov s digitálnymi prvkami s týmto nariadením. Výrobcovia primerane zohľadnia zmeny v procese vývoja a výroby alebo v návrhu či vlastnostiach produktu s digitálnymi prvkami a zmeny v harmonizovaných normách, európskych systémoch certifikácie kybernetickej bezpečnosti alebo spoločných špecifikáciách uvedených v článku 27, na základe ktorých sa zhoda produktu s digitálnymi prvkami vyhlásila alebo ktorých uplatnením sa zhoda overila.
15. Výrobcovia zabezpečia, aby ich produkty s digitálnymi prvkami boli označené číslom typu, šarže alebo série alebo iným prvkom umožňujúcim ich identifikáciu, alebo ak to nie je možné, aby sa tieto informácie uvádzali na obale alebo v sprievodnej dokumentácii produktu s digitálnymi prvkami.
16. Na produkte s digitálnymi prvkami, na jeho obale alebo v sprievodnej dokumentácii uvedú výrobcovia svoje meno/názov, zapísané obchodné meno alebo zapísanú ochrannú známku, poštovú a e-mailovú adresu a prípadne webové sídlo, na ktorých sa s nimi možno skontaktovať. Tieto informácie sa uvedú aj v informáciách a návode pre používateľa uvedených v prílohe II. Kontaktné údaje sú v jazyku ľahko zrozumiteľnom pre používateľov a orgány dohľadu nad trhom.
17. Na účely tohto nariadenia určia výrobcovia jednotné kontaktné miesto, aby používatelia mohli s nimi priamo a rýchlo komunikovať, a to aj s cieľom uľahčiť nahlasovanie zraniteľností produktu s digitálnymi prvkami.
Výrobcovia zabezpečia, aby používatelia mohli jednotné kontaktné miesto ľahko identifikovať. Jednotné kontaktné miesto uvedú aj v informáciách a návode pre používateľa stanovených v prílohe II.
Jednotné kontaktné miesto umožní používateľom bez obmedzenia na automatizované nástroje vybrať si, ktoré prostriedky uprednostnia.
18. Výrobcovia zabezpečia, aby boli k produktom s digitálnymi prvkami priložené informácie a návod pre používateľa uvedené v prílohe II, a to v tlačenej alebo elektronickej podobe. Uvedené informácie a pokyny sa poskytujú v jazyku ľahko zrozumiteľnom pre používateľa a orgány dohľadu nad trhom. Musia byť jasné, zrozumiteľné, pochopiteľné a čitateľné. Musia umožniť bezpečnú inštaláciu, prevádzku a používanie produktov s digitálnymi prvkami. Pre potreby používateľov a orgánov dohľadu nad trhom uchovávajú výrobcovia informácie a návod pre používateľa uvedené v prílohe II aspoň desať rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podpory podľa toho, čo trvá dlhšie. Ak sa takéto informácie a návod poskytujú online, výrobcovia zabezpečia, aby boli prístupné, používateľsky ústretové a dostupné online aspoň desať rokov po uvedení produktu s digitálnymi prvkami na trh alebo počas obdobia podpory podľa toho, čo trvá dlhšie.
19. Výrobcovia zabezpečia, aby bol v čase nákupu jasne a zrozumiteľne uvedený dátum skončenia obdobia podpory uvedeného v odseku 8, a to aspoň mesiac a rok, a to ľahko dostupným spôsobom a prípadne na produkte s digitálnymi prvkami, jeho obale alebo digitálnymi prostriedkami.
Ak je to vzhľadom na povahu produktu s digitálnymi prvkami možné, výrobcovia zobrazia pre používateľov oznámenie s informáciou, že obdobie podpory produktu s digitálnymi prvkami dosiahol sa skončilo.
20. Výrobcovia spolu s produktom s digitálnymi prvkami poskytnú buď kópiu EÚ vyhlásenia o zhode alebo zjednodušené EÚ vyhlásenie o zhode. Ak poskytnú zjednodušené EÚ vyhlásenie o zhode, musí obsahovať presnú internetovú adresu, na ktorej je sprístupnené úplné znenie EÚ vyhlásenia o zhode.
21. Od uvedenia na trh a počas obdobia podpory ▌výrobcovia, ktorí majú vedomosť alebo dôvod domnievať sa, že produkt s digitálnymi prvkami alebo nimi zavedené postupy nie sú v súlade so základnými požiadavkami uvedenými v prílohe I, bezodkladne prijmú nápravné opatrenia potrebné na uvedenie tohto produktu s digitálnymi prvkami alebo postupov výrobcu do súladu s príslušnými požiadavkami, prípadne na stiahnutie produktu z trhu alebo od používateľa.
22. Na základe odôvodnenej žiadosti poskytnú výrobcovia orgánu dohľadu nad trhom v jazyku, ktorý je pretento orgán ľahko zrozumiteľný, všetky informácie a dokumentáciu v tlačenej alebo elektronickej forme potrebné na preukázanie zhody produktu s digitálnymi prvkami a postupov zavedených výrobcom so základnými požiadavkami uvedenými v prílohe I. Na žiadosť tohto orgánu s ním výrobcovia spolupracujú pri všetkých opatreniach na odstránení kybernetickobezpečnostných rizík, ktoré predstavuje produkt s digitálnymi prvkami nimi uvedený na trh.
23. Výrobca, ktorý ukončí svoju činnosť a v dôsledku toho nie je schopný plniť povinnosti stanovené v tomto nariadení, ešte pred nadobudnutím právoplatnosti ukončenia činnosti informuje príslušné orgány dohľadu nad trhom a všetkými dostupnými prostriedkami a v maximálnej možnej miere aj používateľov relevantných produktov s digitálnymi prvkami uvedených na trh o nastávajúcom ukončení činnosti.
24. Komisia môže prostredníctvom vykonávacích aktova s ohľadom na európske medzinárodné normy a odporúčané postupy špecifikovať formát a softvérový kusovník uvedený v bode 1 časti II prílohy I. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.
25. S cieľom posúdiť závislosť členských štátov a Únie ako celku od softvérových komponentov, a najmä od komponentov kvalifikovaných ako slobodný softvér a softvér s otvoreným zdrojovým kódom, sa skupina pre administratívnu spoluprácu pri dohľade nad trhom (ADCO) môže rozhodnúť, že posúdi závislosť celej Únie od konkrétnych kategórií produktov s digitálnymi prvkami. Na tento účel môžu orgány dohľadu nad trhom požadovať od výrobcov takýchto kategórií produktov s digitálnymi prvkami, aby poskytli príslušné zoznamy softvérových komponentov, ako sa uvádza v časti II bode 1 prílohy I. Na základe takýchto informácií môžu orgány dohľadu nad trhom poskytnúť ADCO anonymizované a súhrnné informácie o závislosti od softvéru. ADCO poskytne správu o výsledkoch posúdenia závislosti skupine pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555.
Článok 14
Ohlasovacie povinnosti výrobcov
1. Výrobca ▌oznámi ▌každú aktívne zneužitú zraniteľnosť produktu s digitálnymi prvkami, o ktorej sa dozvie, jednotke CSIRT určenej za koordinátora v súlade s odsekom 7 tohto článku a súčasne agentúre ENISA. Výrobca túto aktívne zneužitú zraniteľnosť oznámi prostredníctvom jednotnej oznamovacej platformy zriadenej podľa článku 16.
2. Na účely oznamovania uvedeného v odseku 1 výrobca poskytne:
a) včasné varovanie o aktívne zneužitej zraniteľnosti, a to bez zbytočného odkladu a v každom prípade do 24 hodín po tom, ako sa výrobca o tejto zraniteľnosti dozvedel, prípadne s uvedením členských štátov, na území ktorých je podľa vedomosti výrobcu jeho produkt s digitálnymi prvkami sprístupnený;
b) pokiaľ už neboli poskytnuté príslušné informácie, oznámenie o zraniteľnosti, a to bez zbytočného odkladu a v každom prípade do 72 hodín po tom, ako sa výrobca dozvedel o aktívne zneužitej zraniteľnosti, v ktorom poskytne – ak sú k dispozícii – všeobecné informácie o produkte s dotknutými digitálnymi prvkami, všeobecnej povahe zneužitia a dotknutej zraniteľnosti, ako aj o všetkých prijatých nápravných alebo zmierňujúcich opatreniach, a v ktorých sa prípadne uvedie aj to, do akej miery sú podľa výrobcu oznámené informácie citlivé;
c) pokiaľ už neboli poskytnuté príslušné informácie, záverečnú správu najneskôr 14 dní od dostupnosti nápravného alebo zmierňujúceho opatrenia, ktorá obsahuje aspoň:
i) opis zraniteľnosti vrátane jej závažnosti a vplyvu;
ii) informácie o akomkoľvek subjekte so zlým úmyslom, ktorý zraniteľnosť zneužil alebo zneužíva, ak sú k dispozícii;
iii) podrobnosti o bezpečnostnej aktualizácii alebo iných nápravných opatreniach, ktoré boli sprístupnené na nápravu zraniteľnosti.
3. Výrobca ▌oznámi ▌každý závažný incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, o ktorom sa dozvie, súčasne jednotke CSIRT určenejza koordinátora v súlade s odsekom 7 tohto článku a agentúre ENISA. Výrobca tento incident oznámi cez jednotnú oznamovaciu platformu zriadenú podľa článku 16.
4. Na účely oznamovania uvedeného v odseku 3 výrobca poskytne:
a) oznámenie s včasným varovaním o závažnom incidente, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, bez zbytočného odkladu a v každom prípade do 24 hodín po tom, ako výrobca o tejto zraniteľnosti získal vedomosť, vrátane aspoň toho, či je podozrenie, že incident bol spôsobený nezákonným konaním alebo konaním so zlým úmyslom, prípadne s uvedením členských štátov, na území ktorých je podľa vedomosti výrobcu jeho produkt s digitálnymi prvkami sprístupnený;
b) pokiaľ už neboli poskytnuté príslušné informácie, oznámenie o incidente bez zbytočného odkladu a v každom prípade do 72 hodín po tom, ako výrobca získal vedomosť o incidente, v ktorom poskytne – ak sú k dispozícii – všeobecné informácie o povahe incidentu, prvé hodnotenie incidentu, ako aj o všetkých prijatých nápravných alebo zmierňujúcich opatreniach, ktoré môžu používatelia podniknúť a v ktorých sa podľa potreby uvedie aj to, do akej miery sú podľa výrobcu oznámené informácie citlivej povahy;
c) ak boli príslušné informácie už poskytnuté, do jedného mesiaca po podaní oznámenia o incidente podľa písmena b) záverečnú správu, ktorá obsahuje aspoň tieto informácie:
i) podrobný opis incidentu vrátane jeho závažnosti a dosahu;
ii) druh hrozby alebo hlavnú príčinu, ktorá pravdepodobne incident spôsobila;
iii) vykonané a prebiehajúce zmierňujúce opatrenia.
5. Na účely odseku 3 sa incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, považuje za závažný, ak:
a) negatívne ovplyvňuje alebo môže negatívne ovplyvniť schopnosť produktu s digitálnymi prvkami chrániť dostupnosť, pravosť, integritu alebo dôvernosť citlivých alebo dôležitých údajov alebo funkcií; alebo
b) viedol alebo môže viesť k zavedeniu alebo spusteniu škodlivého kódu v produkte s digitálnymi prvkami alebo v sieti a informačných systémoch používateľa produktu s digitálnymi prvkami.
6. Jednotka CSIRT určená za koordinátora, ktorý na začiatku prijme oznámenie, môže v prípade potreby požiadať výrobcov, aby poskytli priebežnú správu o relevantných aktuálnych informáciách o stave aktívne zneužívanej zraniteľnosti alebo závažného incidentu, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami.
7. Oznámenia uvedené v odsekoch 1 a 3 tohto článku sa podávajú cez jednotnú oznamovaciu platformu uvedenú v článku 16, pričom sa použije jeden z koncových bodov na elektronické oznamovanie uvedených v článku 16 ods. 1. Oznámenie sa podáva cez koncový bod na elektronické oznamovanie u jednotky CSIRT určenej za koordinátora toho členského štátu, v ktorom majú výrobcovia hlavné miesto podnikateľskej činnosti v Únii, a zároveň je prístupné agentúre ENISA.
Na účely tejto smernice sa o výrobcovi predpokladá, že má hlavné miesto podnikateľskej činnosti v Únii v tom členskom štáte, v ktorom sa najčastejšie prijímajú rozhodnutia o opatreniach na riadenie kybernetickobezpečnostných rizík. Ak takýto členský štát nemožno určiť, za hlavné miesto podnikateľskej činnosti sa považuje ten členský štát, v ktorom má dotknutý výrobca závod s najvyšším počtom zamestnancov v Únii.
Ak výrobca nemá hlavné miesto podnikateľskej činnosti v Únii, podáva oznámenia uvedené v odsekoch 1 a 3 cez koncový bod na elektronické oznamovanie u jednotky CSIRT menovanej za koordinátora v členskom štáte na základe informácií, ktoré má výrobca k dispozícii, v tomto poradí:
a) členský štát sídla splnomocneného zástupcu, ktorý koná v mene výrobcu pre najvyšší počet produktov tohto výrobcu s digitálnymi prvkami;
b) členský štát sídla dovozcu, ktorý uvádza na trh najvyšší počet produktov s digitálnymi prvkami daného výrobcu;
c) členský štát sídla distribútora, ktorý na trhu sprístupňuje najvyšší počet produktov s digitálnymi prvkami daného výrobcu;
d) členský štát s najvyšším počtom používateľov produktov s digitálnymi prvkami daného výrobcu.
V súvislosti s tretím pododsekom písm. d) môže výrobca podávať oznámenia o akejkoľvek následnej aktívne zneužívanej zraniteľnosti alebo závažnom incidente, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami, tej istej jednotke CSIRT určenej za koordinátora, ktorej podal oznámenie prvýkrát.
▌
8. ▌Po tom, ako sa výrobca dozvedel o aktívne zneužitej zraniteľnosti alebo závažnom incidente, informuje postihnutých používateľov produktu s digitálnymi prvkami a prípadne všetkých používateľov o aktívne zneužitej zraniteľnosti alebo závažnom incidente, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami, a v prípade potreby o zmierňovaní rizík a akýchkoľvek nápravných opatreniach, ktoré môžu používatelia zaviesť na zmiernenie vplyvu tejto zraniteľnosti alebo incidentu, a to v štruktúrovanom a automaticky ľahko spracovateľnom a strojovo čitateľnom formáte. Ak výrobca včas neinformuje používateľov o produkte s digitálnymi prvkami, notifikované jednotky CSIRT určené za koordinátorov môžu používateľom poskytnúť takéto informácie, ak to považujú za primerané a potrebné na predchádzanie vplyvu tejto zraniteľnosti alebo incidentu alebo na jeho zmiernenie.
9. Do… [12 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia] prijme Komisia delegovaný akt v súlade s článkom 61 s cieľom doplniť toto nariadenie vymedzením podmienok pre uplatnenie dôvodov súvisiacich s kybernetickou bezpečnosťou vo vzťahu k odloženému rozosielaniu oznámení, ako sa uvádza v článku 16 ods. 2. Pri príprave návrhu delegovaného aktu spolupracuje Komisia so sieťou jednotiek CSIRT zriadenou podľa článku 15 smernice (EÚ) 2022/2555 a agentúrou ENISA.
10. Komisia môže prostredníctvom vykonávacích aktov bližšie určiť formát a postupy oznamovania uvedené v tomto článku, ako aj v článkoch 15 a 16. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2. Pri príprave týchto návrhov delegovaných aktov spolupracuje Komisia so sieťou jednotiek CSIRT a agentúrou ENISA.
▌
Článok 15
Dobrovoľné oznamovanie
1. Výrobcovia, ako aj iné fyzické alebo právnické osoby môžu jednotke CSIRT určenej za koordinátora alebo agentúre ENISA dobrovoľne oznámiť akúkoľvek zraniteľnosť produktu s digitálnymi prvkami, ako aj kybernetické hrozby, ktoré by mohli zasiahnuť rizikový profil produktu s digitálnymi prvkami.
2. Výrobcovia, ako aj iné fyzické alebo právnické osoby môžu jednotke CSIRT určenej za koordinátora alebo agentúre ENISA dobrovoľne oznámiť akýkoľvek incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, ako aj udalosti odvrátené v poslednej chvíli, ktorých následkom by mohol byť takýto incident.
3. Jednotka CSIRT určená za koordinátora alebo agentúra ENISA spracúvajú hlásenia uvedené v odsekoch 1 a 2 tohto článku v súlade s postupom stanoveným v článku 16.
Jednotka CSIRT určená za koordinátora môže uprednostniť spracovanie povinných oznámení pred dobrovoľnými.
4. Ak fyzická alebo právnická osoba iná ako výrobca oznámi aktívne zneužitú zraniteľnosť alebo závažný incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami v súlade s odsekom 1 alebo 2, jednotka CSIRT určená za koordinátora bez zbytočného odkladu o tom informuje výrobcu.
5. Jednotka CSIRT určená za koordinátora, ako aj agentúra ENISA zabezpečia dôvernosť a primeranú ochranu informácií od oznamujúcej fyzickej alebo právnickej osoby. Bez toho, aby bola dotknutá prevencia, vyšetrovanie, odhaľovanie a stíhanie trestných činov, oznamujúcej fyzickej alebo právnickej osobe nevznikajú v dôsledku dobrovoľného oznámenia žiadne ďalšie povinnosti, ktoré by sa na ňu nevzťahovali, ak by oznámenie nepodala.
Článok 16
Zriadenie jednotnej oznamovacej platformy
1. Na účely oznámení uvedených v článku 14 ods. 1 a 3 a článku 15 ods. 1 a 2 a s cieľom zjednodušiť oznamovacie povinnosti výrobcov zriadi agentúra ENISA jednotnú oznamovaciu platformu. ENISA spravuje každodennú prevádzku tejto jednotnej oznamovacej platformy a vykonáva jej údržbu. Architektúra jednotnej oznamovacej platformy umožňuje členským štátom a agentúre ENISA zriadiť si vlastné koncové body na elektronické oznamovanie.
2. Jednotka CSIRT určená za koordinátora, ktorej sa na začiatku oznámenie doručí, po jeho doručení bezodkladne rozošle oznámenie prostredníctvom jednotnej oznamovacej platformy jednotkám CSIRT určeným za koordinátorov, na území ktorých bol produkt s digitálnymi prvkami podľa informácií výrobcu sprístupnený.
Za výnimočných okolností, a najmä na žiadosť výrobcu a vzhľadom na úroveň citlivosti oznámených informácií, ako uvádza výrobca podľa článku 14 ods. 2 písm. a) tohto nariadenia, sa rozosielanie oznámenia môže odložiť z opodstatnených dôvodov súvisiacich s kybernetickou bezpečnosťou na nevyhnutne potrebné obdobie, a to aj vtedy, keď sa na zraniteľnosť vzťahuje koordinovaný postup zverejňovania zraniteľností, ako sa uvádza v článku 12 ods. 1 smernice (EÚ) 2022/2555. Ak sa jednotka CSIRT rozhodne oznámenie nevydať, bezodkladne o svojom rozhodnutí informuje agentúru ENISA a nevydanie oznámenia odôvodní s uvedením, kedy oznámenie rozošle v súlade s postupom rozosielania stanoveným v tomto odseku. Jednotku CSIRT môže pri uplatňovaní dôvodov kybernetickej bezpečnosti v súvislosti s odloženým rozosielaním oznámenia podporovať agentúra ENISA.
Za obzvlášť výnimočných okolností, keď výrobca v oznámení uvedenom v článku 14 ods. 2 písm. b) uvedie, že:
a) oznámenú zraniteľnosť aktívne zneužil škodlivý subjekt a podľa dostupných informácií nebola zneužitá v žiadnom inom členskom štáte, než je členský štát sídla jednotky CSIRT určenej za koordinátora, ktorej výrobca zraniteľnosť oznámil;
b) že akékoľvek okamžité ďalšie rozosielanie informácií o oznámenej zraniteľnosti by pravdepodobne viedlo k poskytnutiu informácií, ktorých zverejnenie by bolo v rozpore so základnými záujmami tohto členského štátu; alebo
c) že oznámená zraniteľnosť predstavuje vysoké bezprostredné kybernetickobezpečnostné riziko vyplývajúce z ďalšieho rozosielania informácií o nej.
Agentúre ENISA sa súčasne sprístupňujú len informácie o tom, že oznámenie poskytol výrobca, všeobecné informácie o produkte, informácie o všeobecnej povahe zneužitia a informácie o dôvodoch súvisiacich s bezpečnosťou, a to až do rozoslania úplného oznámenia dotknutým jednotkám CSIRT a agentúre ENISA. Ak sa agentúra ENISA na základe týchto informácií domnieva, že existuje systémové riziko ovplyvňujúce bezpečnosť na vnútornom trhu, odporučí prijímajúcej jednotke CSIRT, aby poskytla úplné oznámenie ostatným jednotkám CSIRT určeným za koordinátorov a samotnej agentúre ENISA.
3. Po doručení oznámenia o aktívnom zneužití zraniteľnosti produktu s digitálnymi prvkami alebo o závažnom incidente, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, jednotky CSIRT určené za koordinátorov poskytnú orgánom dohľadu nad trhom svojich príslušných členských štátov oznámené informácie, ktoré orgány dohľadu nad trhom potrebujú na plnenie svojich povinností podľa tohto nariadenia.
4. Agentúra ENISA prijme vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie rizík pre bezpečnosť jednotnej oznamovacej platformy a informácií podávaných alebo šírených prostredníctvom jednotnej oznamovacej platformy. Každý bezpečnostný incident, ktorý má vplyv na jednotnú oznamovaciu platformu, bez zbytočného odkladu oznámi sieti jednotiek CSIRT, ako aj Komisii.
5. Agentúra ENISA v spolupráci so sieťou jednotiek CSIRT poskytuje a vykonáva špecifikácie technických, prevádzkových a organizačných opatrení na zriadenie, údržbu a bezpečnú prevádzku jednotnej oznamovacej platformy uvedenej v odseku 1, a to aspoň vrátane bezpečnostných opatrení týkajúcich sa zriadenia, prevádzky a údržby jednotnej oznamovacej platformy, ako aj koncových bodov na elektronické oznamovanie zriadených jednotkami CSIRT určenými za koordinátorov na vnútroštátnej úrovni a agentúrou ENISA na úrovni Únie vrátane procesných aspektov na zabezpečenie toho, aby sa v prípade, že pre oznámenú zraniteľnosť nie sú nápravné alebo zmierňujúce opatrenia, vymieňali informácie o tejto zraniteľnosti podľa prísnych bezpečnostných protokolov a podľa zásady „need-to-know“.
6. Ak bola jednotka CSIRT určená za koordinátora informovaná o aktívne zneužitej zraniteľnosti v rámci koordinovaného postupu zverejňovania zraniteľností, ako sa uvádza v článku 12 ods. 1 smernice (EÚ) 2022/2555, jednotka CSIRT určená za koordinátora, ktorému bolo pôvodne doručené oznámenie, môže odložiť rozosielanie príslušného oznámenia cez jednotnú oznamovaciu platformu z opodstatnených kybernetickobezpečnostných dôvodov na obdobie, ktoré nie je dlhšie, než je nevyhnutne potrebné, a až do získania súhlasu zúčastnených strán poskytujúcich koordinované informácie o zraniteľnostiach na zverejnenie. Táto požiadavka nebráni výrobcom, aby dobrovoľne oznamovali takúto zraniteľnosť v súlade s postupom stanoveným v tomto článku.
Článok 17
Ďalšie ustanovenia o oznamovaní
1. Jednotka ENISA môže Európskej sieti styčných organizácií pre kybernetické krízy (EU-CyCLONe) zriadenej článkom 16 smernice (EÚ) 2022/2555 poskytnúť informácie oznámené podľa článku 14 ods. 1 a 3 a článku 15 ods. 1) a 2), ak sú takéto informácie relevantné pre koordinované riadenie rozsiahlych kybernetickobezpečnostných incidentov a kríz na operačnej úrovni. Na určenie tejto relevantnosti môže agentúra ENISA zvážiť technické analýzy vykonávané sieťou jednotiek CSIRT, ak sú k dispozícii.
2. Ak je informovanosť verejnosti potrebná na zabránenie alebo zmiernenie závažného incidentu, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami alebo na riešenie prebiehajúceho incidentu, alebo ak je zverejnenie incidentu inak vo verejnom záujme, jednotka CSIRT určená za koordinátora v príslušnom členskom štáte môže po konzultácii s dotknutým výrobcom a prípadne v spolupráci s agentúrou ENISA informovať verejnosť o incidente alebo požiadať výrobcu, aby tak urobil.
3. Agentúra ENISA na základe oznámení doručených podľa článku 14 ods. 1 a 2 vypracuje každých 24 mesiacov technickú správu o nových trendoch kybernetickej bezpečnosti v prípade produktov s digitálnymi prvkami a poskytne ju skupine pre spoluprácu uvedenej v článku 14 smernice (EÚ) 2022/2555. Prvú takúto správu poskytne do 24 mesiacov od začatia uplatňovania povinností stanovených v článku 14 ods. 1 a 3. Agentúra ENISA uvedie relevantné informácie z technických správ vo svojej správe o stave kybernetickej bezpečnosti v Únii podľa článku 18 smernice (EÚ) 2022/2555.
4. Samotným úkonom oznámenia v súlade s článkom 14 ods. 1 a 3 alebo článkom 15 ods. 1 a 2 nevzniká oznamujúcej fyzickej alebo právnickej osobe zvýšená zodpovednosť.
5. Keď je k dispozícii bezpečnostná aktualizácia alebo iná forma nápravného alebo zmierňujúceho opatrenia, agentúra ENISA po dohode s výrobcom produktu s dotknutými digitálnymi prvkami doplní verejne známu zraniteľnosť oznámenú podľa článku 14 ods. 1 alebo článku 15 ods. 1 tohto nariadenia do európskej databázy zraniteľností zriadenej podľa článku 12 ods. 2 smernice (EÚ) 2022/2555.
6. Jednotky CSIRT určené za koordinátorov poskytujú podporu asistenčnej služby v súvislosti s oznamovacími povinnosťami podľa článku 14 výrobcom, a to najmä výrobcom považovaným za mikropodniky alebo malé či stredné podniky.
Článok 18
Splnomocnení zástupcovia
1. Výrobca môže určiť splnomocneného zástupcu písomným poverením.
2. Povinnosti stanovené v článku 13 ods. 1 až 12 prvom pododseku a ods. 14 nie sú súčasťou poverenia splnomocneného zástupcu.
3. Splnomocnený zástupca vykonáva úlohy uvedené v poverení od výrobcu. Splnomocnený zástupca poskytne kópiu uvedeného splnomocnenia na požiadanie orgánu dohľadu nad trhom. Poverením sa splnomocnenému zástupcovi umožní prinajmenšom:
a) uchovávať EÚ vyhlásenie o zhode uvedené v článku 20 a technickú dokumentáciu uvedenú v článku 31 k dispozícii pre orgány dohľadu nad trhom aspoň desať rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podpory podľa toho, čo trvá dlhšie;
b) poskytnúť orgánu dohľadu nad trhom na základe jeho odôvodnenej žiadosti všetky informácie a dokumentáciu potrebnú na preukázanie zhody produktu s digitálnymi prvkami;
c) spolupracovať s orgánmi dohľadu nad trhom na ich žiadosť pri každom prijatom opatrení s cieľom odstrániť riziká, ktoré predstavuje produkt s digitálnymi prvkami, na ktorý sa vzťahuje poverenie splnomocneného zástupcu.
Článok 19
Povinnosti dovozcov
1. Dovozcovia uvádzajú na trh len produkty s digitálnymi prvkami, ktoré spĺňajú základné požiadavky uvedené v časti I prílohy I, a len ak sú postupy zavedené výrobcom v súlade so základnými požiadavkami uvedenými v časti II prílohy I.
2. Pred uvedením produktu s digitálnymi prvkami na trh sa dovozcovia uistia, že:
a) výrobca vykonal náležité postupy posudzovania zhody uvedené v článku 32;
b) výrobca vypracoval technickú dokumentáciu;
c) produkt s digitálnymi prvkami má označenie CE uvedené v článku 30 a je k nemu priložené EÚ vyhlásenie o zhode, ako sa uvádza v článku 13 ods. 20, a informácie a pokyny pre používateľa, ako sú uvedené v prílohe II, v jazyku zrozumiteľnom pre používateľov a orgány dohľadu nad trhom;
d) výrobca splnil požiadavky stanovené v článku 13 ods. 15, 16 a 19.
Na účely tohto odseku musia byť dovozcovia schopní poskytnúť potrebné doklady preukazujúce splnenie požiadaviek stanovených v tomto článku.
3. Ak sa dovozca domnieva alebo má dôvod sa domnievať, že produkt s digitálnymi prvkami alebo postupy zavedené výrobcom nie sú v zhode s týmto nariadením, dovozca neuvedie produkt na trh, kým sa v prípade tohto produktu alebo postupov zavedených výrobcom nedosiahne zhoda s týmto nariadením. Ak produkt s digitálnymi prvkami predstavuje navyše významné kybernetickobezpečnostné riziko, dovozca o tom informuje výrobcu a orgány dohľadu nad trhom.
Ak má dovozca dôvod domnievať sa, že produkt s digitálnymi prvkami môže predstavovať významné kybernetickobezpečnostné riziko vzhľadom na netechnické rizikové faktory, informuje o tom orgány dohľadu nad trhom. Po doručení takýchto informácií sa orgány dohľadu nad trhom riadia postupmi uvedenými v článku 54 ods. 2.
4. Dovozcovia uvedú na produkte s digitálnymi prvkami, ▌na jeho obale alebo v sprievodnej dokumentácii produktu s digitálnymi prvkami svoje meno/názov, zapísané obchodné meno alebo zapísanú ochrannú známku, poštovú adresu, emailovú adresu alebo iný digitálny kontakt, ako aj prípadné webové sídlo, na ktorých sa s nimi možno skontaktovať. Kontaktné údaje sú v jazyku, ktorý je pre používateľov a orgány dohľadu nad trhom ľahko zrozumiteľný.
▌
5. Dovozcovia, ktorí majú vedomosť alebo dôvod domnievať sa, že výrobok s digitálnymi prvkami, ktorý uviedli na trh, nie je v zhode s týmto nariadením, bezodkladne prijmú nápravné opatrenia nevyhnutné na zabezpečenie toho, aby produkt s digitálnymi prvkami bol uvedený do súladu s týmto nariadením ▌, alebo ho v prípade potreby stiahnu z trhu či prevezmú späť.
Po zistení zraniteľnosti produktu s digitálnymi prvkami dovozcovia bez zbytočného odkladu informujú o tejto zraniteľnosti výrobcu. Ak produkt s digitálnymi prvkami predstavuje navyše významné kybernetickobezpečnostné riziko, dovozcovia o tom bezodkladne informujú orgány dohľadu nad trhom členských štátov, v ktorých produkt s digitálnymi prvkami sprístupnili na trhu, pričom uvedú podrobnosti najmä o nesúlade a o všetkých prijatých nápravných opatreniach.
6. Dovozcovia uchovávajú pre orgány dohľadu nad trhom k dispozícii kópiu EÚ vyhlásenia o zhode aspoň desať rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podpory podľa toho, čo trvá dlhšie a zaistia, aby bola týmto orgánom na ich žiadosť sprístupnená technická dokumentácia.
7. Dovozcovia poskytnú orgánu dohľadu nad trhom na základe jeho odôvodnenej žiadosti všetky informácie a dokumenty v papierovej alebo elektronickej forme potrebné na preukázanie zhody produktu s digitálnymi prvkami so základnými požiadavkami uvedenými v časti I prílohy I, ako aj postupov zavedených výrobcom so základnými požiadavkami uvedenými v časti II prílohy I, a to v jazyku, ktorý je pre tento orgán ľahko zrozumiteľný. Na žiadosť tohto orgánu s ním spolupracujú pri všetkých opatreniach prijatých na odstránenie kybernetickobezpečnostných rizík, ktoré predstavuje produkt s digitálnymi prvkami, ktorý uviedli na trh.
8. Ak sa dovozca produktu s digitálnymi prvkami dozvie, že výrobca tohto produktu ukončil činnosť a v dôsledku toho nie je schopný plniť povinnosti stanovené v tomto nariadení, dovozca informuje o tejto situácii príslušné orgány dohľadu nad trhom a všetkými dostupnými prostriedkami a v maximálnej možnej miere aj používateľov produktov s digitálnymi prvkami uvedených na trh.
Článok 20
Povinnosti distribútorov
1. Pri sprístupňovaní produktu s digitálnymi prvkami na trhu konajú distribútori vo vzťahu k požiadavkám stanoveným v tomto nariadení s náležitou starostlivosťou.
2. Pred sprístupnením produktu s digitálnymi prvkami na trhu distribútori overia, či:
a) je na produkte s digitálnymi prvkami umiestnené označenie CE;
b) výrobca a dovozca si splnili povinnosti stanovené v článku 13 ods. 15, 16, 18, 19 a 20 a článku 19 ods. 4 a distribútorovi poskytli všetky potrebné dokumenty.
3. Ak sa distribútor na základe svojich informácií domnieva alebo má dôvod sa domnievať, že produkt s digitálnymi prvkami alebo postupy zavedené výrobcom nie sú v zhode so základnými požiadavkami uvedenými v prílohe I, nesmie produkt s digitálnymi prvkami sprístupniť na trhu, kým sa tento produkt alebo postupy zavedené výrobcom neuvedú do zhody s týmto nariadením. Ak produkt s digitálnymi prvkami predstavuje navyše významné kybernetickobezpečnostné riziko, distribútor o tom bezodkladne informuje výrobcu a orgány dohľadu nad trhom.
4. Distribútori, ktorí na základe svojich informácií majú vedomosť alebo dôvod sa domnievať, že produkt s digitálnymi prvkami, ktorý sprístupnili na trhu, alebo postupy zavedené jeho výrobcom nie sú v súlade s týmto nariadením, zaistia, aby boli prijaté nápravné opatrenia potrebné na to, aby tento produkt s digitálnymi prvkami alebo postupy zavedené jeho výrobcom spĺňali príslušné požiadavky, alebo prípadne na stiahnutie produktu z trhu alebo od používateľa.
Po zistení zraniteľnosti produktu s digitálnymi prvkami distribútori bez zbytočného odkladu informujú o tejto zraniteľnosti výrobcu. Ak produkt s digitálnymi prvkami predstavuje navyše významné kybernetickobezpečnostné riziko, distribútori o tom bezodkladne informujú orgány dohľadu nad trhom členských štátov, v ktorých produkt s digitálnymi prvkami sprístupnili na trhu, pričom uvedú najmä podrobnosti o nesúlade a o všetkých prijatých nápravných opatreniach.
5. Distribútori poskytnú orgánu dohľadu nad trhom na základe jeho odôvodnenej žiadosti všetky informácie a dokumenty v papierovej alebo elektronickej forme potrebné na preukázanie zhody produktu s digitálnymi prvkami a postupov zavedených jeho výrobcom s týmto nariadením v jazyku, ktorý je pre tento orgán ľahko zrozumiteľný. Na žiadosť tohto orgánu s ním spolupracujú pri akýchkoľvek opatreniach prijatých na odstránenie kybernetickobezpečnostných rizík, ktoré predstavuje produkt s digitálnymi prvkami, ktorý sprístupnili na trhu.
6. Ak sa distribútor produktu s digitálnymi prvkami na základe svojich informácií dozvie, že výrobca tohto produktu ukončil svoju činnosť a v dôsledku toho nie je schopný splniť povinnosti stanovené v tomto nariadení, distribútor bezodkladne informuje o tejto situácii príslušné orgány dohľadu nad trhom a akýmikoľvek dostupnými prostriedkami a v čo najväčšej možnej miere aj používateľov produktov s digitálnymi prvkami uvedených na trh.
Článok 21
Prípady, v ktorých sa povinnosti výrobcov vzťahujú na dovozcov a distribútorov
Dovozca alebo distribútor sa na účely tohto nariadenia považuje za výrobcu a vzťahujú sa naňho povinnosti výrobcu podľa ▌článkov 13 a 14, ak tento dovozca alebo distribútor uvádza produkt s digitálnymi prvkami na trh pod svojím menom alebo svojou ochrannou známkou, alebo ak podstatne upraví produkt s digitálnymi prvkami už uvedený na trh.
Článok 22
Iné prípady uplatňovania povinností výrobcov
1. Fyzická alebo právnická osoba iná ako výrobca, dovozca alebo distribútor, ktorá vykoná podstatnú úpravu produktu s digitálnymi prvkami a sprístupní ho na trhu, sa na účely tohto nariadenia považuje za výrobcu.
2. Na túto osobu sa vzťahujú povinnosti ▌uvedené v článku 13 a 14 za tú časť produktu s digitálnymi prvkami, ktorá je ovplyvnená podstatnou úpravou, alebo v prípade celého produktu, ak má podstatná úprava vplyv na kybernetickú bezpečnosť produktu s digitálnymi prvkami ako celku.
Článok 23
Identifikácia hospodárskych subjektov
1. Hospodárske subjekty poskytnú ▌na požiadanie orgánom dohľadu nad trhom tieto informácie:
a) meno/názov a adresu každého hospodárskeho subjektu, ktorý im dodal produkt s digitálnymi prvkami;
b) meno/názov a adresu každého hospodárskeho subjektu, ktorému dodali produkt s digitálnymi prvkami, ak sú k dispozícii.
2. Hospodárske subjekty musia byť schopné poskytnúť informácie uvedené v odseku 1 počas obdobia desiatich rokov po tom, čo im bol produkt s digitálnymi prvkami dodaný, a počas obdobia desiatich rokov po tom, čo produkt s digitálnymi prvkami dodali ony.
Článok 24
Povinnosti správcov softvéru s otvoreným zdrojovým kódom
1. Na podporu vývoja bezpečného produktu s digitálnymi prvkami, ako aj účinné riešenie zraniteľností zo strany programátorov daného produktu správcovia softvéru s otvoreným zdrojovým kódom overiteľným spôsobom zavedú a zdokumentujú politiku kybernetickej bezpečnosti. Uvedenou politikou sa posilní aj dobrovoľné oznamovanie zraniteľností, ako sa stanovuje v článku 15, zo strany programátorov daného produktu a zohľadní sa osobitná povaha správcu softvéru s otvoreným zdrojovým kódom a právne a organizačné opatrenia, ktoré sa na neho vzťahujú. Súčasťou tejto politiky sú najmä aspekty súvisiace s dokumentovaním, riešením a nápravou zraniteľností a podpora výmeny informácií o zistených zraniteľnostiach v komunite otvorených zdrojov.
2. Správcovia softvéru s otvoreným zdrojovým kódom spolupracujú s orgánmi dohľadu nad trhom na ich žiadosť s cieľom zmierňovať kybernetickobezpečnostné riziká, ktoré predstavuje produkt s digitálnymi prvkami považovaný za slobodný softvér a softvér s otvoreným zdrojovým kódom.
Na základe odôvodnenej žiadosti orgánu dohľadu nad trhom správcovia softvéru s otvoreným zdrojovým kódom poskytnú tomuto orgánu dokumentáciu uvedenú v odseku 1 v papierovej alebo elektronickej podobe v jazyku preň ľahko zrozumiteľnom.
3. Povinnosti stanovené v článku 14 ods. 1 sa vzťahujú na správcov softvéru s otvoreným zdrojovým kódom, pokiaľ sa podieľajú na vývoji produktov s digitálnymi prvkami. Povinnosti stanovené v článku 14 ods. 3 a 8 sa vzťahujú na správcov softvéru s otvoreným zdrojovým kódom, pokiaľ závažné incidenty, ktoré majú vplyv na bezpečnosť produktov s digitálnymi prvkami, majú vplyv na siete a informačné systémy, ktoré správcovia softvéru s otvoreným zdrojovým kódom poskytujú na vývoj takýchto produktov.
Článok 25
Bezpečnostná atestácia slobodného softvéru a softvéru s otvoreným zdrojovým kódom
Na uľahčenie povinnosti náležitej starostlivosti stanovenej v článku 13 ods. 5, najmä pokiaľ ide o výrobcov, ktorí do svojich produktov s digitálnymi prvkami integrujú komponenty slobodného softvéru a softvéru s otvoreným zdrojovým kódom, je Komisia splnomocnená prijímať delegované akty v súlade s článkom 61 na doplnenie tohto nariadenia zavedením programov dobrovoľného bezpečnostného osvedčenia, ktoré programátorom alebo používateľom produktov s digitálnymi prvkami považovaným za slobodný softvér a softvér s otvoreným zdrojovým kódom, ako aj iným tretím stranám umožní posúdiť súlad takýchto produktov so všetkými alebo určitými základnými požiadavkami alebo inými povinnosťami stanovenými v tomto nariadení.
Článok 26
Usmernenia
1. Na podporu vykonávania a zaistenie jeho konzistentnosti zverejní Komisia usmernenia na pomoc hospodárskym subjektom pri uplatňovaní tohto nariadenia s osobitným zameraním na podporu dodržiavania predpisov pre mikropodniky a malé a stredné podniky.
2. Ak má Komisia v úmysle poskytnúť usmernenia uvedené v odseku 1, rieši minimálne tieto aspekty:
a) rozsah pôsobnosti tohto nariadenia s osobitným zameraním na riešenia diaľkového spracovania údajov a slobodný softvér a softvér s otvoreným zdrojovým kódom;
b) uplatňovanie obdobia podpory pre konkrétne kategórie produktov s digitálnymi prvkami;
c) usmernenia so zameraním na výrobcov, na ktorých sa vzťahuje toto nariadenie a na ktorých sa vzťahujú aj iné harmonizačné právne predpisy Únie než toto nariadenie alebo iné súvisiace právne akty Únie;
d) pojem podstatnej zmeny.
Komisia vedie aj ľahko prístupný zoznam delegovaných a vykonávacích aktov prijatých podľa tohto nariadenia.
3. Pri príprave usmernení podľa tohto článku sa Komisia radí s príslušnými zainteresovanými stranami.
KAPITOLA III
Zhoda produktu s digitálnymi prvkami
Článok 27
Predpoklad zhody
1. O produktoch s digitálnymi prvkami a postupoch zavedených výrobcom, ktoré sú v zhode s harmonizovanými normami alebo ich časťami, na ktoré boli uverejnené odkazy v Úradnom vestníku Európskej únie, sa predpokladá, že sú v zhode so základnými požiadavkami uvedenými v prílohe I, na ktoré sa vzťahujú tieto normy alebo ich časti.
Komisia v súlade s článkom 10 ods. 1 nariadenia (EÚ) č. 1025/2012 požiada jednu alebo viacero európskych normalizačných organizácií o vypracovanie harmonizovaných noriem pre základné požiadavky stanovené v prílohe I tohto nariadenia. Pri príprave žiadosti o vypracovanie normy k tomuto nariadeniu sa Komisia snaží zohľadniť existujúce zavedené alebo pripravované európske a medzinárodné kybernetickobezpečnostné normy s cieľom zjednodušiť tvorbu harmonizovaných noriem v súlade s nariadením (EÚ) č. 1025/2012.
2. Komisia môže prijať vykonávacie akty, v ktorých sa stanovia spoločné špecifikácie technických požiadaviek, ktoré poskytnú prostriedok na dosiahnutie súladu so základnými požiadavkami uvedenými v prílohe I pre produkty s digitálnymi prvkami v rozsahu pôsobnosti tohto nariadenia.
Uvedené vykonávacie akty sa prijmú len vtedy, ak sú splnené tieto podmienky:
a) Komisia podľa článku 10 ods. 1 nariadenia (EÚ) č. 1025/2012 požiadala jednu alebo viaceré európske normalizačné organizácie o vypracovanie harmonizovanej normy pre základné požiadavky uvedené v prílohe I a:
i) žiadosť nebola prijatá;
ii) harmonizované normy, ktoré boli predmetom tejto žiadosti, neboli odovzdané v lehote stanovenej podľa článku 10 ods. 1 nariadenia (EÚ) č. 1025/2012; alebo
iii) harmonizované normy nie sú v súlade so žiadosťou; a
b) v Úradnom vestníku Európskej únie nie je uverejnený odkaz na harmonizované normy pre relevantné základné požiadavky stanovené v prílohe I v súlade s nariadením (EÚ) č. 1025/2012 a nepredpokladá sa, že takýto odkaz bude v primeranej lehote uverejnený. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.
3. Pred vypracovaním návrhu vykonávacieho aktu podľa odseku 2 Komisia informuje výbor uvedený v článku 22 nariadenia (EÚ) č. 1025/2012 o tom, že podľa jej názoru sú podmienky uvedené v odseku 2 splnené.
4. Pri príprave návrhu vykonávacieho aktu podľa odseku 2 Komisia zohľadní názory príslušných orgánov a náležite sa radí so všetkými relevantnými zainteresovanými stranami.
5. Produkty s digitálnymi prvkami a postupy zavedené výrobcom, ktoré sú v zhode so spoločnými špecifikáciami ustanovenými vo vykonávacích aktoch uvedenými v odseku 2 tohto článku alebo v ich častiach, sa považujú za produkty a postupy v zhode so základnými požiadavkami uvedenými v prílohe I, pokiaľ sa uvedené spoločné špecifikácie alebo ich časti vzťahujú na tieto požiadavky.
6. Ak harmonizovanú normu prijme európska normalizačná organizácia a Komisii navrhne, aby odkaz na ňu uverejnila v Úradnom vestníku Európskej únie, Komisia túto harmonizovanú normu posúdi v súlade s nariadením (EÚ) č. 1025/2012. Keď sa v Úradnom vestníku Európskej únie uverejní odkaz na harmonizovanú normu, Komisia zruší vykonávacie akty uvedené v odseku 2 alebo tie ich časti, ktoré sa vzťahujú na tie isté základné požiadavky ako daná harmonizovaná norma.
7. Ak sa členský štát domnieva, že spoločná špecifikácia úplne nevyhovuje základným požiadavkám stanoveným v prílohe I, informuje o tom Komisiu, ktorej poskytne podrobné vysvetlenie. Komisia toto podrobné vysvetlenie posúdi a v prípade potreby môže zmeniť vykonávací akt, ktorým sa predmetná spoločná špecifikácia ustanovuje.
8. Produkty s digitálnymi prvkami a postupy zavedené výrobcom, pre ktoré bolo vydané EÚ vyhlásenie o zhode alebo certifikát v rámci európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa nariadenia (EÚ) 2019/881 ▌, sa považujú za produkty a postupy v zhode so základnými požiadavkami stanovenými v prílohe I, pokiaľ sa na tieto požiadavky vzťahuje EÚ vyhlásenie o zhode alebo európsky certifikát kybernetickej bezpečnosti, alebo ich časti.
9. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 tohto nariadenia na doplnenie tohto nariadenia špecifikovaním európskych systémov certifikácie kybernetickej bezpečnosti prijatých podľa nariadenia (EÚ) 2019/881, ktoré sa môžu použiť na preukázanie zhody produktov s digitálnymi prvkami so základnými požiadavkami alebo s ich časťami stanovenými v prílohe I. Vydaním európskeho certifikátu kybernetickej bezpečnosti v rámci takýchto systémov aspoň na pokročilom stupni dôveryhodnosti sa navyše ruší povinnosť výrobcu dať tretej strane vykonať posúdenie zhody s príslušnými požiadavkami, ako sa stanovuje v článku 32 ods. 2 písm. a) a b) a ods. 3 písm. a) a b) a článku 32 ods. 3 písm. a) a b) tohto nariadenia. ▌
▌
Článok 28
EÚ vyhlásenie o zhode
1. EÚ vyhlásenie o zhode vypracujú výrobcovia v súlade s článkom 13 ods. 12 a uvedú v ňom, že bolo preukázané splnenie uplatniteľných základných požiadaviek stanovených v prílohe I.
2. EÚ vyhlásenie o zhode má štruktúru, ktorej vzor je stanovený v prílohe V, a obsahuje prvky špecifikované v príslušných postupoch posudzovania zhody stanovených v prílohe VIII. Takéto vyhlásenie ▌sa podľa potreby aktualizuje. Sprístupní sa v jazykoch požadovaných členským štátom, v ktorom sa produkt s digitálnymi prvkami uvádza na trh alebo sprístupňuje na trhu.
Zjednodušené EÚ vyhlásenie o zhode uvedené v článku 13 ods. 20 má štruktúru, ktorej vzor je stanovený v prílohe VI. Sprístupní sa v jazykoch požadovaných členským štátom, v ktorom sa produkt s digitálnymi prvkami uvádza na trh alebo sprístupňuje na trhu.
3. Ak sa na produkt s digitálnymi prvkami vzťahuje viac ako jeden právny akt Únie, v ktorom sa vyžaduje EÚ vyhlásenie o zhode, pre všetky tieto právne akty Únie sa vypracuje jediné EÚ vyhlásenie o zhode. V uvedenom vyhlásení sú uvedené dotknuté právny akty Únie vrátane odkazov na ich uverejnenie.
4. Vypracovaním vyhlásenia o zhode EÚ preberá výrobca zodpovednosť za zhodu produktu s digitálnymi prvkami s touto smernicou.
5. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 na doplnenie tohto nariadenia, a to pridaním prvkov do minimálneho obsahu EÚ vyhlásenia o zhode stanoveného v prílohe V s cieľom zohľadniť technologický vývoj.
Článok 29
Všeobecné zásady označenia CE
Označenie CE sa riadi všeobecnými zásadami stanovenými v článku 30 nariadenia (ES) č. 765/2008.
Článok 30
Pravidlá a podmienky umiestňovania označenia CE
1. Označenie CE sa na produkt s digitálnymi prvkami umiestni tak, aby bolo viditeľné a čitateľné a nedalo sa zmazať. Ak to vzhľadom na povahu produktu s digitálnymi prvkami nie je možné alebo odôvodnené, toto označenie sa umiestni na obal a na EÚ vyhlásenie o zhode uvedené v článku 28, ktoré sa pripojí k produktu s digitálnymi prvkami. V prípade produktov s digitálnymi prvkami, ktoré sú vo forme softvéru, sa označenie CE umiestni buď na EÚ vyhlásenie o zhode uvedené v článku 28 alebo na sprievodné webové sídlo softvérového produktu. V druhom prípade musí byť príslušná časť webového sídla ľahko a priamo prístupná spotrebiteľom.
2. Vzhľadom na povahu produktu s digitálnymi prvkami môže byť výška označenia CE umiestneného na produkte s digitálnymi prvkami menšia ako 5 mm za predpokladu, že označenie bude naďalej viditeľné a čitateľné.
3. Označenie CE sa na produkt s digitálnymi prvkami umiestni pred uvedením tohto produktu na trh. Za označením môže nasledovať piktogram alebo akákoľvek iná značka označujúca osobitné kybernetickobezpečnostné riziko alebo použitie stanovené vo vykonávacích aktoch uvedených v odseku 6.
4. Za označením CE nasleduje identifikačné číslo notifikovanej osoby, ak sa táto osoba zúčastňuje do postupu posudzovania zhody založeného na plnom zabezpečení kvality (podľa modulu H) uvedeného v článku 32.
Identifikačné číslo notifikovanej osoby umiestňuje samotná osoba alebo výrobca či splnomocnený zástupca výrobcu podľa jej pokynov.
5. Pri zabezpečovaní správneho uplatňovania režimu úpravy označenia CE vychádzajú členské štáty z existujúcich mechanizmov a v prípade nesprávneho použitia tohto označenia prijmú primerané opatrenia. Ak sa na produkt s digitálnymi prvkami vzťahujú iné právne predpisy ako toto nariadenie Únie, v ktorých sa tiež vyžaduje umiestnenie označenia CE, v označení CE sa uvedie, že produkt spĺňa aj požiadavky takýchto iných harmonizačných právnych predpisov Únie.
6. Komisia môže prostredníctvom vykonávacích aktov stanoviť technické špecifikácie pre značky, piktogramy alebo akékoľvek iné značky týkajúce sa bezpečnosti produktov s digitálnymi prvkami, obdobia ich podpory a mechanizmov na podporu ich používania a na zvýšenie informovanosti verejnosti o bezpečnosti produktov s digitálnymi prvkami. Pri príprave návrhov vykonávacích aktov sa Komisia radí s príslušnými zainteresovanými stranami a so skupinou pre administratívnu spoluprácu pri dohľade nad trhom (ADCO), ak už bola zriadená podľa článku 52 ods. 15. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.
Článok 31
Technická dokumentácia
1. Technická dokumentácia obsahuje všetky príslušné údaje alebo podrobnosti o prostriedkoch, ktoré výrobca použil na zaistenie toho, aby produkt s digitálnymi prvkami a postupy zavedené výrobcom boli v súlade so základnými požiadavkami uvedenými v prílohe I. Obsahuje aspoň prvky stanovené v prílohe VII.
2. Technická dokumentácia sa vypracuje pred uvedením produktu s digitálnymi prvkami na trh a v prípade potreby sa priebežne aktualizuje minimálne počas obdobia podpory▌.
3. V prípade produktov s digitálnymi prvkami uvedených v článku 12 a článku 32 ods. 6, na ktoré sa vzťahujú aj iné právne akty Únie, v ktorých sa ustanovuje technická dokumentácia, sa vypracuje jediné vyhotovenie technickej dokumentácie s informáciami uvedenými v prílohe VII a informáciami, ktoré požadujú uvedené právne akty Únie.
4. Technická dokumentácia a korešpondencia súvisiace s postupom posudzovania zhody sa vypracujú v úradnom jazyku členského štátu, v ktorom je notifikovaná osoba usadená, alebo v jazyku, ktorý je pre túto osobu prijateľný.
5. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 na doplnenie tohto nariadenia o prvky, ktoré sa majú zahrnúť do technickej dokumentácie uvedenej v prílohe VII, aby sa zohľadnil technologický vývoj, ako aj vývoj, ktorý nastane pri vykonávaní tohto nariadenia. Na tento účel sa Komisia snaží zabezpečiť, aby administratívna záťaž mikropodnikov a malých a stredných podnikov bola primeraná.
Článok 32
Postupy posudzovania zhody produktov s digitálnymi prvkami
1. Výrobca posudzuje zhodu produktu s digitálnymi prvkami a postupov zavedených výrobcom s cieľom určiť, či sú splnené základné požiadavky uvedené v prílohe I. Výrobca ▌ preukazuje zhodu so základnými požiadavkami niektorým z týchto postupov:
a) postupu vnútornej kontroly (podľa modulu A) stanoveného v prílohe VIII; ▌
b) EÚ skúšky typu (podľa modulu B) stanovenej v prílohe VIII, po ktorej nasleduje zhoda s EÚ typom na základe vnútornej kontroly výroby (podľa modulu C) stanovenej v prílohe VIII; ▌
c) posudzovania zhody založeného na úplnom zabezpečení kvality (podľa modulu H) stanoveného v prílohe VIII; alebo
d) ak je to možné a uplatniteľné, európskym systémom certifikácie kybernetickej bezpečnosti, ako sa uvádza v článku 27 ods. 9.
2. Ak výrobca ▌pri posudzovaní súladu dôležitého produktu s digitálnymi prvkami, ktorý patrí do triedy I v zmysle v prílohy III, a postupov zavedených jeho výrobcom so základnými požiadavkami stanovenými v prílohe I neuplatnil alebo len čiastočne uplatnil harmonizované normy, spoločné špecifikácie alebo európske systémy certifikácie kybernetickej bezpečnosti aspoň na pokročilom stupni dôveryhodnosti, ako sa uvádza v článku 27, alebo ak takéto harmonizované normy, spoločné špecifikácie alebo európske systémy certifikácie kybernetickej bezpečnosti neexistujú, dotknutý produkt s digitálnymi prvkami a postupy zavedené výrobcom s ohľadom na tieto základné požiadavky sa podrobia niektorému z týchto postupov:
a) EÚ skúška typu (podľa modulu B) stanovená v prílohe VIII, po ktorej nasleduje zhoda s EÚ typom na základe vnútornej kontroly výroby (podľa modulu C) stanovená v prílohe VIII; alebo
b) posudzovanie zhody na základe úplného zabezpečenia kvality (podľa modulu H) stanovené v prílohe VIII.
3. Ak je produkt dôležitým produktom s digitálnymi prvkami, ktorý patrí do triedy II v zmysle prílohy III, výrobca ▌preukazuje zhodu so základnými požiadavkami stanovenými v prílohe I niektorým z týchto postupov:
a) EÚ skúška typu (podľa modulu B) stanovená v prílohe VIII, po ktorej nasleduje zhoda s EÚ typom na základe na vnútornej kontrole výroby (podľa modulu C) stanovená v prílohe VIII; ▌
b) posudzovanie zhody na základe úplného zabezpečenia kvality (podľa modulu H) stanovené v prílohe VIII; alebo
c) ak je to možné a vhodné, európsky systém certifikácie kybernetickej bezpečnosti podľa článku 27 ods. 9 tohto nariadenia aspoň na pokročilom stupni dôveryhodnosti podľa nariadenia (EÚ) 2019/881.
4. U kritických produktov s digitálnymi prvkami uvedených v zozname prílohy IV sa zhoda so základnými požiadavkami stanovenými v prílohe I preukazuje jedným z týchto postupov:
a) európskym systémom certifikácie kybernetickej bezpečnosti v súlade s článkom 8 ods. 1 nariadenia (EÚ) 2019/881; alebo
b) ak nie sú splnené podmienky uvedené v článku 8 ods. 1, ktorýmkoľvek z postupov uvedeným v odseku 3 tohto článku.
5. Výrobcovia produktov s digitálnymi prvkami považovanými za slobodný softvér a softvér s otvoreným zdrojovým kódom, ktoré patria do kategórií uvedených v prílohe III, musia byť schopní preukázať zhodu so základnými požiadavkami stanovenými v prílohe I jedným z postupov uvedených v odseku 1 tohto článku za predpokladu, že technická dokumentácia uvedená v článku 31 je v čase uvedenia týchto produktov na trh sprístupnená verejnosti.
6. Výrobcovia produktov s digitálnymi prvkami, ktoré sú klasifikované ako systémy elektronických zdravotných záznamov podľa ▌nariadenia [nariadenie o európskom priestore pre zdravotné údaje], preukazujú zhodu so základnými požiadavkami stanovenými v prílohe I k tomuto nariadeniu príslušným postupom posudzovania zhody, ako sa stanovuje v nariadení [kapitola III nariadenia o európskom priestore pre zdravotné údaje](40).
7. ▌Pri určovaní poplatkov za postupy posudzovania zhody sa zohľadňujú osobitné záujmy a potreby mikropodnikov a malých a stredných podnikov vrátane startupov a▌uvedené poplatky sa znížia úmerne k ich osobitným záujmom a potrebám.
Článok 33
Opatrenia na podporu mikropodnikov a malých a stredných podnikov vrátane startupov
1. Členské štáty v prípade potreby prijmú tieto opatrenia prispôsobené potrebám mikropodnikov a malých podnikov:
a) organizujú osobitné činnosti na zvyšovanie informovanosti a odbornú prípravu o uplatňovaní tohto nariadenia;
b) zriadia špecializovaný kanál na komunikáciu s mikropodnikmi a malými podnikmi a prípadne s miestnymi verejnými orgánmi s cieľom poskytovať poradenstvo a odpovedať na otázky o vykonávaní tohto nariadenia;
c) podporujú činnosti testovania a posudzovania zhody, v relevantných prípadoch aj s podporou Európskeho centra kompetencií v oblasti kybernetickej bezpečnosti.
2. V prípade potreby môžu členské štáty zriadiť experimentálne regulačné prostredie pre kybernetickú odolnosť. Takéto experimentálne regulačné prostredie poskytuje kontrolované prostredie pre testovanie inovačných produktov s digitálnymi prvkami na uľahčenie ich vývoja, riešenia, validácie a testovania na dosiahnutie súladu s týmto nariadením na obmedzený čas pred uvedením na trh. Na zriadenie a prevádzku experimentálneho regulačného prostredia môžu Komisia a prípadne agentúra ENISA poskytovať technickú podporu, poradenstvo a nástroje. Experimentálne regulačné prostredie sa zriaďuje pod priamym dohľadom a vedením a s podporou orgánov dohľadu nad trhom. Členské štáty informujú Komisiu a ostatné orgány dohľadu nad trhom o zriadení experimentálneho regulačného prostredia prostredníctvom skupiny pre administratívnu spoluprácu pri dohľade nad trhom (ADCO). Experimentálnym regulačným prostredím nie sú dotknuté právomoci dohľadu a nápravy príslušných orgánov. K experimentálnemu regulačnému prostrediu zabezpečia členské štáty otvorený, spravodlivý a transparentný prístup, a najmä uľahčia prístup pre mikropodniky a malé podniky vrátane startupov.
3. V súlade s článkom 26 poskytne Komisia usmernenia k vykonávaniu tohto nariadenia pre mikropodniky a malé a stredné podniky.
4. Komisia zverejní finančnú podporu, ktorá je k dispozícii podľa regulačného rámca existujúcich programov Únie najmä na zmiernenie finančnej záťaže mikropodnikov a malých podnikov.
5. Mikropodniky a malé podniky môžu poskytnúť všetky časti technickej dokumentácie uvedené v prílohe VII v zjednodušenom formáte. Komisia na tento účel prostredníctvom vykonávacích aktov špecifikuje zjednodušený formát technickej dokumentácie so zameraním na potreby mikropodnikov a malých podnikov vrátane toho, ako majú byť pripravené časti stanovené v prílohe VII. Ak sa mikropodnik alebo malý podnik rozhodne poskytnúť informácie požadované v prílohe VII zjednodušeným spôsobom, použije formát uvedený v tomto odseku. Notifikované osoby akceptujú tento formát na účely posudzovania zhody.
Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.
Článok 34
Dohody o vzájomnom uznávaní
S cieľom podporiť a uľahčiť medzinárodný obchod môže Únia s ohľadom na úroveň technického rozvoja a prístup k posudzovaniu zhody v tretej krajine v súlade s článkom 218 ZFEÚ uzatvárať s tretími krajinami dohody o vzájomnom uznávaní.
KAPITOLA IV
NOTIFIKÁCIA ORGÁNOV POSUDZOVANIA ZHODY
Článok 35
Notifikácie
1. Členské štáty notifikujú Komisiu a ostatné členské štáty o tom, ktoré orgány ▌sú oprávnené vykonávať posudzovanie zhody v súlade s týmto nariadením.
2. Aby sa zamedzilo problémovým miestam a prekážkam pri vstupe na trh, usilujú členské štáty o zabezpečenie toho, aby do ... [24 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia] bol na výkon posudzovania zhody v Únii k dispozícii dostatočný počet notifikovaných osôb.
Článok 36
Notifikujúce orgány
1. Členské štáty určia notifikujúci orgán zodpovedný za ustanovenie a výkon postupov nevyhnutných na účely posudzovania a notifikácie orgánov posudzovania zhody a na účely monitorovania notifikovaných osôb, ako aj za súlad s článkom 41.
2. Členské štáty môžu rozhodnúť, že hodnotenie a monitorovanie uvedené v odseku 1 tohto článku bude vykonávať vnútroštátny akreditačný orgán v zmysle nariadenia (ES) č. 765/2008 a v súlade s ním.
3. Ak notifikujúci orgán deleguje posudzovanie, notifikáciu alebo monitorovanie uvedené v odseku 1 tohto článku na iný ako vládny subjekt alebo ho inak poverí výkonom týchto úloh, tento subjekt musí byť právnickou osobou a mutatis mutandis musí spĺňať požiadavky článku 37. Okrem toho musí mať zavedené mechanizmy na krytie záväzkov vyplývajúcich z jeho činností.
4. Notifikujúci orgán nesie plnú zodpovednosť za úlohy, ktoré vykonáva subjekt uvedený v odseku 3.
Článok 37
Požiadavky na notifikujúce orgány
1. Notifikujúci orgán sa zriadi tak, aby nedochádzalo ku konfliktu záujmov s orgánmi posudzovania zhody.
2. Notifikujúci orgán má takú organizačnú štruktúru a funguje tak, aby bola zabezpečená objektívnosť a nestrannosť jeho činností.
3. Notifikujúci orgán má takú organizačnú štruktúru, aby každé rozhodnutie o notifikácii orgánu posudzovania zhody prijímali iné odborne spôsobilé osoby ako tie, ktoré posúdenie vykonali.
4. Notifikujúci orgán neponúka ani neposkytuje činnosti, ktoré vykonávajú orgány posudzovania zhody, ani poradenské služby na komerčnom či konkurenčnom základe.
5. Notifikujúci orgán zabezpečuje dôvernosť informácií, ktoré získal.
6. Na riadne plnenie svojich úloh má notifikujúci orgán k dispozícii dostatočný počet odborne spôsobilých zamestnancov.
Článok 38
Informačná povinnosť notifikujúcich orgánov
1. Členské štáty informujú Komisiu o svojich postupoch posudzovania a notifikácie orgánov posudzovania zhody a monitorovania notifikovaných osôb a o všetkých s nimi súvisiacich zmenách.
2. Komisia zabezpečí, aby informácie uvedené v odseku 1 boli verejne dostupné.
Článok 39
Požiadavky na notifikované osoby
1. Na účely notifikácie musí orgán posudzovania zhody spĺňať požiadavky stanovené v odsekoch 2 až 12.
2. Orgán posudzovania zhody sa zriadi podľa vnútroštátnych právnych predpisov a je právnickou osobou.
3. Orgán posudzovania zhody je treťou stranou, nezávislou od organizácie alebo produktu s digitálnymi prvkami, ktorý posudzuje.
Ak je preukázaná jeho nezávislosť a nedochádza ku konfliktu záujmov, možno za takýto orgán považovať subjekt, ktorý patrí do záujmového združenia alebo profesijného zväzu zastupujúceho podniky zapojené do navrhovania, vývoja, výroby, obstarávania, montáže, používania alebo údržby produktov s digitálnymi prvkami, ktoré posudzuje.
4. Orgán posudzovania zhody, jeho vrcholový manažment a zamestnanci zodpovední za výkon úloh posudzovania zhody nie sú konštruktéri, programátori, výrobcovia, dodávatelia, dovozcovia, distribútori, subjekty vykonávajúce inštaláciu, nákupcovia, vlastníci, používatelia alebo subjekty vykonávajúce údržbu produktov s digitálnymi prvkami, ktoré posudzujú, ani splnomocnení zástupcovia žiadnej z týchto strán. Tým sa nevylučuje použitie posudzovaných produktov, ktoré sú potrebné na výkon činností orgánu posudzovania zhody, ani použitie takýchto produktov na osobné účely.
Orgán posudzovania zhody, jeho vrcholový manažment a zamestnanci zodpovední za výkon úloh posudzovania zhody nie sú priamo zapojení do navrhovania, vývoja, výroby, dovozu, distribúcie, uvádzania na trh, inštalácie, používania alebo údržby týchto produktov s digitálnymi prvkami, ktoré posudzujú, ani nezastupujú strany zapojené do týchto činností. Nezúčastňujú sa žiadnej činnosti, ktorá by mohla ovplyvniť ich nezávislý úsudok alebo bezúhonnosť vo vzťahu k činnostiam posudzovania zhody, na ktorých vykonávanie sú notifikovaní. Týka sa to najmä poradenských služieb.
Orgány posudzovania zhody zabezpečia, aby činnosti ich pomocných orgánov alebo ich subdodávateľov nemali vplyv na dôvernosť, objektivitu a nestrannosť ich činností posudzovania zhody.
5. Orgány posudzovania zhody a ich zamestnanci vykonávajú činnosti posudzovania zhody na najvyššej úrovni odbornej integrity a nevyhnutnej technickej spôsobilosti v danej oblasti a nesmú podliehať žiadnym tlakom a stimulom, najmä finančným, ktoré by mohli ovplyvniť ich rozhodnutie alebo výsledky ich činností posudzovania zhody, najmä zo strany osôb alebo skupín osôb, ktoré majú záujem na výsledku týchto činností.
6. Orgán posudzovania zhody je schopný vykonávať všetky úlohy posudzovania zhody uvedené v prílohe VIII, v súvislosti s ktorými bol notifikovaný, bez ohľadu na to, či ide o úlohy vykonávané samotným orgánom posudzovania zhody, alebo v jeho mene a na jeho zodpovednosť.
Orgán posudzovania zhody má vždy a pre každý postup posudzovania zhody a pre každý druh alebo kategóriu produktu s digitálnymi prvkami, v súvislosti s ktorými je notifikovaný, k dispozícii:
a) personál s technickými vedomosťami a dostatočnými a primeranými skúsenosťami na výkon úloh posudzovania zhody;
b) opis postupov, v súlade s ktorými sa má vykonávať posudzovanie zhody, na zaistenie transparentnosti a reprodukovateľnosti týchto postupov. Má zavedené príslušné politiky a postupy, v ktorých sa rozlišuje medzi úlohami, ktoré vykonáva ako notifikovaná osoba, a inými činnosťami;
c) postupy na výkon činností, ktoré náležitým spôsobom zohľadňujú veľkosť podniku, odvetvie, v ktorom podnik pôsobí, jeho štruktúru, stupeň zložitosti technológie daného produktu a hromadnú či sériovú povahu výrobného postupu.
Orgán posudzovania zhody má prostriedky nevyhnutné na náležitý výkon technických a administratívnych úloh spojených s činnosťami posudzovania zhody a má prístup k všetkému potrebnému vybaveniu alebo zariadeniam.
7. Zamestnanci zodpovední za výkon činností posudzovania zhody majú:
a) primerané technické a odborné vzdelanie pre všetky činnosti posudzovania zhody, v súvislosti s ktorými bol orgán posudzovania zhody notifikovaný;
b) dostatočné vedomosti o požiadavkách na výkon posudzovania a požadovanú právomoc toto posudzovanie vykonávať;
c) patričné znalosti a porozumenie základných požiadaviek stanovených v prílohe I, uplatniteľných harmonizovaných noriem a spoločných špecifikácií a príslušných ustanovení harmonizačných právnych predpisov Únie a ich vykonávacích aktov;
d) schopnosť vyhotoviť osvedčenia, záznamy a správy preukazujúce, že sa posúdenie vykonalo.
8. Musí sa zaručiť nestrannosť orgánov posudzovania zhody, ich vrcholového manažmentu a pracovníkov, ktorí vykonávajú posudzovanie.
Odmeňovanie vrcholového manažmentu orgánu posudzovania zhody a jeho pracovníkov, ktorí vykonávajú posudzovanie, nesmie závisieť od počtu vykonaných posúdení, ani od ich výsledkov.
9. Orgán posudzovania zhody uzavrie poistenie zodpovednosti za škodu, ak túto zodpovednosť neprevzal jeho členský štát v súlade s vnútroštátnym právom alebo ak za posudzovanie zhody nie je priamo zodpovedný samotný členský štát.
10. Zamestnanci orgánu posudzovania zhody sú povinní dodržiavať služobné tajomstvo, pokiaľ ide o všetky informácie získané pri výkone úloh podľa prílohy VIII alebo akéhokoľvek ustanovenia vnútroštátneho práva, ktorým sa táto príloha uvádza do účinnosti, nie však vo vzťahu k orgánom dohľadu nad trhom členského štátu, v ktorom daný orgán vykonáva činnosť. Vlastnícke práva sú chránené. Orgán posudzovania zhody má zdokumentované postupy na zaistenie súladu s týmto odsekom.
11. Orgány posudzovania zhody sa zúčastňujú na príslušných normalizačných činnostiach a činnostiach koordinačnej skupiny notifikovanej osoby zriadenej podľa článku 51 alebo zabezpečia, aby ich zamestnanci, ktorí vykonávajú posudzovanie, boli o nich informovaní, a ako všeobecné usmernenie uplatňujú administratívne rozhodnutia a dokumenty, ktoré sú výsledkom práce tejto skupiny.
12. Orgány posudzovania zhody vykonávajú svoju činnosť v súlade so súborom konzistentných, spravodlivých, primeraných a odôvodnených podmienok, pričom – pokiaľ ide o poplatky – zamedzia zbytočnej záťaži hospodárskych subjektov, najmä s ohľadom na záujmy mikropodnikov a malých a stredných podnikov.
Článok 40
Predpoklad zhody notifikovaných osôb
Ak orgán posudzovania zhody preukáže, že je v zhode s kritériami stanovenými v príslušných harmonizovaných normách alebo ich častiach, na ktoré boli uverejnené odkazy v Úradnom vestníku Európskej únie, predpokladá sa, že spĺňa požiadavky stanovené v článku 39 v takom rozsahu, v akom uplatniteľné harmonizované normy vzťahujú na tieto požiadavky.
Článok 41
Dcérske spoločnosti a subdodávatelia notifikovaných osôb
1. Ak notifikovaná osoba zadá špecifické úlohy spojené s posudzovaním zhody subdodávateľovi alebo na to využije pobočku, zabezpečí, aby subdodávateľ alebo dcérska spoločnosť spĺňali požiadavky stanovené v článku 39, a zodpovedajúcim spôsobom o tom informuje notifikujúci orgán.
2. Notifikované osoby nesú plnú zodpovednosť za úlohy, ktoré vykonávajú subdodávatelia alebo pomocné orgány, bez ohľadu na to, kde sú usadené.
3. Činnosti môže vykonávať subdodávateľ alebo pobočka len so súhlasom výrobcu.
4. Notifikované osoby uchovávajú k dispozícii pre notifikujúci orgán príslušnú dokumentáciu týkajúcu sa posúdenia kvalifikácie subdodávateľa alebo pobočky a práce, ktorú vykonali podľa tohto nariadenia.
Článok 42
Žiadosť o notifikáciu
1. Orgán posudzovania zhody podáva žiadosť o notifikáciu notifikujúcemu orgánu členského štátu svojho sídla.
2. Súčasťou žiadosti je opis činností posudzovania zhody, postupu alebo postupov posudzovania zhody a produktu alebo produktov s digitálnymi prvkami, v súvislosti s ktorými orgán tvrdí, že je spôsobilý, ako aj prípadné osvedčenie o akreditácii vydané vnútroštátnym akreditačným orgánom, ktoré potvrdzuje, že orgán posudzovania zhody spĺňa požiadavky stanovené v článku 39.
3. Ak príslušný orgán posudzovania zhody nemôže poskytnúť osvedčenie o akreditácii, poskytne notifikujúcemu orgánu všetku dokumentáciu potrebnú na overenie, uznanie a pravidelné monitorovanie svojho súladu s požiadavkami stanovenými v článku 39.
Článok 43
Postup notifikácie
1. Notifikujúce orgány môžu notifikovať iba o tých orgánoch posudzovania zhody, ktoré splnili požiadavky stanovené v článku 39.
2. Notifikujúci orgán notifikuje Komisiu a ostatné členské štáty prostredníctvom informačného systému NANDO, ktorý vyvinula a spravuje Komisia.
3. Notifikácia obsahuje všetky podrobnosti o činnostiach posudzovania zhody, module alebo moduloch posudzovania zhody, dotknutom produkte alebo produktoch s digitálnymi prvkami a príslušné potvrdenie odbornej spôsobilosti.
4. Ak sa notifikácia nezakladá na osvedčení o akreditácii uvedenom v článku 42 ods. 2, notifikujúci orgán poskytne Komisii a ostatným členským štátom listinné dôkazy potvrdzujúce odbornú spôsobilosť orgánu posudzovania zhody a zavedené opatrenia s cieľom zaistiť, že tento orgán bude pravidelne monitorovaný a bude naďalej spĺňať požiadavky stanovené v článku 39.
5. Príslušný orgán môže vykonávať činnosti notifikovanej osoby iba v prípade, že Komisia ani ostatné členské štáty nevzniesli námietky, a to do dvoch týždňov od notifikácie, ak sa použije osvedčenie o akreditácii, alebo do dvoch mesiacov od notifikácie, ak sa akreditácia nepoužije.
Iba takýto orgán sa považuje za notifikovanú osobu na účely tohto nariadenia.
6. Všetky neskoršie relevantné zmeny týkajúce sa notifikácie sa notifikujú Komisii a ostatným členským štátom.
Článok 44
Identifikačné čísla a zoznamy notifikovaných osôb
1. Komisia pridelí notifikovanej osobe identifikačné číslo.
Pridelí jej len jedno takéto číslo, aj keď je osoba notifikovaná podľa viacerých právnych aktov Únie.
2. Komisia zverejní zoznam osôb notifikovaných podľa tohto nariadenia vrátane identifikačných čísel, ktoré im boli pridelené, a činností, v súvislosti s ktorými boli notifikované.
Aktualizáciu tohto zoznamu zabezpečuje Komisia.
Článok 45
Zmeny notifikácií
1. Ak notifikujúci orgán zistí alebo je informovaný o tom, že notifikovaná osoba už nespĺňa požiadavky stanovené v článku 39 alebo že si neplní povinnosti, notifikujúci orgán podľa potreby obmedzí, pozastaví alebo odníme notifikáciu v závislosti od závažnosti nesplnenia týchto požiadaviek alebo neplnenia povinností. Bezodkladne o tom informuje Komisiu a ostatné členské štáty.
2. V prípade obmedzenia, pozastavenia alebo odňatia notifikácie alebo ak notifikovaná osoba ukončila činnosť, notifikujúci členský štát prijme primerané opatrenia na zaistenie toho, aby spisy tejto osoby buď spracovala iná notifikovaná osoba, alebo aby boli na požiadanie k dispozícii príslušným notifikujúcim orgánom a orgánom dohľadu nad trhom.
Článok 46
Pochybnosti o odbornej spôsobilosti notifikovaných osôb
1. Komisia vyšetrí všetky prípady, v súvislosti s ktorými má pochybnosti alebo ak bola na pochybnosti upozornená, pokiaľ ide o odbornú spôsobilosť notifikovanej osoby alebo jej schopnosť nepretržite plniť požiadavky a povinnosti, ktoré sa na ňu vzťahujú.
2. Notifikujúci členský štát poskytne Komisii na jej žiadosť všetky informácie o podkladoch pre notifikáciu alebo o zachovaní odbornej spôsobilosti dotknutej osoby.
3. Komisia zabezpečí dôverné zaobchádzanie so všetkými citlivými informáciami získanými počas vyšetrovaní.
4. Ak Komisia zistí, že notifikovaná osoba nespĺňa alebo prestala spĺňať požiadavky na notifikáciu, informuje o tom notifikujúci členský štát a požiada ho, aby prijal potrebné nápravné opatrenia vrátane zrušenia notifikácie, ak je to potrebné.
Článok 47
Povinnosti notifikovaných osôb pri výkone činností
1. Notifikované osoby vykonávajú posudzovanie zhody podľa postupov posudzovania zhody stanovených v článku 32 a prílohe VIII.
2. Posudzovanie zhody sa vykonáva primeraným spôsobom tak, aby sa zamedzilo zbytočnej záťaži hospodárskych subjektov. Pri výkone svojej činnosti orgány posudzovania zhody náležite zohľadňujú veľkosť podniku, najmä v prípade mikropodnikov a malých a stredných podnikov, odvetvie jeho činnosti, jeho štruktúru, stupeň zložitosti a úroveň kybernetickobezpečnostných rizík produktu s digitálnymi prvkami a danej technológie a hromadnú či sériovú povahu výrobného postupu.
3. Notifikovaná osoba však pri tom dbá na stupeň prísnosti a úroveň ochrany, ktoré sú potrebné vzhľadom na zabezpečenie súladu produktu s digitálnymi prvkami s ustanoveniami tohto nariadenia.
4. Ak notifikovaná osoba zistí, že výrobca nespĺňa požiadavky stanovené v prílohe I alebo zodpovedajúcich harmonizovaných normách alebo spoločných špecifikáciách uvedených v článku 27, požiada tohto výrobcu, aby prijal primerané nápravné opatrenia, a ▌certifikát zhody nevydá.
5. Ak po vystavení certifikátu notifikovaná osoba v rámci monitorovania zhody zistí, že výrobok s digitálnymi prvkami už nespĺňa požiadavky stanovené v tomto nariadení, požiada výrobcu, aby prijal primerané nápravné opatrenia, a ak to je potrebné, pozastaví platnosť certifikátu alebo ho odníme.
6. Ak nápravné opatrenia neprijme alebo ak nemajú požadovaný účinok, notifikovaná osoba podľa potreby obmedzí, pozastaví alebo odníme všetky osvedčenia.
Článok 48
Odvolanie proti rozhodnutiam notifikovaných osôb
Členské štáty zabezpečia, aby sa proti rozhodnutiam notifikovaných osôb bolo možné odvolať.
Článok 49
Informačná povinnosť notifikovaných osôb
1. Notifikované osoby informujú notifikujúci orgán:
a) o každom zamietnutí, obmedzení rozsahu, pozastavení platnosti alebo odňatí certifikátu;
b) o všetkých okolnostiach, ktoré majú vplyv na rozsah a podmienky notifikácie;
c) o každej žiadosti o informácie od orgánov dohľadu nad trhom v súvislosti s činnosťami posudzovania zhody;
d) na požiadanie o činnostiach posudzovania zhody vykonaných v rozsahu ich notifikácie a o každej inej vykonanej činnosti vrátane cezhraničných činností a zadávania činností subdodávateľom.
2. Notifikované osoby poskytnú iným osobám notifikovaným podľa tohto nariadenia, ktoré vykonávajú podobné činnosti posudzovania zhody tých istých produktov s digitálnymi prvkami, príslušné informácie o otázkach týkajúcich sa negatívnych a na požiadanie aj pozitívnych výsledkov posudzovania zhody.
Článok 50
Výmena skúseností
Komisia organizačne zabezpečí výmenu skúseností medzi vnútroštátnymi orgánmi členských štátov, ktoré sú zodpovedné za politiku notifikácie.
Článok 51
Koordinácia notifikovaných osôb
1. Komisia zabezpečuje zavedenie a riadne fungovanie primeranej koordinácie a spolupráce medzi notifikovanými osobami vo forme medziodvetvovej skupiny notifikovaných osôb.
2. Členské štáty zaistia, aby sa na práci tejto skupiny priamo alebo prostredníctvom určených zástupcov zúčastňovali osoby, ktoré notifikovali.
KAPITOLA V
DOHĽAD NAD TRHOM A PRESADZOVANIE PRÁVA
Článok 52
Dohľad nad trhom a kontrola produktov s digitálnymi prvkami na trhu Únie
1. Na produkty s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia, sa uplatňuje nariadenie (EÚ) 2019/1020.
2. Na účely zaistenia účinného vykonávania tohto nariadenia určí každý členský štát jeden alebo viac orgánov dohľadu nad trhom. Členské štáty môžu určiť existujúci alebo nový orgán, aby na účely tohto nariadenia konal ako orgán dohľadu nad trhom.
3. Orgány dohľadu nad trhom určené podľa odseku 2 tohto článku sú zodpovedné aj za výkon činností dohľadu nad trhom v súvislosti s povinnosťami správcov softvéru s otvoreným zdrojovým kódom stanovenými v článku 24. Ak orgán dohľadu nad trhom zistí, že si správca softvéru s otvoreným zdrojovým kódom neplní povinnosti stanovené v uvedenom článku, požiada správcu softvéru s otvoreným zdrojovým kódom, aby zabezpečil prijatie všetkých príslušných nápravných opatrení. Správcovia softvéru s otvoreným zdrojovým kódom zabezpečia prijatie všetkých príslušných nápravných opatrení vzhľadom na svoje povinnosti podľa tohto nariadenia.
4. Orgány dohľadu nad trhom v relevantných prípadoch spolupracujú s vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti určenými podľa článku 58 nariadenia (EÚ) 2019/881 a pravidelne si vymieňajú informácie. Pokiaľ ide o dohľad nad vykonávaním oznamovacích povinností podľa článku 14 tohto nariadenia, určené orgány dohľadu nad trhom spolupracujú s jednotkami CSIRT určenými za koordinátorov a agentúrou ENISA a vymieňajú si s nimi informácie.
5. Orgány dohľadu nad trhom môžu požiadať jednotku CSIRT určenú za koordinátora alebo agentúru ENISA o poskytnutie technického poradenstva v otázkach súvisiacich s vykonávaním a presadzovaním tohto nariadenia. Na podporu hodnotení zhody produktov s digitálnymi prvkami môžu orgány dohľadu nad trhom pri vedení vyšetrovania podľa článku 54 požiadať o analýzu jednotku CSIRT určenú za koordinátora alebo agentúru ENISA.
6. V relevantných prípadoch orgány dohľadu nad trhom spolupracujú s inými orgánmi dohľadu nad trhom určenými na základe iných harmonizačných právnych predpisov Únie ako toto nariadenie a pravidelne si vymieňajú informácie.
7. Orgány dohľadu nad trhom podľa potreby spolupracujú s orgánmi dohľadu nad právnymi predpismi Únie v oblasti ochrany osobných údajov. Takáto spolupráca zahŕňa informovanie uvedených orgánov o každom zistení relevantnom z hľadiska výkonu ich právomocí, a to aj pri vydávaní usmernení a poskytovaní poradenstva podľa odseku 10, ak sa takéto usmernenia a poradenstvo týkajú spracovania osobných údajov.
Orgány dohľadu nad právnymi predpismi Únie v oblasti ochrany osobných údajov majú právomoc požadovať akúkoľvek dokumentáciu založenú alebo vedenú podľa tohto nariadenia a mať k nej prístup, ak je prístup k tejto dokumentácii potrebný na plnenie ich úloh. O každej takejto žiadosti informujú určené orgány dohľadu nad trhom dotknutého členského štátu.
8. Členské štáty zaistia, aby určené orgány dohľadu nad trhom mali na plnenie svojich úloh podľa tohto nariadenia k dispozícii primerané finančné a technické zdroje, podľa potreby vrátane nástrojov na automatické spracovanie údajov, ako aj ľudské zdroje sprimeranými kybernetickobezpečnostnými zručnosťami.
9. Komisia odporúča a podporuje výmenu skúseností medzi určenými orgánmi dohľadu nad trhom.
10. S podporou Komisie a podľa potreby jednotiek CSIRT a agentúry ENISA môžu orgány dohľadu nad trhom poskytovať hospodárskym subjektom usmernenia a poradenstvo v oblasti vykonávania tohto nariadenia.
11. Orgány dohľadu nad trhom informujú spotrebiteľov o tom, kde majú podávať sťažnosti, ktoré by mohli uvádzať nesúlad s týmto nariadením, v súlade s článkom 11 nariadenia 2019/1020 a spotrebiteľom poskytujú informácie o tom, kde a ako získať prístup k mechanizmom na uľahčenie oznamovania zraniteľností, incidentov a kybernetických hrozieb, ktoré môžu mať vplyv na produkty s digitálnymi prvkami.
12. Orgány dohľadu nad trhom podľa potreby uľahčujú spoluprácu relevantných zainteresovaných strán vrátane vedeckých, výskumných a spotrebiteľských organizácií.
13. Orgány dohľadu nad trhom každoročne podávajú Komisii správy o výsledkoch príslušných činností dohľadu nad trhom. Všetky informácie zistené v priebehu činností dohľadu nad trhom, ktoré by mohli mať potenciálny význam pre uplatňovanie práva Únie hospodárskej súťaže, oznámia orgány dohľadu nad trhom bezodkladne Komisii a príslušným vnútroštátnym orgánom na ochranu hospodárskej súťaže.
14. V prípade produktov s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia, klasifikovaných ako vysokorizikové systémy umelej inteligencie podľa [článok 6] nariadenia [nariadenie o umelej inteligencii](41), sú orgány dohľadu nad trhom určené na účely nariadenia ... [nariadenie o umelej inteligencii] orgánmi zodpovednými za činnosti dohľadu nad trhom vyžadovanými podľa tohto nariadenia. Orgány dohľadu nad trhom určené podľa nariadenia [nariadenie o umelej inteligencii] spolupracujú podľa potreby s orgánmi dohľadu nad trhom určenými podľa tohto nariadenia a s agentúrou ENISA pri dohľade nad výkonom oznamovacích povinností podľa článku 14 tohto nariadenia s jednotkami CSIRT určenými za koordinátorov a agentúrou ENISA. Orgány dohľadu nad trhom určené podľa nariadenia ... [nariadenie o umelej inteligencii] najmä informujú orgány dohľadu nad trhom určené podľa tohto nariadenia o každom zistení, ktoré je relevantné z hľadiska plnenia ich úloh v súvislosti s vykonávaním tohto nariadenia.
15. Na jednotné uplatňovanie tohto nariadenia sa podľa článku 30 ods. 2 nariadenia (EÚ) 2019/1020 zriadi osobitná skupina pre administratívnu spoluprácu (ADCO). Skupinu ADCO tvoria zástupcovia určených orgánov dohľadu nad trhom a prípadne zástupcovia ústredných kontaktných kancelárií. Skupina ADCO rieši aj osobitné záležitosti súvisiace s činnosťami dohľadu nad trhom v súvislosti s povinnosťami uloženými správcom softvéru s otvoreným zdrojovým kódom.
16. Orgány dohľadu nad trhom monitorujú, ako výrobcovia pri určovaní obdobia podpory pre svoje produkty s digitálnymi prvkami uplatňujú kritériá uvedené v článku 13 ods. 8.
Skupina ADCO zverejní vo verejne prístupnej a používateľsky ústretovej forme príslušné štatistiky o kategóriách produktov s digitálnymi prvkami vrátane ich priemerného obdobia podpory, ako ich stanovil výrobca podľa článku 13 ods. 19, a poskytne usmernenia s orientačnými obdobiami podpory pre kategórie produktov s digitálnymi prvkami.
Ak z údajov vyplýva, že obdobie podpory pre konkrétne kategórie produktov s digitálnymi prvkami je neadekvátne, skupina ADCO môže vydať odporúčania pre orgány dohľadu nad trhom, aby činnosť zamerali na uvedené kategórie produktov s digitálnymi prvkami.
Článok 53
Prístup k údajom a dokumentácii
Ak je potrebné posúdiť zhodu produktov s digitálnymi prvkami a postupov zavedených ich výrobcami so základnými požiadavkami stanovenými v prílohe I, orgánom dohľadu nad trhom sa na základe odôvodnenej žiadosti poskytne prístup k údajom v jazyku pre ne ľahko zrozumiteľnom, požadovaným na posúdenie návrhu, vývoja, výroby a riešenia zraniteľností takýchto produktov vrátane súvisiacej internej dokumentácie príslušného hospodárskeho subjektu.
Článok 54
Vnútroštátny postup pre produkty s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko
1. Ak má orgán dohľadu nad trhom členského štátu dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami vrátane riešenia jeho zraniteľností predstavuje významné kybernetickobezpečnostné riziko, bez zbytočného odkladu a v prípadnej spolupráci s jednotkou CSIRT vykoná hodnotenie súladu produktu s digitálnymi prvkami so všetkými požiadavkami stanovenými v tomto nariadení. Príslušné hospodárske subjekty spolupracujú podľa potreby s orgánom dohľadu nad trhom.
Ak pri tomto hodnotení orgán dohľadu nad trhom zistí, že produkt s digitálnymi prvkami nespĺňa požiadavky stanovené v tomto nariadení, bezodkladne požiada príslušný hospodársky subjekt, aby prijal všetky primerané nápravné opatrenia na uvedenie tohto produktu s digitálnymi prvkami do súladu s uvedenými požiadavkami alebo aby produkt stiahol z trhu alebo od používateľov v primeranej lehote, ktorú môže orgán dohľadu nad trhom stanoviť a ktorá je úmerná povahe kybernetickobezpečnostného rizika.
Orgán dohľadu nad trhom o tom informuje príslušnú notifikovanú osobu. Na ▌nápravné opatrenia sa uplatňuje článok 18 nariadenia (EÚ) 2019/1020.
2. Pri určovaní závažnosti kybernetickobezpečnostného rizika uvedeného v odseku 1 tohto článku orgány dohľadu nad trhom zohľadňujú aj netechnické rizikové faktory, najmä faktory zistené na základe koordinovaných posúdení bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie vykonaných v súlade s článkom 22 smernice (EÚ) 2022/2555. Ak má orgán dohľadu nad trhom dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami predstavuje významné kybernetickobezpečnostné riziko vzhľadom na netechnické rizikové faktory, informuje o tom príslušné orgány určené alebo zriadené podľa článku 8 ods. 1 smernice (EÚ) 2022/2555 a podľa potreby s uvedenými orgánmi spolupracuje.
3. Ak sa orgán dohľadu nad trhom domnieva, že nesúlad sa neobmedzuje na územie jeho štátu, informuje Komisiu a ostatné členské štáty o výsledkoch hodnotenia a o opatreniach, ktorých prijatie požaduje od hospodárskeho subjektu.
4. Hospodársky subjekt zaistí prijatie všetkých primeraných nápravných opatrení v súvislosti so všetkými dotknutými produktmi s digitálnymi prvkami, ktoré sprístupnil na trhu v celej Únii.
5. Ak hospodársky subjekt v rámci lehoty uvedenej v druhom pododseku odseku 1 neprijme primerané nápravné opatrenia, orgán dohľadu nad trhom prijme všetky primerané predbežné opatrenia s cieľom zakázať alebo obmedziť sprístupňovanie uvedeného produktu s digitálnymi prvkami na svojom vnútroštátnom trhu, stiahnuť výrobok z daného trhu alebo od používateľa.
Tento orgán bezodkladne notifikuje o uvedených opatreniach Komisiu a ostatné členské štáty.
6. Informácie uvedené v odseku 5 zahŕňajú všetky dostupné podrobné údaje, najmä údaje potrebné na identifikáciu nevyhovujúceho produktu s digitálnymi prvkami, pôvod tohto produktu s digitálnymi prvkami, povahu údajného nesúladu a možného rizika, povahu a trvanie prijatých vnútroštátnych opatrení a stanoviská, ktoré poskytol príslušný hospodársky subjekt. Orgán dohľadu nad trhom predovšetkým uvedie, či k nesúladu došlo z jedného alebo viacerých týchto dôvodov:
a) produkt s digitálnymi prvkami alebo postupy zavedené výrobcom nespĺňajú základné požiadavky uvedené v prílohe I;
b) nedostatky v harmonizovaných normách, európskych systémoch certifikácie kybernetickej bezpečnosti alebo spoločných špecifikáciách uvedených v článku 27.
7. Orgány dohľadu nad trhom členských štátov iné než orgán dohľadu nad trhom členského štátu, ktorý postup začal, bezodkladne oboznámia Komisiu a ostatné členské štáty so všetkými prijatými opatreniami a všetkými dodatočnými informáciami o nesúlade dotknutého produktu s digitálnymi prvkami, ktoré majú k dispozícii, a ak nesúhlasia s notifikovaným vnútroštátnym opatrením, aj so svojimi námietkami.
8. Ak do troch mesiacov od doručenia notifikácie uvedenej v odseku 5 tohto článku žiaden členský štát ani Komisia nevznesú námietku proti predbežnému opatreniu prijatému členským štátom, opatrenie sa považuje za opodstatnené. Týmto nie sú dotknuté procesné práva dotknutého hospodárskeho subjektu v súlade s článkom 18 nariadenia (EÚ) 2019/1020.
9. Orgány dohľadu nad trhom všetkých členských štátov zabezpečia, aby sa vo vzťahu k dotknutému produktu s digitálnymi prvkami bezodkladne prijali primerané reštriktívne opatrenia, ako je napríklad stiahnutie daného produktu z ich trhu.
Článok 55
Ochranný postup Únie
1. Ak do troch mesiacov od doručenia oznámenia uvedeného v článku 54 ods. 5 členský štát vznesie námietky proti opatreniu prijatému iným členským štátom, alebo ak Komisia považuje toto opatrenie za také, ktoré je v rozpore s právom Únie, Komisia bezodkladne začne konzultácie s príslušným členským štátom a hospodárskym subjektom alebo hospodárskymi subjektmi a dané vnútroštátne opatrenie vyhodnotí. Na základe výsledkov tohto hodnotenia Komisia do deviatich mesiacov od oznámenia uvedeného v článku 54 ods. 5 rozhodne, či vnútroštátne opatrenie je alebo nie je opodstatnené, a toto rozhodnutie oznámi dotknutému členskému štátu.
2. Ak sa vnútroštátne opatrenie považuje za opodstatnené, všetky členské štáty prijmú opatrenia potrebné na zaistenie stiahnutia nevyhovujúceho produktu s digitálnymi prvkami zo svojho trhu a náležite o tom informujú Komisiu. Ak sa vnútroštátne opatrenie nepovažuje za opodstatnené, dotknutý členský štát toto opatrenie zruší.
3. Ak sa vnútroštátne opatrenie považuje za opodstatnené a nesúlad produktu s digitálnymi prvkami sa pripisuje nedostatkom v harmonizovaných normách, Komisia uplatní postup stanovený v článku 11 nariadenia (EÚ) č. 1025/2012.
4. Ak sa vnútroštátne opatrenie považuje za opodstatnené a nesúlad produktu s digitálnymi prvkami sa pripisuje nedostatkom v európskom systéme certifikácie kybernetickej bezpečnosti uvedenom v článku 27, Komisia zváži, či má zmeniť alebo zrušiť delegovaný akt prijatý podľa článku 27 ods. 9, v ktorom sa uvádza predpoklad zhody pre tento systém certifikácie.
5. Ak sa vnútroštátne opatrenie považuje za opodstatnené a nesúlad produktu s digitálnymi prvkami sa pripisuje nedostatkom v spoločných špecifikáciách uvedených v článku 27, Komisia zváži, či má zmeniť alebo zrušiť vykonávací akt prijatý podľa článku 27 ods. 2, ktorým sa stanovujú tieto spoločné špecifikácie.
Článok 56
Postup na úrovni Únie pre produkty s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko
1. Ak má Komisia dostatočný dôvod domnievať sa, a to aj na základe informácií poskytnutých agentúrou ENISA, že produkt s digitálnymi prvkami, ktorý predstavuje významné kybernetickobezpečnostné riziko, nie je v súlade s požiadavkami stanovenými v tomto nariadení, informuje o tom príslušné orgány dohľadu nad trhom. Ak orgány dohľadu nad trhom vykonávajú hodnotenie daného produktu s digitálnymi prvkami, ktoré môžu predstavovať významné kybernetickobezpečnostné riziko z hľadiska jeho súladu s požiadavkami stanovenými v tomto nariadení, uplatňujú sa postupy uvedené v článkoch 54 a 55.
2. Ak má Komisia dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami predstavuje významné kybernetickobezpečnostné riziko vzhľadom na netechnické rizikové faktory, informuje o tom príslušné orgány dohľadu nad trhom a podľa potreby orgány určené alebo zriadené podľa článku 8 ods. 1 smernice (EÚ) 2022/2555 a podľa potreby s uvedenými orgánmi spolupracuje. Komisia takisto zváži relevantnosť zistených rizík daného produktu s digitálnymi prvkami so zreteľom na svoje úlohy koordinovaného posudzovania bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie stanovených v článku 22 smernice (EÚ) 2022/2555 a v prípade potreby konzultuje so skupinou pre spoluprácu zriadenou podľa článku 14 smernice (EÚ) 2022/2555 a agentúrou ENISA.
3. Za ▌okolností, ktoré odôvodňujú okamžitý zásah na zachovanie riadneho fungovania vnútorného trhu, a ak má Komisia dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami uvedený v odseku 1 naďalej nie je v súlade s požiadavkami stanovenými v tomto nariadení a príslušné orgány dohľadu nad trhom neprijali účinné opatrenia, Komisia vykoná hodnotenie súladu a môže požiadať agentúru ENISA, aby obstarala analýzu na jeho podporu. Komisia o tom informuje príslušné orgány dohľadu nad trhom. Podľa potreby s agentúrou ENISA spolupracujú príslušné hospodárske subjekty.
4. Komisia môže na základe hodnotenia uvedeného v odseku 3 rozhodnúť, že sú potrebné nápravné alebo reštriktívne opatrenia na úrovni Únie. Na tento účel bezodkladne konzultuje s dotknutými členskými štátmi a príslušným hospodárskym subjektom alebo subjektmi.
5. Na základe konzultácie uvedenej v odseku 3 tohto článku môže Komisia prijať vykonávacie akty na zabezpečenie nápravných alebo reštriktívnych opatrení na úrovni Únie, ako aj nariadiť stiahnutie príslušných produktov s digitálnymi prvkami z trhu alebo od používateľov v primeranej lehote úmernej povahe rizika. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.
6. Komisia bezodkladne oznámi vykonávacie akty uvedené v odseku 5 príslušnému hospodárskemu subjektu alebo subjektom. Členské štáty bezodkladne vykonajú uvedené vykonávacie akty a náležite o tom informujú Komisiu.
7. Odseky 3 až 6 sú uplatniteľné počas výnimočnej situácie, ktorá odôvodnila zásah Komisie, za predpokladu, že produkt s dotknutými digitálnymi prvkami nie je uvedený do súladu s týmto nariadením.
Článok 57
Vyhovujúce produkty s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko
1. ▌Orgán dohľadu nad trhom členského štátu požiada hospodársky subjekt, aby prijal všetky vhodné opatrenia, ak po vykonaní hodnotenia podľa článku 54 zistí, že hoci produkt s digitálnymi prvkami a postupy zavedené výrobcom sú v súlade s týmto nariadením, predstavujú významné kybernetickobezpečnostné riziko, ako aj riziko pre:
a) zdravie alebo bezpečnosť osôb;
b) súlad s povinnosťami vyplývajúcimi z práva Únie alebo členského štátu, ktorého zámerom je ochrana základných práv;
c) dostupnosť, pravosť, integritu alebo dôvernosť služieb, ktoré prostredníctvom elektronického informačného systému ponúkajú kľúčové subjekty uvedené v článku 3 ods. 1 smernice (EÚ) 2022/2555; alebo
d) iné aspekty ochrany verejného záujmu.
K opatreniam uvedeným v prvom pododseku môžu patriť opatrenia na zabezpečenie toho, aby príslušný produkt s digitálnymi prvkami a postupy zavedené výrobcom pri sprístupňovaní na trhu už nepredstavovali relevantné riziká, stiahnutie dotknutého produktu s digitálnymi prvkami z trhu alebo jeho stiahnutie od používateľov a musia byť primerané povahe uvedených rizík.
2. Výrobca alebo iné príslušné hospodárske subjekty zaistia prijatie nápravných opatrení v súvislosti s dotknutými produktmi s digitálnymi prvkami, ktoré sprístupnili na trhu v celej Únii v lehote, ktorú stanoví orgán dohľadu nad trhom členského štátu uvedený v odseku 1.
3. Členský štát bezodkladne informuje Komisiu a ostatné členské štáty o každom opatrení prijatom podľa odseku 1. Tieto informácie zahŕňajú všetky dostupné podrobnosti, najmä údaje potrebné na identifikáciu dotknutých produktov s digitálnymi prvkami, pôvod a dodávateľský reťazec týchto produktov s digitálnymi prvkami, povahu možného rizika a povahu a trvanie prijatých vnútroštátnych opatrení.
4. Komisia začne bezodkladne konzultácie s členskými štátmi a príslušnými hospodárskymi subjektmi a vyhodnotí prijaté vnútroštátne opatrenia. Na základe výsledkov tohto hodnotenia Komisia rozhodne, či opatrenie je alebo nie je opodstatnené, a v prípade potreby navrhne primerané opatrenia.
5. Rozhodnutie Komisie uvedené v odseku 4 je určené členským štátom.
6. Ak má Komisia dostatočný dôvod domnievať sa, a to aj na základe informácií poskytnutých agentúrou ENISA, že produkt s digitálnymi prvkami, hoci je v súlade s týmto nariadením, predstavuje riziká uvedené v odseku 1 tohto článku, informuje o tom a môže požiadať príslušný orgán alebo orgány dohľadu nad trhom, aby vykonali hodnotenie ▌a riadili sa postupmi uvedenými v článku 54 a v odsekoch 1, 2 a 3 tohto článku.
7. Za ▌okolností, ktoré odôvodňujú okamžitý zásah na zachovanie riadneho fungovania vnútorného trhu, a ak má Komisia dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami uvedený v odseku 6 naďalej predstavuje riziká uvedené v odseku 1 a príslušné orgány dohľadu nad trhom neprijali žiadne účinné opatrenia, Komisia vykoná hodnotenie rizík, ktoré predstavuje tento produkt s digitálnymi prvkami alebo môže požiadať agentúru ENISA, aby obstarala analýzu na podporu tohto hodnotenia a informuje o tom príslušné orgány dohľadu nad trhom. Príslušné hospodárske subjekty spolupracujú s agentúrou ENISA podľa potreby.
8. Komisia môže na základe hodnotenia uvedeného v odseku 7 potvrdiť, že sú potrebné nápravné alebo reštriktívne opatrenia na úrovni EÚ. Na tento účel bezodkladne konzultuje s dotknutými členskými štátmi a príslušným hospodárskym subjektom alebo subjektmi.
9. Na základe konzultácie uvedenej v odseku 8 môže Komisia prijať vykonávacie akty s cieľom rozhodnúť o nápravných alebo reštriktívnych opatreniach na úrovni Únie, ako aj nariadiť stiahnutie príslušných produktov s digitálnymi prvkami z trhu alebo od používateľov v primeranej lehote úmernej povahe rizika. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.
10. Komisia bezodkladne oznámi vykonávacie akty uvedené v ▌odseku 9 príslušnému hospodárskemu subjektu alebo subjektom. Členské štáty vykonávajú uvedené vykonávacie akty bezodkladne a náležite o tom informujú Komisiu.
11. Odseky 6 až 10 sa uplatňujú počas výnimočnej situácie, ktorá odôvodnila zásah Komisie, a dovtedy, kým dotknutý produkt s digitálnymi prvkami naďalej predstavuje riziká uvedené v odseku 1.
Článok 58
Formálny nesúlad
1. Orgán dohľadu nad trhom členského štátu požiada príslušného výrobcu o odstránenie predmetného nesúladu, ak dospeje k jednému z týchto zistení:
a) že označenie CE je umiestnené v rozpore s článkom 29 alebo 30;
b) že označenie CE nie je vôbec umiestnené;
c) že ES vyhlásenie o zhode nie je vypracované;
d) že ES vyhlásenie o zhode nie je vypracované správne;
e) že identifikačné číslo notifikovanej osoby zapojenej v relevantných prípadoch do postupu posudzovania zhody nie je pripojené;
f) že technická dokumentácia nie je dostupná alebo nie je úplná.
2. Ak nesúlad uvedený v odseku 1 pretrváva, príslušný členský štát prijme všetky primerané opatrenia na obmedzenie alebo zakázanie sprístupňovania produktu s digitálnymi prvkami na trhu, alebo zaistenie jeho stiahnutia od používateľov alebo z trhu.
Článok 59
Spoločné činnosti orgánov dohľadu nad trhom
1. Orgány dohľadu nad trhom sa môžu dohodnúť s inými príslušnými orgánmi na výkone spoločných činností zameraných na zaistenie kybernetickej bezpečnosti a ochrany spotrebiteľov v súvislosti s konkrétnymi produktmi s digitálnymi prvkami, ktoré sú uvedené na trh alebo sprístupnené na trhu, najmä produktmi s digitálnymi prvkami, v prípade ktorých sa často zistí, že predstavujú kybernetickobezpečnostné riziká.
2. Komisia alebo agentúra ENISA navrhne spoločné činnosti na kontrolu dodržiavania súladu s týmto nariadením, ktoré majú vykonávať orgány dohľadu nad trhom na základe údajov alebo informácií vo viacerých členských štátoch o možnom nesúlade produktov s digitálnymi prvkami,ktoré patria do rozsahu pôsobnosti tohto nariadenia s požiadavkami stanovenými v tomto nariadení.
3. Orgány dohľadu nad trhom a ▌prípadne Komisia zaistia, aby dohoda o výkone spoločných činností neviedla k nekalej hospodárskej súťaži medzi hospodárskymi subjektmi a aby nemala negatívny vplyv na objektívnosť, nezávislosť a nestrannosť strán dohody.
4. Orgán dohľadu nad trhom môže využiť akékoľvek informácie, ktoré získal pri spoločných činnostiach, v rámci akéhokoľvek vyšetrovania, ktoré vedie.
5. Dotknutý orgán dohľadu nad trhom a prípadne Komisia sprístupnia verejnosti dohodu o spoločných činnostiach vrátane mien/názvov zúčastnených strán.
Článok 60
Kontrolné akcie
1. Orgány dohľadu nad trhom vykonávajú súbežné koordinované akcie na kontrolu (ďalej len „kontrolné akcie“) konkrétnych produktov s digitálnymi prvkami alebo ich kategórií na kontrolu súladu s týmto nariadením alebo odhaľovanie jeho porušení. Súčasťou uvedených kontrolných akcií môžu byť kontroly produktov s digitálnymi prvkami obstaranými pod utajenou totožnosťou.
2. Pokiaľ sa zapojené orgány dohľadu nad trhom nedohodnú inak, kontrolné akcie koordinuje Komisia. Koordinátor kontrolnej akcie v prípade potreby zverejní jej súhrnné výsledky.
3. Ak agentúra ENISA pri plnení svojich úloh, a to aj na základe oznámení doručených podľa článku 14 ods. 1 a 3, identifikuje kategórie produktov s digitálnymi prvkami, pre ktoré sa môžu organizovať kontrolné akcie, podá návrh kontrolnej akcie ▌koordinátorovi uvedenému v odseku 2 tohto článku na zváženie orgánom dohľadu nad trhom.
4. Pri výkone kontrolných akcií môžu zapojené orgány dohľadu nad trhom využívať vyšetrovacie právomoci stanovené v článkoch 52 až 58 a akékoľvek iné právomoci, ktoré im boli delegované podľa vnútroštátneho práva.
5. Orgány dohľadu nad trhom môžu vyzvať úradníkov Komisie a iné sprevádzajúce osoby poverené Komisiou, aby sa zúčastnili na kontrolných akciách.
KAPITOLA V
DELEGOVANIE PRÁVOMOCÍ A POSTUP VÝBORU
Článok 61
Výkon delegovania právomoci
1. Na Komisiu sa prenáša právomoc prijímať delegované akty za podmienok stanovených v tomto článku.
2. Právomoc prijímať delegované akty uvedené v článku 2 ods. 5 druhý pododsek, článku 7 ods. 3, článku 8 ods. 1 a 2, článku 13 ods. 8 štvrtý pododsek, článku 14 ods. 9, článku 25, článku 27 ods. 9, článku 28 ods. 5 a článku 31 ods. 5 sa na Komisiu prenáša na obdobie piatich rokov odo ... [dňa nadobudnutia účinnosti tohto nariadenia]. Najneskôr deväť mesiacov pred uplynutím tohto päťročného obdobia vypracuje Komisia správu o delegovaní právomoci. Delegovanie právomoci sa automaticky predlžuje o rovnako dlhé obdobia, pokiaľ Európsky parlament alebo Rada nevznesú voči takémuto predĺženiu námietku najneskôr tri mesiace pred uplynutím každého obdobia.
3. Delegovanie právomoci uvedené v článku 2 ods. 5 druhý pododsek, článku 7 ods. 3, článku 8 ods. 1 a 2, článku 13 ods. 8 štvrtý pododsek, článku 14 ods. 9, článku 25, článku 27 ods. 9, článku 28 ods. 5 a článku 31 ods. 5 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.
4. Pred prijatím delegovaného aktu konzultuje Komisia s expertmi určenými jednotlivými členskými štátmi podľa zásad stanovených v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva.
5. Komisia oznamuje delegovaný akt hneď po jeho prijatí súčasne Európskemu parlamentu a Rade.
6. Delegovaný akt prijatý podľa článku 2 ods. 5 druhý pododsek, článku 7 ods. 3, článku 8 ods. 1 a 2, článku 13 ods. 8 štvrtý pododsek, článku 14 ods. 9, článku 25, článku 27 ods. 9, článku 28 ods. 5 a článku 31 ods. 5 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov od dátumu oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace.
Článok 62
Postup výboru
1. Komisii pomáha výbor. Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.
2. Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.
3. Ak sa má stanovisko výboru získať písomným postupom, tento postup sa ukončí bez výsledku, ak tak v rámci lehoty na vydanie stanoviska rozhodne predseda výboru alebo ak o to požiada člen výboru.
KAPITOLA VII
DÔVERNOSŤ A SANKCIE
Článok 63
Dôvernosť informácií
1. Všetky strany, ktoré sa zúčastňujú na uplatňovaní tohto nariadenia, sú povinné zachovávať dôvernosť informácií a údajov nadobudnutých pri výkone svojich úloh a činností tak, aby chránili najmä:
a) práva duševného vlastníctva a dôverné obchodné informácie alebo obchodné tajomstvo fyzickej alebo právnickej osoby vrátane zdrojového kódu s výnimkou prípadov uvedených v článku 5 smernice Európskeho parlamentu a Rady (EÚ) 2016/943(42);
b) účinné vykonávanie tohto nariadenia, najmä na účely inšpekcií, vyšetrovaní alebo auditov;
c) verejné záujmy a záujmy národnej bezpečnosti;
d) integritu trestného alebo správneho konania.
2. Bez toho, aby bol dotknutý odsek 1, sa informácie, ktoré si dôverne vymieňajú orgány dohľadu nad trhom navzájom a orgány dohľadu nad trhom s Komisiou, nezverejňujú bez predchádzajúceho súhlasu orgánu dohľadu nad trhom, od ktorého pochádzajú.
3. Odsekmi 1 a 2 nie sú dotknuté práva a povinnosti Komisie, členských štátov a notifikovaných osôb, pokiaľ ide o výmenu informácií a šírenie upozornení, ani povinnosti dotknutých osôb poskytovať informácie podľa trestného práva členských štátov.
4. Komisia a členské štáty si v prípade potreby môžu vymieňať citlivé informácie s príslušnými orgánmi tretích krajín, s ktorými uzavreli bilaterálne alebo multilaterálne dohody o zachovaní dôvernosti zaručujúce primeranú úroveň ochrany.
Článok 64
Sankcie
1. Členské štáty stanovia pravidlá sankcií uplatniteľných pri porušení ▌tohto nariadenia, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce. Členské štáty o týchto pravidlách a opatreniach bezodkladne informujú Komisiu a bezodkladne jej oznámia každú ďalšiu zmenu, ktorá má na ne vplyv.
▌
2. Za nesúlad so základnými požiadavkami na kybernetickú bezpečnosť stanovenými v prílohe I a s povinnosťami stanovenými v článkoch 13 a 14 sa ukladajú správne pokuty až do výšky 15 000 000 EUR, alebo ak je porušiteľom podnik, až do výšky 2,5 % jeho celkového ročného celosvetového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
3. Za neplnenie povinností stanovených v článkoch 18 až 23, článku 28, článku 30 ods. 1 až 4, článku 31 ods. 1 až 4, článku 32 ods. 1, 2 a 3; článku 33 ods. 5 a článkov 39, 41, 47, 49 a 53 sa ukladajú správne pokuty až do výšky 10 000 000 EUR, alebo ak je porušiteľom podnik, až do výšky 2 % jeho celkového ročného celosvetového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
4. Za poskytnutie nesprávnych, neúplných alebo zavádzajúcich informácií v odpovedi na žiadosť notifikovaných osôb a orgánov dohľadu nad trhom sa ukladajú správne pokuty až do výšky 5 000 000 EUR, alebo ak je porušiteľom podnik, až do výšky 1 % jeho celkového ročného celosvetového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
5. Pri rozhodovaní o výške správnej pokuty sa v každom prípade osobitne zohľadnia všetky relevantné okolnosti konkrétnej situácie a náležite sa vezme do úvahy:
a) povaha, závažnosť a trvanie porušenia a jeho dôsledkov;
b) či už tie isté alebo iné orgány dohľadu nad trhom uložili tomu istému hospodárskemu subjektu správne pokuty za podobné porušenie;
c) veľkosť, najmä pokiaľ ide o mikropodniky a malé a stredné podniky vrátane startupov, a trhový podiel hospodárskeho subjektu, ktorý sa dopustil porušenia.
6. Orgány dohľadu nad trhom, ktoré ukladajú správne pokuty, oznámia uloženie uvedenej pokuty orgánom dohľadu nad trhom ostatných členských štátov prostredníctvom informačného a komunikačného systému uvedeného v článku 34 nariadenia (EÚ) 2019/1020.
7. Každý členský štát stanoví pravidlá, či a v akom rozsahu sa môžu správne pokuty ukladať orgánom verejnej moci a verejným subjektom zriadeným v danom členskom štáte.
8. V závislosti od právneho systému členských štátov sa pravidlá o správnych pokutách môžu uplatňovať tak, aby pokuty ukladali príslušné vnútroštátne súdy alebo iné orgány podľa právomocí stanovených v daných členských štátoch na vnútroštátnej úrovni. Uplatňovanie takýchto pravidiel v uvedených členských štátoch má rovnocenný účinok.
9. Podľa okolností každého jednotlivého prípadu sa správne pokuty môžu ukladať spolu s akýmikoľvek inými nápravnými alebo reštriktívnymi opatreniami, ktoré uplatnia orgány dohľadu nad trhom na to isté porušenie.
10. Odchylne od odsekov 3 až 10 sa správne pokuty uvedené v týchto odsekoch neuplatňujú na:
a) výrobcov považovaných za mikropodniky alebo malé podniky, pokiaľ ide o akékoľvek nedodržanie lehoty uvedenej v článku 14 ods. 2 písm. a) alebo článku 14 ods. 4 písm. a);
b) akékoľvek porušenie tohto nariadenia správcami softvéru s otvoreným zdrojovým kódom.
Článok 65
Žaloby v zastúpení
Na žaloby v zastúpení podané na hospodárske subjekty vo veci porušenia ustanovení tohto nariadenia, ktoré poškodzujú alebo môžu poškodiť kolektívne záujmy spotrebiteľov, sa vzťahuje smernica (EÚ) 2020/1828.
KAPITOLA VIII
PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA
Článok 66
Zmena nariadenia (EÚ) 2019/1020
V prílohe I k nariadeniu (EÚ) 2019/1020 sa dopĺňa tento bod:"
„71. [Nariadenie (EÚ) 2024/... Európskeho parlamentu a Rady*(43)].
________________
* Nariadenie (EÚ) 2024/... Európskeho parlamentu a Rady z ... o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami, ktorým sa menia nariadenia (EÚ) 168/2013 a (EÚ) 2019/1020 a smernica (EÚ) 2022/1828 (akt o kybernetickej odolnosti) ... (Ú. v. EÚ …).“
"
Článok 67
Zmena smernice (EÚ) 2020/1828
V prílohe I k smernici (EÚ) 2020/1828 sa dopĺňa tento bod:"
„67 [Nariadenie (EÚ) 2024/... Európskeho parlamentu a Rady*(44)]“.
_____________________
* Nariadenie (EÚ) 2024/... Európskeho parlamentu a Rady z ... o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami, ktorým sa menia nariadenia (EÚ) 168/2013 a (EÚ) 2019/1020 a smernica (EÚ) 2022/1828 (akt o kybernetickej odolnosti) ... (Ú. v. EÚ …).“
"
Článok 68
Zmena nariadenia (EÚ) č. 168/2013
Príloha II k nariadeniu Európskeho parlamentu a Rady č. 168/2013* sa mení takto:
V tabuľke v časti C sa dopĺňa táto položka:"
„
[Úrad pre publikácie: vložte, prosím, ďalšie poradové číslo v položke C1]
18
Ochrana vozidla pred kybernetickými útokmi
x
x
x
x
x
x
x
x
x
x
x
x
x
x
________________
* Nariadenie Európskeho parlamentu a Rady (EÚ) č. 168/2013 z 15. januára 2013 o schvaľovaní a dohľade nad trhom dvoj- alebo trojkolesových vozidiel a štvorkoliek (Ú. v. EÚ L 60, 2.3.2013, s. 52).“
"
Článok 69
Prechodné ustanovenia
1. Certifikáty EÚ skúšky typu a rozhodnutia o schválení vydané v súvislosti s požiadavkami na kybernetickú bezpečnosť produktov s digitálnymi prvkami, na ktoré sa vzťahujú iné harmonizačné právne predpisy Únie ako toto nariadenie, zostávajú v platnosti do ... [42 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia], pokiaľ ich platnosť neuplynie pred týmto dátumom, alebo pokiaľ nie je v takýchto iných harmonizačných právnych predpisoch Únie uvedené inak, pričom v takom prípade zostávajú v platnosti tak, ako sa v daných právnych predpisoch uvádza.
2. Na produkty s digitálnymi prvkami, ktoré boli uvedené na trh pred ...[36 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia], sa vzťahujú požiadavky tohto nariadenia len vtedy, ak sú tieto produkty od uvedeného dátumu predmetom podstatnej úpravy ▌.
3. Odchylne od odseku 2 sa povinnosti stanovené v článku 14 uplatňujú na všetky produkty s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia a boli uvedené na trh pred ... [36 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia].
Článok 70
Hodnotenie a preskúmanie
1. Do ... [72 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia] a potom každé štyri roky podáva Komisia Európskemu parlamentu a Rade správu o hodnotení a preskúmaní tohto nariadenia. Uvedené správy sa zverejnia.
2. Do ... [45 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia] Komisia po konzultácii s agentúrou ENISA a sieťou CSIRT podá Európskemu parlamentu a Rade správu, v ktorej posúdi účinnosť jednotnej oznamovacej platformy stanovenej v článku 16, ako aj vplyv uplatňovania dôvodov súvisiacich s kybernetickou bezpečnosťou uvedených v článku 16 ods. 2 jednotkami CSIRT určenými za koordinátorov na účinnosť jednotnej oznamovacej platformy, pokiaľ ide o včasné rozosielanie doručených oznámení iným príslušným jednotkám CSIRT.
Článok 71
Nadobudnutie účinnosti a uplatňovanie
1. Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.
2. Toto nariadenie sa uplatňuje od ... [36 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia].
Článok 14 sa však uplatňuje sa od ... [21 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia] a kapitola IV (články 35 až 51) sa uplatňuje od ... [18 mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia].
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V ...
Za Európsky parlament Za Radu
predsedníčka predseda/predsedníčka
Príloha I
ZÁKLADNÉ POŽIADAVKY
Časť I Požiadavky kybernetickej bezpečnosti pre vlastností produktov s digitálnymi prvkami
(1) Produkty s digitálnymi prvkami sa navrhujú, vyvíjajú a vyrábajú tak, aby sa zaistila primeraná úroveň ich bezpečnosti voči kybernetickým rizikám.
▌
(2) Produkty s digitálnymi prvkami sa na základe posúdenia kybernetickobezpečnostných rizík uvedeného v článku 13 ods. 2 a podľa potreby:
a) sprístupňujú na trhu bez známych zneužiteľných zraniteľností;
b) sprístupňujú na trhu v konfigurácii zabezpečenej na úrovni štandardného nastavenia, pokiaľ sa výrobca a komerčný používateľ v súvislosti s individualizovaným produktom s digitálnymi prvkami nedohodnú inak, vrátane možnosti vrátiť nastavenie produktu na pôvodné;
c) zaisťujú, aby zraniteľnosti bolo možné riešiť bezpečnostnými aktualizáciami, prípadne aj automatickými bezpečnostnými aktualizáciami, ktoré sa inštalujú v primeranom čase aktiváciou podľa predvoleného nastavenia, s jasnou a ľahko použiteľnou možnosťou pre používateľa odmietnuť ich po oznámení o dostupných aktualizáciách a možnosti ich dočasného odkladu;
d) zabezpečujú ochranu pred neoprávneným prístupom vhodnými mechanizmami kontroly, a to okrem iného aj systémami na správu overovania, identity alebo prístupu, a oznamujú, že došlo k možnému neoprávnenému prístupu;
e) chránia dôvernosť uložených, vysielaných alebo inak spracúvaných osobných alebo iných údajov, napr. šifrovaním príslušných neaktívnych alebo prenášaných údajov najmodernejšími mechanizmami, a použitím iných technických prostriedkov;
f) chránia integritu uložených, vysielaných alebo inak spracúvaných osobných alebo iných údajov, príkazov, programov a konfigurácie proti akejkoľvek manipulácii alebo úprave, ktorú neschválil používateľ, a oznamujú prípady poškodenia;
g) spracúvajú iba osobné alebo iné údaje, ktoré sú primerané, relevantné a obmedzené na to, čo je potrebné vo vzťahu k účelu produktu s digitálnymi prvkami (minimalizácia údajov), na ktorý bol určený;
h) chránia dostupnosť hlavných a základných funkcií aj po incidente, a to aj prostredníctvom opatrení na zvýšenie odolnosti ▌a zmiernenie útokov na vyradenie služby;
i) minimalizujú nepriaznivý vplyv samotných produktov alebo pripojených zariadení na dostupnosť služieb iných zariadení alebo sietí;
j) navrhujú, vyvíjajú a vyrábajú na obmedzenie plochy útoku vrátane externých rozhraní;
k) navrhujú, vyvíjajú a vyrábajú na obmedzenie vplyvu incidentu s využitím vhodných mechanizmov a techník na zmiernenie zneužitia zraniteľností;
l) poskytujú bezpečnostné informácie zaznamenávaním a monitorovaním príslušnej internej činnosti vrátane prístupu k údajom, službám alebo funkciám a ich zmene s mechanizmom odmietnutia (opt-out) pre používateľa;
m) poskytujú používateľom možnosť bezpečne a jednoducho natrvalo odstrániť všetky údaje a nastavenia a ak takéto údaje možno preniesť do iných produktov alebo systémov, zabezpečiť, aby sa tak dialo bezpečne.
Časť II Požiadavky na riešenie zraniteľností
Výrobcovia produktov s digitálnymi prvkami:
(1) identifikujú a dokumentujú zraniteľnosti a komponenty v produktoch s digitálnymi prvkami, a to aj zostavením softvérových kusovníka v obvykle používanom strojovo čitateľnom formáte, ktorý obsahuje závislosti produktu minimálne na najvyššej úrovni;
(2) vo vzťahu k rizikám, ktorým sú vystavené produkty s digitálnymi prvkami, bezodkladne riešia a naprávajú zraniteľnosti, a to aj poskytovaním bezpečnostných aktualizácií; ak je to technicky možné, nové bezpečnostné aktualizácie sa poskytujú oddelene od aktualizácií funkcií;
(3) vykonávajú účinné a pravidelné testy a kontroly zabezpečenia produktu s digitálnymi prvkami;
(4) po sprístupnení bezpečnostnej aktualizácie poskytujú a zverejňujú informácie o opravených zraniteľnostiach vrátane opisu zraniteľností, informácie umožňujúce používateľom identifikovať postihnutý produkt s digitálnymi prvkami, vplyvy zraniteľností, ich závažnosť a jasné a prístupné informácie, ktoré používateľom pomôžu zraniteľnosti napraviť; keď sa výrobcovia domnievajú, že bezpečnostné riziká zverejnenia prevažujú nad bezpečnostnými prínosmi, v riadne odôvodnených prípadoch môžu odložiť zverejnenie informácií o vyriešenej zraniteľnosti dovtedy, kým používateľom neposkytnú možnosť použiť príslušnú záplatu;
(5) zavádzajú a presadzujú politiku koordinovaného zverejňovania informácií o zraniteľnostiach;
(6) prijímajú opatrenia na uľahčenie výmeny informácií o potenciálnych zraniteľnostiach svojho produktu s digitálnymi prvkami, ako aj komponentov tretích strán vo svojom produkte, a to aj poskytnutím kontaktnej adresy na oznamovanie zraniteľností zistených v produkte s digitálnymi prvkami;
(7) zaistia mechanizmy bezpečnej distribúcie aktualizácií pre produkty s digitálnymi prvkami s cieľom zabezpečiť včasnú opravu ▌zraniteľností alebo ich zmiernenie a aby sa bezpečnostné aktualizácie uskutočňovali automaticky;
(8) ak sú k dispozícii bezpečnostné ▌aktualizácie na riešenie zistených bezpečnostných problémov, zabezpečujú ich bezodkladné šírenie a ak sa výrobca a komerčný používateľ nedohodli v súvislosti s individualizovaným produktom s digitálnymi prvkami inak, bezplatné šírenie sprievodných informačných správ s relevantnými informáciami pre používateľov, aj o možných potrebných krokoch.
Príloha II
INFORMÁCIE A NÁVOD PRE POUŽÍVATEĽA
K produktu s digitálnymi prvkami sa priloží minimálne:
1. meno/názov, registrované obchodné meno alebo registrovaná ochranná známka výrobcu, poštová adresa,▌e-mailová adresa alebo iný digitálny kontakt, ako aj webové sídlo, na ktorom možno výrobcu kontaktovať, ak je k dispozícii;
2. jednotné kontaktné miesto, na ktorom možno oznamovať a prijímať informácie o zraniteľnostiach produktu s digitálnymi prvkami ▌a kde sa nachádza politika výrobcu pre koordinované oznámenia o zraniteľnostiach;
3. názov a typ produktu s digitálnymi prvkami a akékoľvek doplňujúce informácie umožňujúce jeho jedinečnú identifikáciu ▌;
4. plánovaný účel produktu s digitálnymi prvkami vrátane bezpečnostného prostredia poskytovaného výrobcom, ako aj základné funkcie produktu a informácie o bezpečnostných vlastnostiach;
5. každá známa alebo predvídateľná okolnosť v súvislosti s použitím produktu s digitálnymi prvkami v súlade s jeho plánovaným účelom alebo za podmienok logicky predvídateľného nesprávneho použitia, ktoré môže viesť k významným kybernetickobezpečnostným rizikám;
▌
6. prípadne internetová adresa, na ktorej možno nájsť EÚ vyhlásenie o zhode;
7. druh technickej bezpečnostnej podpory, ktorú ponúka výrobca, a posledný deň obdobia podpory, počas ktorého môžu používatelia predpokladať riešenie zraniteľností a poskytovanie bezpečnostných aktualizácií;
8. podrobný návod alebo internetová adresa s odkazom na takýto podrobný návod a informácie o:
a) opatreniach potrebných na zaistenie bezpečného používania produktu s digitálnymi prvkami pri prvom uvedení do prevádzky a počas celej jeho životnosti;
b) možnom vplyve zmien produktu s digitálnymi prvkami na bezpečnosť údajov;
c) postupe pri inštalácii bezpečnostných aktualizácií;
d) bezpečnom vyradení produktu s digitálnymi prvkami z prevádzky vrátane informácií o možnosti bezpečného odstránenia údajov používateľa;
e) spôsobe vypnutia predvoleného nastavenia umožňujúceho automatickú inštaláciu bezpečnostných aktualizácií, ako sa vyžaduje v časti I písm. c) prílohy I;
f) tom, čo potrebuje integrátor na splnenie základných požiadaviek stanovených v prílohe I a o požiadavkách na dokumentáciu stanovených v prílohe VII, ak je produkt s digitálnymi prvkami určený na zabudovanie do iných produktov s digitálnymi prvkami.
9. Ak sa výrobca rozhodne sprístupniť softvérový kusovník používateľovi, informácie o tom, kde možno prístup k tomuto kusovníku získať.
Príloha III
DÔLEŽITÉ PRODUKTY S DIGITÁLNYMI PRVKAMI
▌Trieda I
1. Systémy správy identifikačných údajov ▌a softvér a hardvér na správu privilegovaného prístupu vrátane čítačiek na autentifikáciu a kontrolu prístupu vrátane biometrických čítačiek;
2. Samostatné a zabudované prehliadače;
3. Správcovia hesiel;
4. Softvér na vyhľadávanie, odstraňovanie alebo uzatváranie škodlivého softvéru do karantény;
5. Produkty s digitálnymi prvkami s funkciou virtuálnej neverejnej siete (VPN);
6. Systémy správy sietí;
▌
7. Systémy riadenia bezpečnostných informácií a udalostí (SIEM);
8. ▌Správcovia spúšťania;
▌
9. Infraštruktúra verejných kľúčov a softvér na výdaj elektronických certifikátov;
9. Fyzické a virtuálne sieťové rozhrania;
10. Operačné systémy▌;
▌
11. Smerovače, modemy určené na pripojenie k internetu a prepínače▌;
12. Mikroprocesory s bezpečnostnými funkciami;
13. Mikroradiče s bezpečnostnými funkciami;
14. Integrované obvody pre konkrétne aplikácie (ASIC) a logické hradlá programovateľné po výrobe (FPGA) s bezpečnostnými funkciami;
▌
15. Virtuálni asistenti pre inteligentné domácnosti na všeobecné účely;
16. Produkty pre inteligentné domácnosti s bezpečnostnými funkciami vrátane inteligentných zámok dverí, bezpečnostných kamier, systémov na monitorovanie detí a poplašných systémov;
17. Hračky pripojené na internet, na ktoré sa vzťahuje smernica Európskeho parlamentu a Rady 2009/48/ES(45) s funkciami na spoločenskú interakciu (napr. hovorenie alebo filmovanie) alebo s funkciami sledovania polohy;
18. Produkty, ktoré sa majú nosiť alebo byť umiestnené na ľudskom tele na účely zdravotného monitorovania (napríklad sledovanie) a na ktoré sa nevzťahuje nariadenie (EÚ) 2017/745 alebo nariadenie (EÚ) 2017/746, alebo produkty na nosenie na tele určené na použitie deťmi a pre deti.
▌Trieda II
▌
1. Hypervízory a kontajnerové systémy režimu runtime, ktoré podporujú virtualizované spúšťanie operačných systémov a podobných prostredí;
▌
2. Brány firewall, systémy na detekciu a prevenciu narušení ▌;
3. Mikroprocesory odolné proti neoprávnenej manipulácii;
4. Mikroovládače odolné proti neoprávnenej manipulácii.
▌
Príloha IV
KRITICKÉ PRODUKTY S DIGITÁLNYMI PRVKAMI
1. Hardvérové zariadenia s bezpečnostnými schránkami;
2. Prístroje smart meter gateway v inteligentných meracích systémoch vymedzených v článku 2 bode 23 smernice Európskeho parlamentu a Rady (EÚ) 2019/944(46) a iné zariadenia na vyššie bezpečnostné účely vrátane bezpečného kryptografického spracovania;
3. Čipové karty alebo podobné zariadenia s bezpečnostnými prvkami
Príloha V
EÚ VYHLÁSENIE O ZHODE
EÚ vyhlásenie o zhode uvedené v článku 28 obsahuje všetky tieto informácie:
1. Názov a druh a akékoľvek doplňujúce informácie umožňujúce jedinečnú identifikáciu produktu s digitálnymi prvkami;
2. Meno/názov a adresa výrobcu alebo jeho splnomocneného zástupcu;
3. Vyhlásenie o tom, že EÚ vyhlásenie o zhode sa vydáva na výhradnú zodpovednosť poskytovateľa;
4. Predmet vyhlásenia (identifikácia produktu s digitálnymi prvkami umožňujúcimi vysledovateľnosť, ktorej súčasťou môže byť podľa potreby aj fotografia);
5. Vyhlásenie o tom, že predmet opísaný v uvedenom vyhlásení sa zhoduje s príslušnými požiadavkami harmonizačných právnych predpisov Únie;
6. Odkazy na všetky použité príslušné harmonizované normy alebo inú spoločnú špecifikáciu alebo certifikáciu kybernetickej bezpečnosti, v súvislosti s ktorými sa zhoda vyhlasuje;
7. Prípadne meno a identifikačné číslo notifikovanej osoby, opis použitého postupu posudzovania zhody a identifikácia vydaného certifikátu;
Zjednodušené EÚ vyhlásenie o zhode uvedené v článku 13 ods. 20 má takéto znenie:
[Meno/názov výrobcu] týmto vyhlasuje, že produkt s digitálnymi prvkami typu [označenie typu produktu s digitálnym prvkom] je v súlade s nariadením Európskeho parlamentu a Rady (EÚ) .../...(47).
Úplné vyhlásenie o zhode EÚ je k dispozícii na tejto internetovej adrese:
Príloha VII
OBSAH TECHNICKEJ DOKUMENTÁCIE
Technická dokumentácia uvedená v článku 31 obsahuje minimálne tieto informácie o príslušnom produkte s digitálnymi prvkami:
1. všeobecný opis produktu s digitálnymi prvkami vrátane:
a) jeho plánovaného účelu;
b) verzií softvéru, ktoré majú vplyv na súlad so základnými požiadavkami;
c) ak je produkt s digitálnymi prvkami hardvérovým produktom, fotografií alebo ilustrácií jeho vonkajšieho vzhľadu, označenia a vnútornej štruktúry;
d) informácií pre používateľa a návodu uvedených v prílohe II;
2. opis riešenia, vývoja a výroby produktu s digitálnymi prvkami a postupov riešenia zraniteľností vrátane:
a) nevyhnutných informácií o návrhu a vývoji produktu s digitálnymi prvkami, prípadne aj výkresov, schém a opisu architektúry systému s vysvetlením vzájomných vzťahov alebo prepojenia softvérových komponentov a ich zapojenia do celkového spracovania;
b) nevyhnutných informácií o postupoch riešenia zraniteľností zavedených výrobcom a špecifikácií týchto postupov vrátane softvérového kusovníka, politiky koordinovaného zverejňovania informácií o zraniteľnostiach, dôkazu o poskytnutí kontaktnej adresy na ohlasovanie zraniteľností a opisu technických riešení zvolených na bezpečnú distribúciu aktualizácií;
c) nevyhnutných informácií o postupoch výroby a monitorovania produktu s digitálnymi prvkami, ich špecifikácií a validácie uvedených postupov;
3. posúdenia kybernetickobezpečnostných rizík, proti ktorým je produkt s digitálnymi prvkami navrhnutý, vyvinutý, vyrobený, dodávaný a udržiavaný, ako sa uvádza v článku 13 tohto nariadenia vrátane spôsobu uplatňovania základných požiadaviek stanovených v časti I prílohy I;
4. relevantných informácií zohľadnených pri určovaní obdobia podpory, ako sa uvádza v článku 13 ods. 8 pre produkt s digitálnymi prvkami;
5. zoznam harmonizovaných noriem uplatnených plne alebo čiastočne, ktoré boli uverejnené v Úradnom vestníku Európskej únie, spoločné špecifikácie podľa článku 27 tohto nariadenia alebo európske systémy certifikácie kybernetickej bezpečnosti prijaté podľa nariadenia (EÚ) 2019/881 a v zmysle článku 27 ods. 8 tohto nariadenia, a ak neboli uplatnené uvedené harmonizované normy, spoločné špecifikácie ani európske systémy certifikácie kybernetickej bezpečnosti, opisy riešení prijatých na účely splnenia základných požiadaviek stanovených v častiach I a II prílohy I vrátane zoznamu ostatných uplatnených relevantných technických špecifikácií. V prípade čiastočného uplatnenia harmonizovaných noriem, spoločných špecifikácií alebo európskych systémov certifikácie kybernetickej bezpečnosti sa v technickej dokumentácii špecifikujú časti, ktoré boli uplatnené;
6. správy o skúškach vykonaných na overenie zhody produktu s digitálnymi prvkami a postupov riešenia zraniteľností s uplatniteľnými základnými požiadavkami, ako sa stanovuje v častiach I a II prílohy I;
7. kópia EÚ vyhlásenia o zhode;
8. prípadne softvérový kusovník na základe odôvodnenej žiadosti orgánu dohľadu nad trhom, ak je to potrebné na to, aby bol tento orgán schopný skontrolovať zhodu so základnými požiadavkami stanovenými v prílohe I.
Príloha VIII
POSTUPY POSUDZOVANIA ZHODY
Časť I ▌Postup posudzovania zhody na základe vnútornej kontroly (podľa modulu A)
1. Vnútorná kontrola je postup posudzovania zhody, ktorým si výrobca plní povinnosti stanovené v bodoch 2, 3 a 4 a na svoju výhradnú zodpovednosť zaručuje a vyhlasuje, že produkty s digitálnymi prvkami vyhovujú všetkým základným požiadavkám stanoveným v časti I prílohy I a že výrobca spĺňa základné požiadavky stanovené v časti II prílohy I.
2. Výrobca vypracuje technickú dokumentáciu opísanú v prílohe VII.
3. Návrh, vývoj, výroba a riešenie zraniteľností produktov s digitálnymi prvkami
Výrobca prijme všetky opatrenia potrebné na to, aby sa postupmi navrhovania, vývoja, výroby a riešenia zraniteľností a ich monitorovaním zabezpečil súlad vyrábaných alebo vyvíjaných produktov s digitálnymi prvkami a postupov zavedených výrobcom so základnými požiadavkami stanovenými v častiach I a II prílohy I.
4. Označenie zhody a vyhlásenie o zhode
4.1. Výrobca umiestňuje označenie CE na každý jednotlivý produkt s digitálnymi prvkami, ktorý vyhovuje príslušným požiadavkám tohto nariadenia.
4.2. Výrobca vypracuje písomné EÚ vyhlásenie o zhode pre každý produkt s digitálnymi prvkami v súlade s článkom 28 a uchováva ho spolu s technickou dokumentáciou k dispozícii pre vnútroštátne orgány desať rokov po uvedení produktu s digitálnymi prvkami na trh alebo počas obdobia podpory, podľa toho, čo trvá dlhšie. V EÚ vyhlásení o zhode sa identifikuje produkt s digitálnymi prvkami, pre ktorý bolo vyhlásenie vypracované. Príslušným orgánom sa poskytuje kópia EÚ vyhlásenia o zhode na požiadanie.
5. Splnomocnení zástupcovia
Povinnosti výrobcu stanovené v bode 4 môžu byť v jeho mene a na jeho zodpovednosť splnené jeho splnomocneným zástupcom, pokiaľ sa to uvádza v splnomocnení.
Časť II ▌EÚ skúška typu (podľa modulu B)
1. EÚ skúška typu je súčasťou postupu posudzovania zhody, pri ktorej notifikovaná osoba preskúma technický návrh a vývoj produktu s digitálnymi prvkami a postupy riešenia zraniteľností zavedené výrobcom, a potvrdí, že produkt s digitálnymi prvkami vyhovuje základným požiadavkám stanoveným v časti I prílohy I a že výrobca spĺňa základné požiadavky stanovené v časti II prílohy I.
2. EÚ skúška typu sa vykonáva posúdením primeranosti technického návrhu a vývoja produktu s digitálnymi prvkami preskúmaním technickej dokumentácie a podpornej dokumentácie uvedenými v bode 3 a preskúmaním vzoriek jednej alebo viacerých kritických častí produktu (kombinácia typovej výroby a typového návrhu).
3. Žiadosť o EÚ skúšku typu predkladá výrobca jedinej notifikovanej osobe podľa vlastného výberu.
Žiadosť obsahuje:
3.1 meno/názov a adresu výrobcu a ak žiadosť podáva jeho splnomocnený zástupca, aj jeho meno/názov a adresu;
3.2 písomné vyhlásenie o tom, že rovnaká žiadosť nebola podaná inej notifikovanej osobe,
3.3 technickú dokumentáciu, ktorá má umožniť posúdenie zhody produktu s digitálnymi prvkami s uplatniteľnými základnými požiadavkami stanovenými v časti I prílohy I a postupov riešenia zraniteľností zavedených výrobcom stanovených v časti II prílohy I a musí obsahovať primeranú analýzu a posúdenie rizík. V technickej dokumentácii sa uvedú príslušné požiadavky a zahrnie sa do nej, ak je to z hľadiska posudzovania relevantné, návrh, výroba a používanie produktu s digitálnymi prvkami. Technická dokumentácia obsahuje vždy, keď je to potrebné, aspoň prvky uvedené v prílohe VII;
3.4 podporné dôkazy o primeranosti technického návrhu, riešení vývoja a postupov riešenia zraniteľností. V týchto podporných dôkazoch sa uvádzajú všetky dokumenty, ktoré sa použili, predovšetkým v tých prípadoch, keď sa príslušné harmonizované normy alebo technické špecifikácie nepoužili v plnom rozsahu. Podporné dôkazy v prípade potreby zahŕňajú výsledky skúšok, ktoré vykonalo vhodné laboratórium výrobcu alebo iné skúšobné laboratórium v jeho mene a na jeho zodpovednosť.
4. Notifikovaná osoba:
4.1. preskúma technickú dokumentáciu a podporné dôkazy s cieľom posúdiť primeranosť technického návrhu a vývoja produktu s digitálnymi prvkami vzhľadom na základné požiadavky stanovené v časti I prílohy I a postupy riešenia zraniteľností zavedené výrobcom vzhľadom na základné požiadavky stanovené v časti II prílohy I;
4.2. overí, či vzorky boli vyvinuté alebo vyrobené v súlade s technickou dokumentáciou, a určí prvky, ktoré boli navrhnuté a vyvinuté v súlade s uplatniteľnými ustanoveniami relevantných harmonizovaných noriem alebo technickými špecifikáciami, ako aj prvky, ktoré boli navrhnuté a vyvinuté bez uplatnenia príslušných ustanovení týchto noriem;
4.3. vykoná alebo dá vykonať vhodné preskúmania a skúšky s cieľom skontrolovať, že v prípade, keď sa výrobca pri požiadavkách stanovených v prílohe I rozhodol uplatniť riešenia uvedené v príslušných harmonizovaných normách alebo technických špecifikáciách, boli uplatnené správne;
4.4. vykoná alebo dá vykonať vhodné preskúmania a skúšky s cieľom skontrolovať, že v prípade, keď pri požiadavkách stanovených v prílohe I riešenia uvedené v príslušných harmonizovaných normách alebo technických špecifikáciách neboli uplatnené, riešenia prijaté výrobcom spĺňajú zodpovedajúce základné požiadavky;
4.5. dohodne s výrobcom miesto, kde sa vykonajú skúšky a testy.
5. Notifikovaná osoba vypracuje hodnotiacu správu, v ktorej zaznamená činnosti vykonané v súlade s bodom 4 a ich výsledky. Bez ohľadu na svoje povinnosti voči notifikujúcim orgánom notifikovaná osoba sprístupňuje úplný alebo čiastočný obsah uvedenej správy iba so súhlasom výrobcu.
6. Ak typ a postupy riešenia zraniteľností spĺňajú základné požiadavky stanovené v prílohe I, notifikovaná osoba vydá výrobcovi certifikát EÚ skúšky typu. Certifikát obsahuje meno a adresu výrobcu, závery preskúmania, podmienky jeho platnosti (ak existujú) a údaje potrebné na určenie schváleného typu a postupov riešenia zraniteľností. K certifikátu možno pripojiť jednu alebo viac príloh.
Certifikát a jeho prílohy obsahujú všetky príslušné informácie, ktoré umožňujú vyhodnotenie zhody vyrobených alebo vyvinutých produktov s digitálnymi prvkami s preskúmaným typom a postupmi riešenia zraniteľností a umožňujú kontrolu za prevádzky.
Ak typ a postupy riešenia zraniteľností nespĺňajú platné základné požiadavky stanovené v prílohe I, notifikovaná osoba odmietne vydať certifikát EÚ skúšky typu a náležite o tom informuje žiadateľa, pričom uvedie podrobné dôvody odmietnutia.
7. Notifikovaná osoba sa oboznámi so všetkými zmenami v súvislosti so všeobecne uznávaným stavom techniky, ktoré naznačujú, že schválený typ a postupy riešenia zraniteľností už nemusia spĺňať platné základné požiadavky stanovené v prílohe I k tomuto nariadeniu, a stanoví, či si takéto zmeny vyžadujú ďalšie prešetrenie. Ak áno, notifikovaná osoba o tom informuje výrobcu.
Výrobca informuje notifikovanú osobu, ktorá má technickú dokumentáciu týkajúcu sa certifikátu EÚ skúšky typu, o všetkých úpravách schváleného typu a postupoch riešenia zraniteľností, ktoré môžu ovplyvniť zhodu so základnými požiadavkami stanovenými v prílohe I, alebo s podmienkami platnosti certifikátu. Takéto zmeny si vyžadujú dodatočné schválenie vo forme dodatku k pôvodnému certifikátu EÚ skúšky typu.
8. Notifikovaná osoba vykonáva pravidelné audity s cieľom zabezpečiť primerané vykonávanie postupov riešenia zraniteľností stanovených v časti 2 prílohy I.
9. Každá notifikovaná osoba informuje svoje notifikujúce orgány o certifikátoch EÚ skúšky typu a ich dodatkoch, ktoré vydala alebo zrušila, a pravidelne alebo na ich žiadosť poskytuje svojim notifikujúcim orgánom zoznam certifikátov a dodatkov k nim, ktoré boli zamietnuté, pozastavené alebo inak obmedzené.
Každá notifikovaná osoba informuje ostatné notifikované osoby o certifikátoch EÚ skúšky typu a akýchkoľvek dodatkoch k nim, ktoré zamietla, odňala, pozastavila alebo inak obmedzila, a na požiadanie ich informuje o certifikátoch a dodatkoch k nim, ktoré vydala.
Komisia, členské štáty a ostatné notifikované osoby môžu na žiadosť získať kópiu certifikátov EÚ skúšky typu a akýchkoľvek dodatkov k nim. Komisia a členské štáty môžu na požiadanie získať kópiu technickej dokumentácie a výsledkov skúšok, ktoré vykonala notifikovaná osoba. Do uplynutia platnosti certifikátu uchováva notifikovaná osoba kópiu certifikátu EÚ skúšky typu, jeho príloh a dodatkov, ako aj technické podklady vrátane dokumentácie poskytnutej výrobcom.
10. Výrobca uchováva kópiu osvedčenia o typovej skúške EÚ, jeho príloh a dodatkov spolu s technickou dokumentáciou k dispozícii pre vnútroštátne orgány desať rokov po uvedení produktu s digitálnymi prvkami na trh alebo počas obdobia podpory,podľa toho, čo trvá dlhšie.
11. Splnomocnený zástupca výrobcu môže podať žiadosť uvedenú v bode 3 a plniť povinnosti stanovené v bodoch 7 a 10 za predpokladu, že sú uvedené v splnomocnení.
Časť III ▌Zhoda s typom na základe vnútornej kontroly výroby (podľa modulu C)
1. Zhoda s typom na základe na vnútornej kontrole výroby je tou časťou postupu posudzovania zhody, v ktorej výrobca plní povinnosti stanovené v bodoch 2 a 3 a zabezpečuje a vyhlasuje, že dotknuté produkty s digitálnymi prvkami sú v zhode s typom opísaným v certifikáte EÚ skúšky typu a spĺňajú základné požiadavky stanovené v časti I prílohy I a že výrobca spĺňa základné požiadavky stanovené v časti II prílohy I.
2. Výroba
Výrobca prijme všetky opatrenia potrebné na to, aby sa výrobou a jej monitorovaním zabezpečila zhoda vyrobených produktov s digitálnymi prvkami so schváleným typom opísaným v certifikáte EÚ skúšky typu a so základnými požiadavkami stanovenými v časti I prílohy I a zabezpečuje, aby spĺňal základné požiadavky stanovené v časti 2 prílohy I.
3. Označenie zhody a vyhlásenie o zhode
3.1. Výrobca umiestňuje označenie CE na každý jednotlivý produkt s digitálnymi prvkami, ktorý je v súlade s typom opísaným v certifikáte EÚ skúšky typu a spĺňa príslušné požiadavky legislatívneho nástroja.
3.2. Pre model produktu vydá výrobca písomné vyhlásenie o zhode, ktoré uchováva k dispozícii pre vnútroštátne orgány desať rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podporypodľa toho, čo trvá dlhšie. Vo vyhlásení o zhode sa uvedie model produktu, pre ktorý bolo vydané. Kópiu vyhlásenia o zhode na požiadanie sprístupní príslušným orgánom.
4. Splnomocnený zástupca
Ak sú povinnosti výrobcu stanovené v bode 3 uvedené v splnomocnení, môže ich v jeho mene a na jeho zodpovednosť plniť jeho splnomocnený zástupca.
Časť IV ▌Zhoda na základe plného zabezpečenia kvality (podľa modulu H)
1. Zhoda na základe plného zabezpečenia kvality je postup posudzovania zhody, ktorým si výrobca splní povinnosti stanovené v bodoch 2 a 5 a na svoju výhradnú zodpovednosť zaručí a vyhlási, že dotknuté produkty s digitálnymi prvkami alebo dotknuté kategórie produktov vyhovujú základným požiadavkám stanoveným v časti I prílohy I a že postupy riešenia zraniteľností zavedené výrobcom spĺňajú požiadavky stanovené v časti II prílohy I.
2. Návrh, vývoj, výroba a riešenie zraniteľností produktov s digitálnymi prvkami
Výrobca prevádzkuje schválený systém kvality špecifikovaný v bode 3 pre návrh, vývoj, finálnu kontrolu a testovanie dotknutých produktov s digitálnymi prvkami a riešenie zraniteľností, udržiava ho v platnosti počas celého obdobia podpory a podrobuje ho dohľadu tak, ako je špecifikovaný v bode 4.
3. Systém kvality
3.1. Výrobca podáva žiadosť o posúdenie svojho systému kvality pre príslušné produkty s digitálnymi prvkami notifikovanej osobe podľa vlastného výberu.
Žiadosť obsahuje:
— meno/názov a adresu výrobcu a v prípade, že žiadosť podáva jeho splnomocnený zástupca, aj jeho meno/názov a adresu,
— technickú dokumentáciu jedného modelu z každej kategórie produktov s digitálnymi prvkami, ktoré sa majú vyrábať alebo vyvíjať. Technická dokumentácia podľa potreby vždy obsahuje aspoň prvky uvedené v prílohe VII;
— dokumentáciu o systéme kvality; ako aj
— písomné vyhlásenie, že tá istá žiadosť nebola podaná inej notifikovanej osobe.
3.2. Systém kvality zabezpečuje súlad produktov s digitálnymi prvkami so základnými požiadavkami stanovenými v časti I prílohy I a súlad postupov riešenia zraniteľností zavedených výrobcom s požiadavkami stanovenými v časti II prílohy I.
Všetky prvky, požiadavky a opatrenia prijaté výrobcom sa systematicky a usporiadane zdokumentujú vo forme písomných zásad, postupov a návodu. Táto dokumentácia systému kvality umožňuje dôsledný výklad programov, plánov, príručiek a záznamov týkajúcich sa kvality.
Musí obsahovať najmä primeraný opis:
— kvalitatívnych cieľov a organizačnej štruktúry, povinností a právomocí manažmentu vzhľadom na kvalitu návrhu, vývoja a produktov a riešenie zraniteľností;
— technických špecifikácií pre navrhovanie a vývoj vrátane noriem, ktoré sa budú uplatňovať, a ak sa príslušné harmonizované normy a/alebo technické špecifikácie nebudú uplatňovať v plnom rozsahu, prostriedkov, ktoré sa použijú na zabezpečenie splnenia základných požiadaviek stanovených v časti I prílohy I, ktoré sa na produkty s digitálnymi prvkami vzťahujú;
— procesných špecifikácií vrátane noriem, ktoré sa budú uplatňovať, a ak sa príslušné harmonizované normy a/alebo technické špecifikácie nebudú uplatňovať v plnom rozsahu, prostriedkov, ktoré sa použijú na zabezpečenie splnenia základných požiadaviek stanovených v časti II prílohy I, ktoré sa vzťahujú na výrobcu;
— kontroly navrhovania a vývoja, ako aj techník overovania návrhu a vývoja, postupov a systematických činností, ktoré sa použijú pri navrhovaní a vývoji produktov s digitálnymi prvkami v dotknutej kategórii produktov;
— zodpovedajúcich techník, postupov a systematických činností výroby, kontroly a zabezpečovania kvality, ktoré sa budú používať,
— overovaní a skúšok, ktoré sa budú vykonávať pred výrobou, počas výroby a po nej, vrátane časových intervalov, v ktorých sa budú vykonávať,
— záznamov o kvalite, ako sú správy o kontrolách a údaje o skúškach, kalibračné údaje a správy o kvalifikácii dotknutých zamestnancov,
— prostriedkov monitorovania požadovanej kvality návrhu a výrobku a účinnej prevádzky systému kvality.
3.3. Notifikovaná osoba posúdi systém kvality s cieľom určiť, či spĺňa požiadavky uvedené v bode 3.2.
V prípade prvkov systému kvality, ktoré sú v zhode s príslušnými špecifikáciami vnútroštátnej normy, ktorou sa vykonáva príslušná harmonizovaná norma alebo technické špecifikácie, predpokladá zhodu s týmito požiadavkami.
Okrem skúseností v oblasti systémov manažérstva kvality musí mať audítorský tím aspoň jedného člena so skúsenosťami v posudzovaní príslušnej oblasti produktov a dotknutej technológie produktov a musí byť oboznámený s príslušnými tohto nariadenia. Súčasťou auditu je hodnotiaca návšteva v priestoroch výrobcu, pokiaľ takéto priestory existujú. Audítorský tím preskúmava technickú dokumentáciu uvedenú v bode 3.1 druhej zarážke s cieľom overiť schopnosť výrobcu identifikovať príslušné požiadavky tohto nariadenia a vykonať potrebné preskúmania na zabezpečenie súladu produktu s digitálnymi prvkami s uvedenými požiadavkami.
Rozhodnutie sa oznámi výrobcovi alebo jeho splnomocnenému zástupcovi.
V oznámení sa uvedú závery auditu a odôvodnené rozhodnutie o posúdení.
3.4. Výrobca sa zaväzuje, že splní povinnosti vyplývajúce zo systému kvality tak, ako bol schválený, a bude ho udržiavať tak, aby zostal primeraný a účinný.
3.5. Výrobca informuje notifikovanú osobu, ktorá systém kvality schválila, o každej jeho zamýšľanej zmene.
Notifikovaná osoba vyhodnotí všetky navrhované zmeny a rozhodne, či upravený systém kvality bude naďalej spĺňať požiadavky uvedené v bode 3.2, alebo je potrebné opätovné posúdenie.
Svoje rozhodnutie oznámi výrobcovi. V oznámení uvedie závery preskúmania a odôvodnené rozhodnutie o posúdení.
4. Dohľad, za ktorý zodpovedá notifikovaná osoba
4.1. Cieľom dohľadu je zabezpečiť, aby si výrobca riadne plnil povinnosti vyplývajúce zo schváleného systému kvality.
4.2. Na účely posúdenia umožní výrobca notifikovanej osobe vstup do priestorov určených na navrhovanie, vývoj, výrobu, kontrolu, testovanie a skladovanie a poskytne jej všetky potrebné informácie, najmä:
— dokumentáciu systému kvality,
— záznamy o kvalite, ako sú stanovené v časti systému kvality pre navrhovanie, ako sú napríklad výsledky analýz, výpočtov a skúšok;
— záznamy o kvalite, ako sú stanovené v časti systému kvality pre výrobu, napríklad správy o kontrolách a údaje zo skúšok, kalibračné údaje a správy o kvalifikácii dotknutých zamestnancov.
4.3. Notifikovaná osoba vykonáva pravidelné audity s cieľom zabezpečiť, aby výrobca udržiaval a uplatňoval systém kvality, a výrobcovi poskytuje správu o audite.
5. Označenie zhody a vyhlásenie o zhode
5.1. Na každý jednotlivý produkt s digitálnymi prvkami, ktorý spĺňa požiadavky stanovené v časti 1 prílohy I k tomuto nariadeniu, umiestni výrobca označenie CE a na zodpovednosť notifikovanej osoby uvedenej v bode 3.1 jej identifikačné číslo.
5.2. Výrobca vydá pre každý model produktu písomné vyhlásenie o zhode, ktoré uchováva k dispozícii pre vnútroštátne orgány desať rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podporypodľa toho, čo trvá dlhšie. Vo vyhlásení o zhode sa uvedie model produktu, pre ktorý bolo vydané.
Kópiu vyhlásenia o zhode na požiadanie sprístupní príslušným orgánom.
6. Najmenej desať rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podporypodľa toho, čo trvá dlhšie, uchováva výrobca pre potreby vnútroštátnych orgánov:
6.1 technickú dokumentáciu uvedenú v bode 3.1,
6.2 dokumentáciu systému kvality uvedenú v bode 3.1,
6.3 zmenu uvedenú v bode 3.5 tak, ako je schválená,
6.4 rozhodnutia a správy notifikovanej osoby uvedené v bodoch 3.5 a 4.3.
7. Každá notifikovaná osoba informuje svoje notifikujúce orgány o schváleniach systému kvality, ktoré vydala alebo odňala, a pravidelne alebo na požiadanie sprístupňuje svojim notifikujúcim orgánom zoznam zamietnutých, pozastavených alebo inak obmedzených schválení systémov kvality.
Každá notifikovaná osoba informuje ostatné notifikované osoby o zamietnutých, pozastavených alebo inak obmedzených schválení systémov kvality a na požiadanie aj o vydaných schváleniach systémov kvality.
8. Splnomocnený zástupca
Povinnosti výrobcu stanovené v bodoch 3.1, 3.5, 5 a 6 môže v mene výrobcu a na jeho zodpovednosť splniť jeho splnomocnený zástupca, pokiaľ sú uvedené v splnomocnení.
PRÍLOHA K LEGISLATÍVNEMU UZNESENIU
Spoločné politické vyhlásenie Európskeho parlamentu, Rady a Komisie o zdrojoch agentúry ENISA pri príležitosti prijatia nariadenia Európskeho parlamentu a Rady (EÚ) .../... o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami a o zmene nariadení (EÚ) č. 168/2013 a (EÚ) 2019/1020 a smernica (EÚ) 2020/1828 (akt o kybernetickej odolnosti)*
Európsky parlament a Rada sa domnievajú, že týmto nariadením sa agentúre ENISA delegujú dodatočné úlohy, ktoré povedú k dodatočnej pracovnej záťaži a budú si vyžadovať dodatočné zdroje tak z hľadiska odborných znalostí, ako aj počtu odborníkov. Vzhľadom na uvedené skutočnosti a s cieľom umožniť agentúre ENISA účinný výkon úloh podľa tohto nariadenia sa Európsky parlament, Rada a Komisia domnievajú, že môže byť potrebné zvýšiť najmä jej ľudské zdroje s primeranými odbornými znalosťami. Takéto zvýšenie by sa mohlo zabezpečiť v rámci ročného postupu v súvislosti s plánom pracovných miest agentúry ENISA. Komisia, ktorá zodpovedá za vkladanie odhadov, ktoré považuje za potrebné pre plán pracovných miest agentúry ENISA, do návrhu všeobecného rozpočtu Únie v rámci rozpočtového postupu stanoveného v článku 314 ZFEÚ a v súlade s postupom stanoveným v akte o kybernetickej bezpečnosti, posúdi odhad rozpočtu pre plán pracovných miest agentúry ENISA na prvý rok po nadobudnutí účinnosti tohto nariadenia s prihliadnutím na potrebné – najmä ľudské – zdroje, aby agentúra ENISA mohla primerane vykonávať svoje úlohy podľa tohto nariadenia.
* [Predbežná politická dohoda uzatvorená so zámerom uverejniť toto vyhlásenie v sérii C úradného vestníka a uviesť referenciu a odkaz naň v sérii L spolu s legislatívnym aktom.]
Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15).
Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).
Smernica Európskeho parlamentu a Rady 2014/24/EÚ z 26. februára 2014 o verejnom obstarávaní a o zrušení smernice 2004/18/ES (Ú. v. EÚ L 94, 28.3.2014, s. 65).
Smernica Európskeho parlamentu a Rady 2014/25/EÚ z 26. februára 2014 o obstarávaní vykonávanom subjektmi pôsobiacimi v odvetviach vodného hospodárstva, energetiky, dopravy a poštových služieb a o zrušení smernice 2004/17/ES (Ú. v. EÚ L 94, 28.3.2014, s. 243).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2017/745 z 5. apríla 2017 o zdravotníckych pomôckach, zmene smernice 2001/83/ES, nariadenia (ES) č. 178/2002 a nariadenia (ES) č. 1223/2009 a o zrušení smerníc Rady 90/385/EHS a 93/42/EHS (Ú. v. EÚ L 117, 5.5.2017, s. 1).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2017/746 z 5. apríla 2017 o diagnostických zdravotníckych pomôckach in vitro a o zrušení smernice 98/79/ES a rozhodnutia Komisie 2010/227/EÚ (Ú. v. EÚ L 117, 5.5.2017, s. 176).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/2144 z 27. novembra 2019 o požiadavkách na typové schvaľovanie motorových vozidiel a ich prípojných vozidiel a systémov, komponentov a samostatných technických jednotiek určených pre tieto vozidlá, pokiaľ ide o ich všeobecnú bezpečnosť a ochranu cestujúcich vo vozidle a zraniteľných účastníkov cestnej premávky, ktorým sa mení nariadenie Európskeho parlamentu a Rady (EÚ) 2018/858 a ktorým sa zrušujú nariadenia Európskeho parlamentu a Rady (ES) č. 78/2009, (ES) č. 79/2009 a (ES) č. 661/2009 a nariadenia Komisie (ES) č. 631/2009, (EÚ) č. 406/2010, (EÚ) č. 672/2010, (EÚ) č. 1003/2010, (EÚ) č. 1005/2010, (EÚ) č. 1008/2010, (EÚ) č. 1009/2010, (EÚ) č. 19/2011, (EÚ) č. 109/2011, (EÚ) č. 458/2011, (EÚ) č. 65/2012, (EÚ) č. 130/2012, (EÚ) č. 347/2012, (EÚ) č. 351/2012, (EÚ) č. 1230/2012 a (EÚ) 2015/166 (Ú. v. EÚ L 325, 16.12.2019, s. 1).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1139 zo 4. júla 2018 o spoločných pravidlách v oblasti civilného letectva, ktorým sa zriaďuje Agentúra Európskej únie pre bezpečnosť letectva a ktorým sa menia nariadenia Európskeho parlamentu a Rady (ES) č. 2111/2005, (ES) č. 1008/2008, (EÚ) č. 996/2010, (EÚ) č. 376/2014 a smernice Európskeho parlamentu a Rady 2014/30/EÚ a 2014/53/EÚ a zrušujú nariadenia Európskeho parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nariadenie Rady (EHS) č. 3922/91 (Ú. v. EÚ L 212, 22.8.2018, s. 1).
Delegované nariadenie Komisie (EÚ) 2022/30 z 29. októbra 2021, ktorým sa dopĺňa smernica Európskeho parlamentu a Rady 2014/53/EÚ, pokiaľ ide o uplatňovanie základných požiadaviek uvedených v článku 3 ods. 3 písm. d), e) a f) uvedenej smernice (Ú. v. EÚ L 7, 12.1.2022, s. 6).
Smernica Európskeho parlamentu a Rady 2014/53/EÚ zo 16. apríla 2014 o harmonizácii právnych predpisov členských štátov týkajúcich sa sprístupňovania rádiových zariadení na trhu, ktorou sa zrušuje smernica 1999/5/ES (Ú. v. EÚ L 153, 22.5.2014, s. 62).
Vykonávacie rozhodnutie Komisie C(2022)5637 z 5. augusta 2022 o mandáte na tvorbu noriem adresovanom Európskemu výboru pre normalizáciu a Európskemu výboru pre normalizáciu v elektrotechnike, pokiaľ ide o rádiové zariadenia na podporu smernice Európskeho parlamentu a Rady 2014/53/EÚ a delegovaného nariadenia Komisie (EÚ) 2022/30.https://ec.europa.eu/growth/tools-databases/enorm/mandate/585_en.
Smernica Rady 85/374/EHS z 25. júla 1985 o aproximácii zákonov, iných právnych predpisov a správnych opatrení členských štátov o zodpovednosti za chybné výrobky (Ú. v. ES L 210, 7.8.1985, s. 29).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1).
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014, s. 73).
Ú. v.: vložte, prosím, číslo nariadenia uvedeného v dokumente PE-CONS .../... [2022/0095(COD)] a vložte číslo, dátum a názov uvedeného nariadenia a odkaz na jeho uverejnenie v úradnom vestníku.
Ú. v.: vložte, prosím, číslo vykonávacieho nariadenia Komisie (EÚ) č. /... z... o európskom systéme certifikácie kybernetickej bezpečnosti založenom na spoločných kritériách a vložte číslo, dátum, názov uvedeného vykonávacieho nariadenia Komisie a odkaz na jeho uverejnenie v úradnom vestníku do poznámky pod čiarou.
Nariadenie Európskeho parlamentu a Rady (EÚ) 2023/988 z 10. mája 2023 o všeobecnej bezpečnosti výrobkov, ktorým sa mení nariadenie Európskeho parlamentu a Rady (EÚ) č. 1025/2012 a smernica Európskeho parlamentu a Rady (EÚ) 2020/1828 a zrušuje smernica Európskeho parlamentu a Rady 2001/95/ES a smernica Rady 87/357/EHS (Ú. v. EÚ L 135, 23.5.2023, s. 1).
Ú. v.: Vložte, prosím, číslo nariadenia uvedeného v dokumente PE-CONS .../... [2021/0106(COD)] a vložte číslo, dátum a názov uvedeného nariadenia a odkaz na jeho uverejnenie v úradnom vestníku do poznámky pod čiarou.
Nariadenie Európskeho parlamentu a Rady (EÚ) 2023/1230 zo 14. júna 2023 o strojových zariadeniach a o zrušení smernice Európskeho parlamentu a Rady 2006/42/ES a smernice Rady 73/361/EHS (Ú. v. EÚ L 165, 29.6.2023, s. 1).
Ú. v.: Vložte, prosím, číslo nariadenia uvedeného v dokumente PE-CONS .../... [2022/0140(COD)] a vložte číslo, dátum a názov uvedeného nariadenia a odkaz na jeho uverejnenie v úradnom vestníku do poznámky pod čiarou.
Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1).
Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (Ú. v. ES L 201, 31.7.2002, s. 37).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/1020 z 20. júna 2019 o dohľade nad trhom a súlade výrobkov a o zmene smernice 2004/42/ES a nariadení (ES) č. 765/2008 a (EÚ) č. 305/2011 (Ú. v. EÚ L 169, 25.6.2019, s. 1).
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1025/2012 z 25. októbra 2012 o európskej normalizácii, ktorým sa menia a dopĺňajú smernice Rady 89/686/EHS a 93/15/EHS a smernice Európskeho parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES a ktorým sa zrušuje rozhodnutie Rady 87/95/EHS a rozhodnutie Európskeho parlamentu a Rady č. 1673/2006/ES (Ú. v. EÚ L 316, 14.11.2012, s. 12).
Nariadenie Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú požiadavky akreditácie a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13.8.2008, s. 30).
Rozhodnutie Európskeho parlamentu a Rady č. 768/2008/ES z 9. júla 2008 o spoločnom rámci na uvádzanie výrobkov na trh a o zrušení rozhodnutia 93/465/EHS (Ú. v. EÚ L 218, 13.8.2008, s. 82).
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj).
Smernica Európskeho parlamentu a Rady (EÚ) 2020/1828 z 25. novembra 2020 o žalobách v zastúpení na ochranu kolektívnych záujmov spotrebiteľov a o zrušení smernice 2009/22/ES (Ú. v. EÚ L 409, 4.12.2020, s. 1).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39).
Smernica Európskeho parlamentu a Rady 2014/90/EÚ z 23. júla 2014 o vybavení námorných lodí a o zrušení smernice Rady 96/98/ES (Ú. v. EÚ L 257, 28.8.2014, s. 146).
Technická poznámka: spoluzákonodarcovia sa rozhodli, že toto ustanovenie by sa malo vypustiť, ak je plánovanie prijatia a uverejnenia aktu o umelej inteligencii [2021/0106(COD)] výrazne dlhšie ako plánovanie prijatia aktu o kybernetickej odolnosti [2022/0272(COD)] a zavedie sa ako zmena prostredníctvom zákona o umelej inteligencii.
Technická poznámka: Spoluzákonodarcovia rozhodli, že toto ustanovenie by sa malo vypustiť, ak je plán prijatia a uverejnenia nariadenia o európskom priestore pre zdravotné údaje (2022/0140(COD)) výrazne dlhší ako plán prijatia aktu o kybernetickej odolnosti (2022/0272(COD)), a zavedie sa ako zmena prostredníctvom nariadenia o európskom priestore pre zdravotné údaje.
Technická poznámka: Spoluzákonodarcovia rozhodli, že toto ustanovenie by sa malo vypustiť, ak je plán prijatia a uverejnenia aktu o umelej inteligencii (2022/0106(COD)) výrazne dlhší ako plán prijatia a uverejnenia aktu o kybernetickej odolnosti (2022/0272(COD)), a zavedie sa ako zmena prostredníctvom aktu o umelej inteligencii.
Smernica Európskeho parlamentu a Rady (EÚ) 2016/943 z 8. júna 2016 o ochrane nesprístupneného know-how a obchodných informácií (obchodného tajomstva) pred ich neoprávneným získaním, využitím a sprístupnením (Ú. v. EÚ L 157, 15.6.2016, s. 1).
+Ú. v.: vložte, prosím, číslo nariadenia uvedeného v dokumente PE-CONS č./RR (2022/0272(COD)) a do poznámky pod čiarou vložte číslo, dátum prijatia, názov a odkaz na uverejnenie v úradnom vestníku.
+Ú. v.: vložte, prosím, číslo nariadenia uvedeného v dokumente PE-CONS č./RR (2022/0272(COD)) a do poznámky pod čiarou vložte číslo, dátum prijatia, názov a odkaz na uverejnenie v úradnom vestníku.
Smernica Európskeho parlamentu a Rady (EÚ) 2019/944 z 5. júna 2019 o spoločných pravidlách pre vnútorný trh s elektrinou a o zmene smernice 2012/27/EÚ (Ú. v. EÚ L 158, 14.6.2019, s. 125).