(1) Cyberbezpieczeństwo jest dla Unii jednym z najpoważniejszych wyzwań. W nadchodzących latach liczba i różnorodność urządzeń podłączonych do internetu będzie gwałtownie rosnąć. Cyberataki stanowią kwestię interesu publicznego, ponieważ mają decydujący wpływ nie tylko na gospodarkę Unii, ale także na system demokratyczny, bezpieczeństwo konsumentów i zdrowie. Należy zatem koniecznie wzmocnić unijne podejście do cyberbezpieczeństwa, zająć się kwestią cyberodporności na poziomie unijnym oraz usprawnić funkcjonowanie rynku wewnętrznego poprzez ustanowienie jednolitych ram regulacyjnych obejmujących zasadnicze wymagania w zakresie cyberbezpieczeństwa dotyczące wprowadzania produktów z elementami cyfrowymi na rynek unijny. Należy rozwiązać dwa główne problemy, które narażają użytkowników i społeczeństwo na wyższe koszty: po pierwsze, niski poziom cyberbezpieczeństwa produktów z elementami cyfrowymi, który przejawia się w powszechnie występujących podatnościach oraz w niewystarczającym i niespójnym dostarczaniu aktualizacji zabezpieczeń w celu wyeliminowania tych podatności, a po drugie, niedostateczne zrozumienie i dostęp do informacji ze strony użytkowników, co uniemożliwia im wybór produktów o odpowiednich właściwościach w zakresie cyberbezpieczeństwa lub korzystanie z nich w bezpieczny sposób.

(2) Niniejsze rozporządzenie ma na celu stworzenie warunków brzegowych dla rozwoju bezpiecznych produktów z elementami cyfrowymi poprzez zadbanie o to, aby sprzęt i oprogramowanie były wprowadzane do obrotu z mniejszą liczbą podatności, a także aby producenci poważnie traktowali bezpieczeństwo w całym cyklu życia produktu. Ma również na celu stworzenie warunków umożliwiających użytkownikom branie pod uwagę cyberbezpieczeństwa przy wyborze produktów z elementami cyfrowymi i przy korzystaniu z nich, na przykład dzięki zwiększeniu przejrzystości w odniesieniu do okresu wsparcia dla produktów z elementami cyfrowymi udostępnionych na rynku.

(3) Odpowiednie obowiązujące prawo Unii obejmuje szereg zbiorów przepisów horyzontalnych, które pod różnym kątem odnoszą się do niektórych aspektów związanych z cyberbezpieczeństwem, w tym poprzez środki mające na celu poprawę bezpieczeństwa cyfrowego łańcucha dostaw. Obowiązujące prawo Unii dotyczące kwestii cyberbezpieczeństwa, w tym rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 3  oraz dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 4 , bezpośrednio nie przewiduje jednak obowiązkowych wymagań w zakresie bezpieczeństwa produktów z elementami cyfrowymi.

(4) Chociaż obowiązujące prawo Unii ma zastosowanie do niektórych produktów z elementami cyfrowymi, nie istnieją horyzontalne unijne ramy regulacyjne ustanawiające wszechstronne wymagania w zakresie cyberbezpieczeństwa dotyczące wszystkich produktów z elementami cyfrowymi. Różne akty przyjęte dotychczas na poziomie unijnym i krajowym oraz różne unijne i krajowe inicjatywy jedynie częściowo rozwiązują zidentyfikowane problemy związane z cyberbezpieczeństwem i stwarzają ryzyko niejednolitego rozwoju ustawodawstwa na rynku wewnętrznym, co pogłębia brak pewności prawa po stronie zarówno producentów, jak i użytkowników tych produktów, a także wiąże się z nałożeniem na przedsiębiorstwa i organizacje niepotrzebnych obciążeń związanych z przestrzeganiem szeregu wymagań i wypełnianiem szeregu obowiązków dotyczących podobnych rodzajów produktów. Cyberbezpieczeństwo tych produktów ma szczególnie wyraźny wymiar transgraniczny, ponieważ produkty z elementami cyfrowymi wytwarzane w jednym państwie członkowskim lub państwie trzecim są często wykorzystywane przez organizacje i konsumentów na całym rynku wewnętrznym. W związku z tym konieczne jest uregulowanie tej kwestii na poziomie Unii, aby zadbać o zharmonizowane ramy regulacyjne i pewność prawa dla użytkowników, organizacji i przedsiębiorstw, w tym mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw zdefiniowanych w załączniku do zalecenia Komisji 2003/361/WE 5 . Należy zharmonizować unijne otoczenie regulacyjne poprzez wprowadzenie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi. Należy ponadto zagwarantować pewność prawa podmiotom gospodarczym i użytkownikom w całej Unii, a także zapewnić lepszą harmonizację rynku wewnętrznego oraz zagwarantować proporcjonalność mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom, co przełoży się na dogodniejsze warunki dla podmiotów gospodarczych zamierzających wejść na ten rynek.

(5) W odniesieniu do mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, określając kategorię, do której należy dane przedsiębiorstwo, należy w całości stosować przepisy załącznika do zalecenia 2003/361/WE. W związku z tym przy wyliczaniu liczby pracowników i pułapów finansowych definiujących kategorie przedsiębiorstw należy również stosować przepisy art. 6 załącznika do zalecenia 2003/361/WE dotyczące ustalania danych przedsiębiorstwa z uwzględnieniem szczególnych rodzajów przedsiębiorstw, takich jak przedsiębiorstwa partnerskie lub przedsiębiorstwa powiązane.

(6) Komisja powinna wydać wytyczne, aby pomóc podmiotom gospodarczym, w szczególności mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom, w stosowaniu niniejszego rozporządzenia. Takie wytyczne powinny obejmować między innymi zakres niniejszego rozporządzenia, w szczególności zdalne przetwarzanie danych i jego skutki dla twórców wolnego i otwartego oprogramowania, stosowanie kryteriów służących do określania długości okresów wsparcia dla produktów z elementami cyfrowymi, wzajemne powiązania między niniejszym rozporządzeniem a innymi przepisami prawa Unii, a także pojęcie istotnej modyfikacji.

(7) Na poziomie Unii - w różnych dokumentach programowych i politycznych, takich jak wspólny komunikat Komisji i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa z dnia 16 grudnia 2020 r. pt. "Strategia UE w zakresie cyberbezpieczeństwa na cyfrową dekadę", konkluzje Rady z dnia 2 grudnia 2020 r. w sprawie cyberbezpieczeństwa urządzeń podłączonych do internetu oraz z dnia 23 maja 2022 r. w sprawie rozwoju pozycji Unii Europejskiej w cyberprzestrzeni, a także rezolucja Parlamentu Europejskiego z dnia 10 czerwca 2021 r. w sprawie strategii UE w zakresie cyberbezpieczeństwa na cyfrową dekadę 6  - wezwano do wprowadzenia konkretnych unijnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów cyfrowych lub skomunikowanych, jako że wiele państw trzecich z własnej inicjatywy wprowadziło środki mające na celu zajęcie się tą kwestią. W sprawozdaniu z wyników końcowych Konferencji w sprawie przyszłości Europy obywatele wezwali do zwiększenia roli UE w przeciwdziałaniu zagrożeniom cyberbezpieczeństwa. Aby w dziedzinie cyberbezpieczeństwa Unia mogła odgrywać pierwszoplanową rolę na arenie międzynarodowej, należy ustanowić ambitne ramy regulacyjne.

(8) Aby zwiększyć ogólny poziom cyberbezpieczeństwa wszystkich produktów z elementami cyfrowymi wprowadzanych na rynek wewnętrzny, należy ustanowić stosowane horyzontalnie, ukierunkowane na cel i neutralne technologicznie zasadnicze wymagania w zakresie cyberbezpieczeństwa dotyczące tych produktów.

(9) W określonych warunkach wszystkie produkty z elementami cyfrowymi zintegrowane lub połączone z większym elektronicznym systemem informacyjnym mogą służyć jako wektor ataku dla podmiotów działających w złym zamiarze. W rezultacie nawet sprzęt i oprogramowanie uważane za mniej krytyczne mogą ułatwić rozpoczęcie ataku na urządzenie lub sieć, umożliwiając podmiotom działającym w złym zamiarze uzyskanie uprzywilejowanego dostępu do systemu lub przenikanie między różnymi systemami. Producenci powinni zatem zapewniać, aby wszystkie produkty z elementami cyfrowymi były projektowane i opracowywane zgodnie z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu. Ten obowiązek dotyczy zarówno produktów, które można podłączyć fizycznie za pomocą interfejsów sprzętowych, jak i produktów podłączanych na poziomie logicznym, np. za pomocą gniazd sieciowych, potoków, plików, interfejsów programowania aplikacji lub wszelkich innych rodzajów interfejsów oprogramowania. Ponieważ cyberzagrożenia mogą rozprzestrzeniać się za pośrednictwem różnych produktów z elementami cyfrowymi, zanim dotrą do określonego celu, na przykład dzięki łącznemu wykorzystaniu wielu różnych exploitów, producenci powinni również zapewnić cyberbezpieczeństwo produktów z elementami cyfrowymi, które są jedynie pośrednio połączone z innymi urządzeniami lub sieciami.

(10) Ustanowienie wymagań w zakresie cyberbezpieczeństwa dotyczących wprowadzania do obrotu produktów z elementami cyfrowymi ma na celu zwiększenie cyberbezpieczeństwa tych produktów, zarówno z myślą o konsumentach, jak i o przedsiębiorstwach. Wymagania te zagwarantują również uwzględnienie cyberbezpieczeństwa w całych łańcuchach dostaw, dzięki czemu produkty końcowe z elementami cyfrowymi i ich komponenty będą bezpieczniejsze. Obejmuje to również wymagania dotyczące wprowadzania do obrotu produktów konsumenckich z elementami cyfrowymi przeznaczonych dla konsumentów podatnych na zagrożenia, na przykład zabawek i elektronicznych niań. Produkty konsumenckie z elementami cyfrowymi sklasyfikowane w niniejszym rozporządzeniu jako ważne produkty z elementami cyfrowymi niosą ze sobą większe ryzyko w cyberprzestrzeni, ponieważ pełnią funkcję, która wiąże się ze znacznym ryzykiem negatywnych skutków pod względem intensywności i zdolności do szkodzenia zdrowiu, bezpieczeństwu lub ochronie użytkowników takich produktów, w związku z czym powinny podlegać bardziej rygorystycznej procedurze oceny zgodności. Dotyczy to takich produktów jak inteligentne urządzenia domowe z funkcjami bezpieczeństwa, w tym inteligentne zamki do drzwi, nianie elektroniczne i systemy alarmowe, zabawki podłączone do internetu oraz technologie medyczne do noszenia na ciele. Ponadto bardziej rygorystyczne procedury oceny zgodności, którym muszą podlegać inne produkty z elementami cyfrowymi sklasyfikowane w niniejszym rozporządzeniu jako ważne lub krytyczne produkty z elementami cyfrowymi, przyczynią się do przeciwdziałania potencjalnym negatywnym skutkom wykorzystywania podatności zagrażającym konsumentom.

(11) Celem niniejszego rozporządzenia jest zapewnienie wysokiego poziomu cyberbezpieczeństwa produktów z elementami cyfrowymi i zintegrowanych z nimi rozwiązań w zakresie zdalnego przetwarzania danych. Takie rozwiązania w zakresie zdalnego przetwarzania danych powinny być zdefiniowane jako przetwarzanie danych na odległość, na potrzeby którego oprogramowanie zostało zaprojektowane i opracowane przez producenta danego produktu z elementami cyfrowymi lub w jego imieniu, a którego brak spowodowałby, że produkt z elementami cyfrowymi nie mógłby pełnić jednej ze swoich funkcji. Podejście to gwarantuje, że takie produkty są w całości odpowiednio zabezpieczone przez producentów, niezależnie od tego, czy dane są przetwarzane lub przechowywane lokalnie na urządzeniu użytkownika, czy zdalnie przez producenta. Jednocześnie zdalne przetwarzanie lub przechowywanie wchodzi w zakres niniejszego rozporządzenia tylko w takim zakresie, w jakim jest to konieczne, aby produkt z elementami cyfrowymi pełnił swoje funkcje. Takie zdalne przetwarzanie lub przechowywanie obejmuje sytuację, w której aplikacja mobilna wymaga dostępu do interfejsu programowania aplikacji lub do bazy danych, dostarczanych w formie usługi oferowanej przez producenta. W takim przypadku usługa ta wchodzi w zakres niniejszego rozporządzenia jako rozwiązanie w zakresie zdalnego przetwarzania danych. Wymagania dotyczące objętych zakresem niniejszego rozporządzenia rozwiązań w zakresie zdalnego przetwarzania danych nie wiążą się zatem ze środkami technicznymi, operacyjnymi ani organizacyjnymi mającymi na celu zarządzanie ryzykiem dla bezpieczeństwa całości sieci i systemów informatycznych producenta.

(12) Rozwiązania w chmurze stanowią rozwiązania w zakresie zdalnego przetwarzania danych w rozumieniu niniejszego rozporządzenia tylko wtedy, gdy są zgodne z definicją zawartą w niniejszym rozporządzeniu. Na przykład w zakres niniejszego rozporządzenia wchodzą funkcjonalności oparte na chmurze zapewniane przez producenta inteligentnych urządzeń domowych, umożliwiające użytkownikom sterowanie urządzeniem na odległość. Natomiast strony internetowe, które nie obsługują funkcjonalności produktów z elementami cyfrowymi, lub usługi w chmurze zaprojektowane i opracowane poza zakresem odpowiedzialności producenta produktu z elementami cyfrowymi, nie są objęte zakresem niniejszego rozporządzenia. Do usług w chmurze i modeli świadczenia usług w chmurze, takich jak oprogramowanie jako usługa (SaaS), platforma jako usługa (PaaS) lub infrastruktura jako usługa (IaaS), ma zastosowanie dyrektywa (UE) 2022/2555. Zakresem stosowania tej dyrektywy są objęte podmioty świadczące w Unii usługi w chmurze, które zgodnie z art. 2 załącznika do zalecenia 2003/361/WE zaliczają się do średnich przedsiębiorstw lub przekraczają pułapy dla średnich przedsiębiorstw przewidziane w ust. 1 tego artykułu.

(13) Zgodnie z celem niniejszego rozporządzenia, jakim jest wyeliminowanie przeszkód w swobodnym przepływie produktów z elementami cyfrowymi, państwa członkowskie nie powinny - w odniesieniu do kwestii objętych zakresem niniejszego rozporządzenia - utrudniać udostępniania na rynku produktów z elementami cyfrowymi spełniających wymagania zawarte w niniejszym rozporządzeniu. W związku z tym w kwestiach zharmonizowanych niniejszym rozporządzeniem państwa członkowskie nie mogą nakładać dodatkowych wymagań w zakresie cyberbezpieczeństwa w związku z udostępnianiem na rynku produktów z elementami cyfrowymi dodatkowymi. Każdy podmiot, publiczny lub prywatny, może jednak ustanowić wymagania dodatkowe w stosunku do wymagań określonych w niniejszym rozporządzeniu w odniesieniu do zamówień na produkty z elementami cyfrowymi lub względem wykorzystywania ich do konkretnych celów, a zatem może zdecydować się na wykorzystywanie produktów z elementami cyfrowymi, które spełniają bardziej rygorystyczne lub bardziej szczegółowe wymagania w zakresie cyberbezpieczeństwa niż wymagania mające zastosowanie do udostępniania na rynku na podstawie niniejszego rozporządzenia. Bez uszczerbku dla dyrektyw Parlamentu Europejskiego i Rady 2014/24/UE 7  i 2014/25/UE 8  w kontekście udzielania zamówień na produkty z elementami cyfrowymi, które muszą spełniać zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzeniu, w tym wymagania

dotyczące postępowania w przypadku wykrycia podatności, państwa członkowskie powinny zadbać o uwzględnianie takich wymagań w procesie udzielania zamówień oraz o uwzględnianie zdolności producentów do skutecznego stosowania środków z zakresu cyberbezpieczeństwa i zarządzania cyberzagrożeniami. Ponadto w dyrektywie (UE) 2022/2555 określono środki zarządzania ryzykiem w cyberprzestrzeni dla podmiotów kluczowych i ważnych, o których mowa w art. 3 tej dyrektywy, mogące obejmować środki na rzecz bezpieczeństwa łańcucha dostaw wymagające stosowania przez takie podmioty produktów z elementami cyfrowymi spełniających bardziej rygorystyczne wymagania w zakresie cyberbezpieczeństwa niż te określone w niniejszym rozporządzeniu. Zgodnie z dyrektywą (UE) 2022/2555 i określoną w niej zasadą minimalnej harmonizacji państwa członkowskie mogą zatem nakładać dodatkowe wymagania w zakresie cyberbezpieczeństwa dotyczące wykorzystywania produktów technologii informacyjno-komunikacyjnych (ICT) przez podmioty kluczowe lub ważne na podstawie tej dyrektywy, aby zapewnić wyższy poziom cyberbezpieczeństwa, pod warunkiem że takie wymagania będą zgodne z obowiązkami państw członkowskich określonymi w prawie Unii. Kwestie nieobjęte niniejszym rozporządzeniem mogą obejmować czynniki pozatechniczne odnoszące się do produktów z elementami cyfrowymi i ich producentów. Państwa członkowskie mogą zatem ustanowić środki krajowe, w tym ograniczenia dotyczące produktów z elementami cyfrowymi lub dostawców takich produktów, uwzględniające czynniki pozatechniczne. Środki krajowe dotyczące takich czynników muszą być zgodne z prawem Unii.

(14) Niniejsze rozporządzenie powinno pozostawać bez uszczerbku dla obowiązków państw członkowskich w zakresie ochrony bezpieczeństwa narodowego zgodnie z prawem Unii. Państwa członkowskie powinny mieć możliwość objęcia produktów z elementami cyfrowymi, które są zamawiane lub wykorzystywane do celów bezpieczeństwa narodowego lub obronności, dodatkowymi środkami, pod warunkiem że takie środki będą zgodne z obowiązkami państw członkowskich określonymi w prawie Unii.

(15) Niniejsze rozporządzenie ma zastosowanie do podmiotów gospodarczych wyłącznie w powiązaniu z produktami z elementami cyfrowymi udostępnianymi na rynku, a zatem dostarczanymi w celu dystrybucji lub w celu wykorzystywania na rynku unijnym w ramach działalności handlowej. Dostarczanie w ramach działalności handlowej może obejmować nie tylko pobieranie zapłaty za produkty z elementami cyfrowymi, ale również pobieranie opłaty za usługi wsparcia technicznego, gdy nie służy to wyłącznie odzyskaniu rzeczywistych kosztów, działanie z zamiarem monetyzacji, np. poprzez udostępnianie platformy oprogramowania, za pośrednictwem której producent zarabia na innych usługach, wymaganie jako warunku wykorzystywania przetwarzania danych osobowych z powodów innych niż tylko poprawa bezpieczeństwa, kompatybilności lub interoperacyjności oprogramowania lub przyjmowanie darowizn przekraczających koszty wynikające z zaprojektowania, opracowania i dostarczenia produktów z elementami cyfrowymi. Przyjmowanie darowizn bez zamiaru osiągnięcia zysku nie powinno być uznawane za działalność handlową.

(16) Dostarczania produktów z elementami cyfrowymi w ramach świadczenia usługi, za którą opłata jest pobierana wyłącznie w celu odzyskania rzeczywistych kosztów bezpośrednio związanych ze świadczeniem tej usługi, na przykład w przypadku niektórych produktów z elementami cyfrowymi dostarczanych przez podmioty administracji publicznej, nie należy uznawać za działalność handlową do celów niniejszego rozporządzenia wyłącznie na tej podstawie. Ponadto opracowywania lub modyfikowania produktów z elementami cyfrowymi przez podmiot administracji publicznej wyłącznie na własny użytek nie należy uznawać za udostępniane na rynku w rozumieniu niniejszego rozporządzenia.

(17) Ogólnodostępne oprogramowanie i dane lub ich zmodyfikowane wersje, do których użytkownicy mogą bezpłatnie uzyskiwać dostęp, z których mogą korzystać i które mogą modyfikować i rozpowszechniać, mogą przyczynić się do badań naukowych i innowacji na rynku. Aby wesprzeć rozwój i rozpowszechnianie wolnego i otwartego oprogramowania, w szczególności przez mikroprzedsiębiorstwa oraz małe i średnie przedsiębiorstwa, w tym przedsiębiorstwa typu startup, osoby fizyczne, organizacje nienastawione na zysk i akademickie organizacje badawcze, zakres stosowania niniejszego rozporządzenia w stosunku do produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie, dostarczanych w ramach działalności handlowej w celu dystrybucji lub wykorzystywania, powinien uwzględniać charakter różnych modeli opracowywania oprogramowania dystrybuowanego i tworzonego z wykorzystaniem licencji na wolne i otwarte oprogramowanie.

(18) Przez wolne i otwarte oprogramowanie rozumie się oprogramowanie, którego kod źródłowy jest ogólnie dostępny i którego licencja zapewnia wszystkim prawo do bezpłatnego dostępu do niego, używania go, modyfikowania i redystrybucji. Wolne i otwarte oprogramowanie jest opracowywane, utrzymywane i dystrybuowane jako ogólnodostępne, w tym za pośrednictwem platform internetowych. W odniesieniu do podmiotów gospodarczych objętych zakresem stosowania niniejszego rozporządzenia zakresem stosowania niniejszego rozporządzenia powinno być objęte wyłącznie wolne i otwarte oprogramowanie udostępniane na rynku, a zatem dostarczane w ramach działalności handlowej w celu dystrybucji lub wykorzystywania. Przy określaniu handlowego lub niehandlowego charakteru działalności nie należy zatem brać pod uwagę samych tylko okoliczności, w jakich produkt z elementami cyfrowymi został opracowany, ani sposobu, w jaki jego opracowanie zostało sfinansowane. Dokładniej rzecz ujmując, do celów niniejszego rozporządzenia i w odniesieniu do podmiotów gospodarczych objętych jego zakresem, aby zapewnić wyraźne rozróżnienie między etapami opracowywania i dostarczania, dostarczanie produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie, które nie są monetyzowane przez ich producentów, nie powinno być uznawane za działalność handlową. Ponadto dostarczanie produktów z elementami cyfrowymi kwalifikujących się jako komponenty wolnego i otwartego oprogramowania przeznaczone do wbudowania przez innych producentów do ich własnych produktów z elementami cyfrowymi powinno być uznawane za udostępnianie na rynku tylko wtedy, gdy pierwotny producent monetyzuje dany komponent. Na przykład sam fakt, że produkt z elementami cyfrowymi będący otwartym oprogramowaniem jest wspierany finansowo przez producentów lub że producenci uczestniczą w opracowywaniu takiego produktu, nie powinien sam w sobie przesądzać o tym, że działalność ta ma charakter handlowy. Również regularne wydawanie nowych wersji nie powinno samo w sobie prowadzić do wniosku, że produkt z elementami cyfrowymi jest dostarczany w ramach działalności handlowej. Wreszcie do celów niniejszego rozporządzenia opracowywanie przez organizacje nienastawione na zysk produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie nie powinno być uznawane za działalność handlową pod warunkiem że dana organizacja została założona w formie, która gwarantuje wykorzystanie całego zysku po odjęciu kosztów do osiągnięcia celów nienastawionych na zysk. Niniejsze rozporządzenie nie ma zastosowania do osób fizycznych lub prawnych, które tworzą kod źródłowy dla produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie poza ich zakresem odpowiedzialności.

(19) Biorąc pod uwagę, że wiele produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie, które publikuje się, lecz nie udostępnia na rynku w rozumieniu niniejszego rozporządzenia, ma duże znaczenie dla cyberbezpieczeństwa, osoby prawne, które trwale wspierają rozwój takich produktów, które są przeznaczone do celów działalności handlowej, i które to osoby odgrywają główną rolę w gwarantowaniu opłacalności tych produktów (opiekuni otwartego oprogramowania), powinny podlegać mniej restrykcyjnemu i dostosowanemu do potrzeb systemowi regulacyjnemu. Opiekuni otwartego oprogramowania to m.in. niektóre fundacje oraz podmioty, które opracowują i publikują wolne i otwarte oprogramowanie w kontekście biznesowym, w tym podmioty nienastawione na zysk. System regulacyjny powinien uwzględniać ich szczególny charakter i zgodność z rodzajem nakładanych obowiązków. Powinien on obejmować wyłącznie produkty z elementami cyfrowymi kwalifikujące się jako wolne i otwarte oprogramowanie, które ostatecznie są przeznaczone do celów działalności handlowej, np. do wykorzystania w usługach komercyjnych lub w monetyzowanych produktach z elementami cyfrowymi. Do celów tego systemu regulacyjnego zamiar wykorzystania w monetyzowanych produktach z elementami cyfrowymi obejmuje przypadki, w których producenci wbudowujący dany komponent do własnych produktów z elementami cyfrowymi albo regularnie przyczyniają się do rozwoju tego komponentu, albo udzielają regularnego wsparcia finansowego, aby zapewnić ciągłość istnienia oprogramowania. Udzielanie stałego wsparcia na rzecz rozwoju produktu z elementami cyfrowymi obejmuje między innymi hosting platform współpracy, na których opracowywane jest oprogramowanie, i zarządzanie tymi platformami, hosting kodu źródłowego lub oprogramowania, zarządzanie lub gospodarowanie produktami z elementami cyfrowymi kwalifikującymi się jako wolne i otwarte oprogramowanie, a także kierowanie opracowywaniem takich produktów. Biorąc pod uwagę, że mniej restrykcyjny i dostosowany do potrzeb system regulacyjny nie nakłada na tych, którzy działają jak opiekunowie otwartego oprogramowania, takich samych obowiązków jak te, które spoczywają na mocy niniejszego rozporządzenia na tych, którzy działają jak producenci, opiekunom nie należy zezwalać na umieszczanie oznakowania CE na produktach z elementami cyfrowymi, których opracowywanie wspierają.

(20) Hosting produktów z elementami cyfrowymi w otwartych repozytoriach, w tym poprzez systemy zarządzania pakietami lub na platformach współpracy, nie stanowi sam w sobie udostępniania na rynku produktów z elementami cyfrowymi. Dostawców takich usług należy uznawać za dystrybutorów wyłącznie wtedy, gdy udostępniają takie oprogramowanie na rynku, a tym samym w ramach działalności handlowej dostarczają je do dystrybucji lub wykorzystywania na rynku unijnym.

(21) Aby wspierać i ułatwiać należytą staranność producentów, którzy wbudowują do swoich produktów z elementami cyfrowymi komponenty będące wolnym i otwartym oprogramowaniem, a niepodlegające zasadniczym wymaganiom w zakresie cyberbezpieczeństwa określonym w niniejszym rozporządzeniu, Komisja powinna mieć możliwość ustanowienia dobrowolnych programów poświadczania bezpieczeństwa w drodze aktu delegowanego uzupełniającego niniejsze rozporządzenie albo w drodze zwrócenia się na podstawie art. 48 rozporządzenia (UE) 2019/881 z wnioskiem o europejski system certyfikacji cyberbezpieczeństwa, który uwzględni specyfikę modeli opracowywania wolnego i otwartego oprogramowania. Programy poświadczania bezpieczeństwa powinny być opracowane w taki sposób, aby poświadczenie bezpieczeństwa mogły inicjować lub finansować nie tylko osoby fizyczne lub prawne opracowujące lub przyczyniające się do opracowania produktu z elementami cyfrowymi kwalifikującego się jako wolne i otwarte oprogramowanie, ale również osoby trzecie, takie jak producenci, którzy wbudowują takie produkty do własnych produktów z elementami cyfrowymi, użytkownicy lub unijne i krajowe administracje publiczne.

(22) Z uwagi na cele niniejszego rozporządzenia w kwestii cyberbezpieczeństwa publicznego oraz w trosce o zwiększenie orientacji sytuacyjnej państw członkowskich co do zależności Unii od komponentów oprogramowania, a szczególnie od komponentów będących potencjalnie wolnym i otwartym oprogramowaniem, specjalna grupa współpracy administracyjnej (ADCO) ustanowiona niniejszym rozporządzeniem powinna mieć możliwość podjęcia decyzji o wspólnym przeprowadzeniu oceny zależności Unii. Organy nadzoru rynku powinny mieć możliwość zwrócenia się do producentów kategorii produktów z elementami cyfrowymi określonych przez ADCO o przedłożenie zestawień podstawowych materiałów do produkcji oprogramowania, wygenerowanych na podstawie niniejszego rozporządzenia. W trosce o ochronę poufności zestawień podstawowych materiałów do produkcji oprogramowania organy nadzoru rynku powinny przekazywać ADCO istotne informacje o zależności w sposób zanonimizowany i zagregowany.

(23) Skuteczność wdrażania niniejszego rozporządzenia będzie również zależała od dostępności odpowiednich umiejętności w zakresie cyberbezpieczeństwa. Na poziomie Unii w różnych dokumentach programowych i politycznych, w tym w komunikacie Komisji z dnia 18 kwietnia 2023 r. pt. "Wyeliminowanie niedoboru talentów w dziedzinie cyberbezpieczeństwa w celu zwiększenia konkurencyjności, wzrostu gospodarczego i odporności UE" oraz w konkluzjach Rady z dnia 22 maja 2023 r. w sprawie polityki UE w zakresie cyberobrony, dostrzeżono brak umiejętności w dziedzinie cyberbezpieczeństwa w Unii oraz potrzebę stawienia czoła takim wyzwaniom w pierwszej kolejności, zarówno w sektorze publicznym, jak i prywatnym. W trosce o skuteczne wdrożenie niniejszego rozporządzenia państwa członkowskie powinny zapewnić dostępność wystarczających zasobów na potrzeby naboru odpowiedniego personelu w organach nadzoru rynku i w jednostkach oceniających zgodność, aby mogły one wykonywać zadania określone w niniejszym rozporządzeniu. Środki te powinny zwiększyć mobilność siły roboczej w dziedzinie cyberbezpieczeństwa i uatrakcyjnić związane z nią ścieżki kariery. Powinny one również sprawić, że siła robocza w dziedzinie cyberbezpieczeństwa będzie bardziej odporna i zróżnicowana, również pod względem płci. Państwa członkowskie powinny zatem podjąć kroki, aby zapewnić, że zadania te będą wykonywane przez odpowiednio wyszkolonych specjalistów posiadających niezbędne umiejętności w dziedzinie cyberbezpieczeństwa. Analogicznie producenci powinni zapewniać, by ich personel posiadał umiejętności niezbędne do wywiązywania się z obowiązków określonych w niniejszym rozporządzeniu. Państwa członkowskie i Komisja, zgodnie ze swoimi prerogatywami i kompetencjami oraz ze szczególnymi zadaniami powierzonymi im na mocy niniejszego rozporządzenia, powinny podjąć środki wspierające producentów, a w szczególności mikroprzedsiębiorstwa oraz małe i średnie przedsiębiorstwa, w tym przedsiębiorstwa typu startup, również w obszarach takich jak rozwój umiejętności, aby mogły wywiązywać się z obowiązków określonych w niniejszym rozporządzeniu. Ponadto, ponieważ dyrektywa (UE) 2022/2555 zobowiązuje państwa członkowskie do przyjęcia w ramach ich krajowych strategii cyberbezpieczeństwa polityk promujących i rozwijających szkolenia w dziedzinie cyberbezpieczeństwa oraz umiejętności z zakresu cyberbezpieczeństwa, przyjmując takie strategie, państwa członkowskie mogą ponadto rozważyć uwzględnienie zapotrzebowania na umiejętności z zakresu cyberbezpieczeństwa wynikające z niniejszego rozporządzenia, w tym potrzeb co do przekwalifikowania i podnoszenia kwalifikacji.

(24) Bezpieczny internet jest niezbędny do funkcjonowania infrastruktury krytycznej i potrzebny całemu społeczeństwu. Celem dyrektywy (UE) 2022/2555 jest zapewnienie wysokiego poziomu cyberbezpieczeństwa usług świadczonych przez podmioty kluczowe i ważne, o których mowa w art. 3 tej dyrektywy, w tym przez dostawców infrastruktury cyfrowej, którzy wspierają główne funkcje otwartego internetu, zapewniają dostęp do internetu oraz usługi internetowe. Ważne jest zatem, aby produkty z elementami cyfrowymi, które są niezbędne dostawcom infrastruktury cyfrowej do zapewnienia funkcjonowania internetu, były opracowywane w sposób bezpieczny oraz spełniały ugruntowane standardy bezpieczeństwa internetowego. Celem niniejszego rozporządzenia, które ma zastosowanie do wszelkiego sprzętu i oprogramowania, które można podłączyć do internetu, jest również ułatwienie dostawcom infrastruktury cyfrowej spełnienia wymogów dotyczących łańcucha dostaw określonych w dyrektywie (UE) 2022/2555 poprzez zadbanie o to, aby produkty z elementami cyfrowymi wykorzystywane przez tych dostawców do świadczenia usług były opracowywane w sposób bezpieczny oraz aby dostawcy ci w odpowiednim czasie otrzymywali aktualizacje zabezpieczeń takich produktów.

(25) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/745 9  ustanawia przepisy dotyczące wyrobów medycznych, a rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/746 10  ustanawia przepisy dotyczące wyrobów medycznych do diagnostyki in vitro. Te rozporządzenia dotyczą ryzyka w cyberprzestrzeni i zastosowano w nich szczególne podejścia, do których odniesiono się również w niniejszym rozporządzeniu. Konkretnie w rozporządzeniach (UE) 2017/745 i (UE) 2017/746 określono zasadnicze wymagania dotyczące wyrobów medycznych, które funkcjonują za pośrednictwem systemu elektronicznego lub które same są oprogramowaniem. W zakres tych rozporządzeń wchodzą również niektóre rodzaje oprogramowania niewbudowanego, a przyjęto w nim także podejście oparte na całym cyklu życia. Wymagania te zobowiązują producentów do opracowywania i tworzenia produktów z zastosowaniem zasad zarządzania ryzykiem oraz w ramach podejścia obejmującego określenie wymagań dotyczących środków bezpieczeństwa IT, jak również odpowiednich procedur oceny zgodności. Ponadto od grudnia 2019 r. obowiązują szczegółowe wytyczne w zakresie cyberbezpieczeństwa wyrobów medycznych, w których udzielono producentom wyrobów medycznych, w tym wyrobów do diagnostyki in vitro, wskazówek, jak spełnić wszystkie odpowiednie zasadnicze wymagania w odniesieniu do cyberbezpieczeństwa określone w załączniku I do każdego z tych rozporządzeń. Produkty z elementami cyfrowymi, do których zastosowanie ma którekolwiek z tych rozporządzeń, nie powinny zatem podlegać niniejszemu rozporządzeniu.

(26) W zakres niniejszego rozporządzenia nie wchodzą produkty z elementami cyfrowymi opracowane lub zmodyfikowane wyłącznie do celów bezpieczeństwa narodowego lub obronności ani produkty specjalnie zaprojektowane do przetwarzania informacji niejawnych. Zachęca się państwa członkowskie do zapewnienia takiego samego lub wyższego poziomu ochrony tych produktów jak w przypadku produktów objętych zakresem niniejszego rozporządzenia.

(27) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/2144 11  ustanawia wymogi dotyczące homologacji typu pojazdów oraz ich układów i komponentów, wprowadza pewne wymogi w zakresie cyberbezpieczeństwa, m. in. dotyczące funkcjonowania certyfikowanego systemu zarządzania cyberbezpieczeństwem, aktualizacji oprogramowania, obejmujące politykę i procesy organizacji dotyczące ryzyka w cyberprzestrzeni związanego z całym cyklem życia pojazdów, wyposażenia i usług zgodnie z mającymi zastosowanie regulaminami Organizacji Narodów Zjednoczonych dotyczącymi specyfikacji technicznych i cyberbezpieczeństwa, w szczególności z Regulaminem ONZ nr 155 - Jednolite przepisy dotyczące homologacji pojazdów w zakresie cyberbezpieczeństwa i systemu zarządzania bezpieczeństwem 12 , a także przewiduje określone procedury oceny zgodności. W obszarze lotnictwa głównym celem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139 13  jest ustanowienie i utrzymanie wysokiego, jednolitego poziomu bezpieczeństwa lotnictwa cywilnego w Unii. Ustanowiono w nim ramy zasadniczych wymogów dotyczących zdatności do lotu lotniczych wyrobów, części i wyposażenia, w tym oprogramowania, w których ujęto również obowiązki w zakresie ochrony przed zagrożeniami dla bezpieczeństwa informacji. Proces certyfikacji na mocy rozporządzenia (UE) 2018/1139 gwarantuje poziom pewności, który jest również celem niniejszego rozporządzenia. Produkty z elementami cyfrowymi, do których zastosowanie ma rozporządzenie (UE) 2019/2144, oraz produkty certyfikowane zgodnie z rozporządzeniem (UE) 2018/1139 nie powinny zatem podlegać zasadniczym wymaganiom w zakresie cyberbezpieczeństwa i procedurom oceny zgodności określonym w niniejszym rozporządzeniu.

(28) W niniejszym rozporządzeniu ustanawia się horyzontalne przepisy w zakresie cyberbezpieczeństwa, które nie ograniczają się do konkretnych sektorów czy do niektórych produktów z elementami cyfrowymi. Można jednak wprowadzić unijne przepisy sektorowe lub dotyczące konkretnych produktów określające wymogi odnoszące się do wszystkich lub niektórych rodzajów ryzyka objętych zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu. W takich przypadkach stosowanie niniejszego rozporządzenia do produktów z elementami cyfrowymi objętych innymi przepisami unijnymi ustanawiającymi wymogi odnoszące się do wszystkich lub niektórych rodzajów ryzyka objętych zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu może zostać ograniczone lub podlegać wyłączeniu, jeżeli takie ograniczenie lub wyłączenie jest spójne z ogólnymi ramami regulacyjnymi mającymi zastosowanie do tych produktów i jeżeli przepisy sektorowe zapewniają co najmniej taki sam poziom ochrony jak ten przewidziany w niniejszym rozporządzeniu. Komisja jest uprawniona do przyjmowania aktów delegowanych w celu uzupełnienia niniejszego rozporządzenia poprzez wskazanie takich produktów i przepisów. Niniejsze rozporządzenie zawiera przepisy szczegółowe precyzujące jego powiązania z obowiązującym prawem Unii, do którego należy stosować takie ograniczenia lub wyłączenia.

(29) W trosce o możliwość skutecznej naprawy udostępnionych na rynku produktów z elementami cyfrowymi i przedłużenia ich trwałości należy przewidzieć odstępstwo w zakresie części zamiennych. To odstępstwo powinno dotyczyć zarówno części zamiennych służących do naprawy starszych produktów udostępnionych przed datą rozpoczęcia stosowania niniejszego rozporządzenia, jak i części zamiennych, które zostały już poddane procedurze oceny zgodności na podstawie niniejszego rozporządzenia.

(30) Rozporządzenie delegowane Komisji (UE) 2022/30 14  stanowi, że do niektórych urządzeń radiowych zastosowanie ma szereg zasadniczych wymagań określonych w art. 3 ust. 3 lit. d), e) i f) dyrektywy Parlamentu Europejskiego i Rady 2014/53/UE 15 , dotyczących niepożądanego wpływu na sieć, wykorzystania zasobów sieciowych w nieodpowiedni sposób, danych osobowych i prywatności oraz oszustw. W decyzji wykonawczej Komisji C (2022) 5637 z dnia 5 sierpnia 2022 r. w sprawie wniosku o normalizację skierowanego do Europejskiego Komitetu Normalizacyjnego oraz do Europejskiego Komitetu Normalizacyjnego Elektrotechniki ustanowiono wymogi dotyczące opracowania konkretnych norm doprecyzowujących sposób, w jaki należy podejść do tych zasadniczych wymagań. Zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzeniu obejmują wszystkie elementy zasadniczych wymagań, o których mowa w art. 3 ust. 3 lit. d), e) i f) dyrektywy 2014/53/UE. Co więcej, zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzeniu są zgodne z celami wymogów dotyczących określonych norm zawartych w tym wniosku o normalizację. Ponadto gdy Komisja uchyli lub zmieni rozporządzenie delegowane (UE) 2022/30 z takim skutkiem, że przestanie ono mieć zastosowanie do określonych produktów objętych tym rozporządzeniem, Komisja i europejskie organizacje normalizacyjne powinny uwzględnić prace normalizacyjne przeprowadzone w kontekście decyzji wykonawczej C(2022) 5637 przy przygotowywaniu i opracowywaniu norm zharmonizowanych w celu ułatwienia wykonania niniejszego rozporządzenia. W okresie przejściowym stosowania niniejszego rozporządzenia Komisja powinna wydać wytyczne dla producentów podlegających niniejszemu rozporządzeniu, którzy podlegają również rozporządzeniu delegowanemu (UE) 2022/30, aby ułatwić im wykazywanie zgodności z tymi dwoma rozporządzeniami.

(31) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/2853 16  ma charakter uzupełniający w stosunku do niniejszego rozporządzenia. W dyrektywie tej określono przepisy dotyczące odpowiedzialności za produkty wadliwe, tak aby osoby poszkodowane mogły dochodzić rekompensaty za szkodę wyrządzoną przez takie produkty. Ustanowiono w niej zasadę, że producent produktu jest odpowiedzialny za szkody spowodowane brakiem bezpieczeństwa produktu niezależnie od winy (odpowiedzialność na zasadzie ryzyka). W przypadku gdy brak bezpieczeństwa polega na braku aktualizacji zabezpieczeń po wprowadzeniu produktu do obrotu, a produkt ten spowoduje szkodę, producenta można pociągnąć do odpowiedzialności. W niniejszym rozporządzeniu należy określić obowiązki producenta w zakresie dostarczania takich aktualizacji zabezpieczeń.

(32) Niniejsze rozporządzenie nie powinno naruszać przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 17 , w tym przepisów dotyczących ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń dotyczących ochrony danych mających świadczyć o zgodności z tym rozporządzeniem prowadzonych przez administratorów i podmioty przetwarzające operacji przetwarzania. Takie operacje mogą być dokonywane w produktach z elementami cyfrowymi. Najważniejsze elementy rozporządzenia (UE) 2016/679 to uwzględnianie ochrony danych w fazie projektowania, domyślna ochrona danych i ogólnie pojęte cyberbezpieczeństwo. Dzięki zapewnieniu ochrony konsumentów i organizacji przed ryzykiem w cyberprzestrzeni ustanowione w niniejszym rozporządzeniu zasadnicze wymagania w zakresie cyberbezpieczeństwa mają się też przyczynić do lepszej ochrony danych osobowych i prywatności osób fizycznych. Należy rozważyć możliwości synergii zarówno w obszarze normalizacji, jak i certyfikacji poszczególnych aspektów cyberbezpieczeństwa w ramach współpracy między Komisją, europejskimi organizacjami normalizacyjnymi, Agencją Unii Europejskiej ds. Cyberbezpieczeństwa, Europejską Radą Ochrony Danych ustanowioną rozporządzeniem (UE) 2016/679 oraz krajowymi organami nadzorczymi odpowiedzialnymi za ochronę danych. Należy także zapewnić synergię między niniejszym rozporządzeniem a unijnymi przepisami o ochronie danych w dziedzinie nadzoru rynku i egzekwowania przepisów. W tym celu krajowe organy nadzoru rynku wyznaczone na podstawie niniejszego rozporządzenia powinny współpracować z organami nadzorującymi stosowanie unijnych przepisów o ochronie danych. Te ostatnie powinny także mieć dostęp do informacji istotnych dla realizacji ich zadań.

(33) W zakresie, w jakim ich produkty wchodzą w zakres niniejszego rozporządzenia, dostawcy europejskich portfeli tożsamości cyfrowej, o których mowa w art. 5a ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 18 , powinni przestrzegać zarówno horyzontalnych zasadniczych wymagań w zakresie cyberbezpie- czeństwa określonych w niniejszym rozporządzeniu, jak i szczególnych wymogów bezpieczeństwa określonych w art. 5a rozporządzenia (UE) nr 910/2014. Aby ułatwić zapewnienie zgodności, dostawcom portfeli należy umożliwić wykazanie zgodności europejskich portfeli tożsamości cyfrowej z wymogami określonymi odpowiednio w niniejszym rozporządzeniu i w rozporządzeniu (UE) nr 910/2014 poprzez certyfikowanie swoich produktów w ramach europejskiego programu certyfikacji cyberbezpieczeństwa ustanowionego na podstawie rozporządzenia (UE) 2019/881, w odniesieniu do którego Komisja określiła w drodze aktów delegowanych domniemanie zgodności z niniejszym rozporządzeniem, w zakresie, w jakim certyfikat lub jego części obejmują te wymogi.

(34) W celu zadbania o to, aby te produkty były projektowane, opracowywane i produkowane zgodnie z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu, wbudowując komponenty pozyskiwane od osób trzecich do produktów z elementami cyfrowymi na etapie projektowania i opracowywania, producenci powinni postępować z należytą starannością w odniesieniu do tych komponentów, w tym komponentów będących wolnym i otwartym oprogramowaniem, które nie zostały udostępnione na rynku. Odpowiedni poziom należytej staranności zależy od charakteru i poziomu ryzyka w cyberprzestrzeni związanego z danym komponentem, w związku z czym powinna ona obejmować co najmniej jedno z następujących działań: sprawdzenie w stosownych przypadkach, czy producent komponentu wykazał zgodność z niniejszym rozporządzeniem, m.in. poprzez sprawdzenie, czy komponent został opatrzony oznakowaniem CE; sprawdzenie, czy komponent podlega regularnej aktualizacji zabezpieczeń, np. poprzez sprawdzenie historii aktualizacji zabezpieczeń; sprawdzenie, czy komponent nie charakteryzuje się podatnościami zarejestrowanymi w europejskiej bazie danych dotyczących podatności utworzonej na podstawie art. 12 ust. 2 dyrektywy (UE) 2022/2555 lub w innych publicznie dostępnych bazach danych dotyczących podatności; lub przeprowadzenie dodatkowych testów bezpieczeństwa. Obowiązki dotyczące postępowania w przypadku wykrycia podatności określone w niniejszym rozporządzeniu, z których producenci muszą się wywiązać przy wprowadzaniu produktu z elementami cyfrowymi do obrotu i w okresie wsparcia, mają zastosowanie do produktów z elementami cyfrowymi w całości, w tym do wszystkich zintegrowanych z nimi komponentów. Gdy w ramach obowiązku należytej staranności producent produktu z elementami cyfrowymi zidentyfikuje podatność w danym komponencie, w tym w komponencie będącym wolnym i otwartym oprogramowaniem, powinien poinformować osobę lub podmiot produkujący lub utrzymujący ten komponent, zbadać podatność i ją usunąć oraz, w stosownych przypadkach, dostarczyć tej osobie lub temu podmiotowi zastosowaną poprawkę zabezpieczeń.

(35) Zaraz po upływie przejściowego okresu stosowania niniejszego rozporządzenia producent produktu z elementami cyfrowymi, który zawiera co najmniej jeden komponent pochodzący od osób trzecich również podlegających niniejszemu rozporządzeniu, może nie być w stanie sprawdzić w ramach obowiązku należytej staranności, czy producenci tych komponentów wykazali zgodność z niniejszym rozporządzeniem, na podstawie sprawdzenia na przykład, czy komponenty te zostały opatrzone oznakowaniem CE. Może tak być w przypadku, gdy komponenty zostały wbudowane, zanim niniejsze rozporządzenie zaczęło mieć zastosowanie do ich producentów. Wtedy producent wbudowujący takie komponenty powinien zachować należytą staranność za pomocą innych środków.

(36) Aby mogły podlegać swobodnemu przepływowi na rynku wewnętrznym, produkty z elementami cyfrowymi powinny być w sposób widoczny, czytelny i nieusuwalny opatrzone oznakowaniem CE, które świadczy o ich zgodności z niniejszym rozporządzeniem. Państwa członkowskie nie powinny bez powodu utrudniać wprowadzania do obrotu produktów z elementami cyfrowymi zgodnych z wymogami określonymi w niniejszym rozporządzeniu i posiadających oznakowanie CE. Ponadto podczas targów, wystaw i pokazów lub podobnych imprez państwa członkowskie nie powinny uniemożliwiać prezentowania lub używania produktu z elementami cyfrowymi, który nie jest zgodny z niniejszym rozporządzeniem, w tym jego prototypów, pod warunkiem że dany produkt ma widoczne oznaczenie, które wskazuje, że nie jest on zgodny z niniejszym rozporządzeniem i nie będzie udostępniany na rynku, zanim nie będzie z nim zgodny.

(37) Aby zapewnić producentom możliwość wydawania oprogramowania do celów testowania przed poddaniem produktów z elementami cyfrowymi ocenie zgodności, państwa członkowskie nie powinny uniemożliwiać udostępniania nieukończonego oprogramowania, takiego jak wersje alfa, wersje beta lub kandydaci do wydania (ang. release candidate), pod warunkiem że takie nieukończone oprogramowanie zostanie udostępnione wyłącznie na okres niezbędny do jego przetestowania i uzyskania informacji zwrotnych. Producenci powinni zagwarantować, że oprogramowanie udostępniane na tych warunkach będzie wydawane dopiero po przeprowadzeniu oceny ryzyka oraz że będzie ono w jak najszerszym zakresie zgodne z wymogami bezpieczeństwa dotyczącymi właściwości produktów z elementami cyfrowymi określonymi w niniejszym rozporządzeniu. Producenci powinni także w jak najszerszym zakresie wdrożyć wymogi dotyczące postępowania w przypadku wykrycia podatności. Producenci nie powinni zmuszać użytkowników do aktualizacji do wersji, które wydano wyłącznie do celów testowania.

(38) W trosce o to, aby produkty z elementami cyfrowymi po wprowadzeniu ich do obrotu nie stwarzały ryzyka w cyberprzestrzeni dla osób i organizacji, należy określić zasadnicze wymagania w zakresie cyberbezpieczeństwa dotyczące takich produktów. Te zasadnicze wymagania w zakresie cyberbezpieczeństwa, w tym wymagania dotyczące postępowania w przypadku wykrycia podatności, mają zastosowanie do każdego jednostkowego produktu z elementami cyfrowymi wprowadzanego do obrotu, niezależnie od tego, czy produkt z elementami cyfrowymi jest wytwarzany jako pojedynczy egzemplarz, czy seryjnie. Na przykład w przypadku danego rodzaju produktu każdy pojedynczy produkt z elementami cyfrowymi powinien w momencie wprowadzania go do obrotu otrzymywać wszystkie dostępne poprawki lub aktualizacje zabezpieczeń mające na celu rozwiązanie istotnych problemów związanych z bezpieczeństwem. Jeżeli takie produkty z elementami cyfrowymi zostaną następnie zmodyfikowane za pomocą środków fizycznych lub cyfrowych w sposób nieprzewidziany przez producenta w pierwotnej ocenie ryzyka i mogący oznaczać, że nie spełniają one już odpowiednich zasadniczych wymagań w zakresie cyberbezpieczeństwa, taką modyfikację należy uznać za istotną. Na przykład naprawy można uznać za operacje w zakresie utrzymania pod warunkiem że nie modyfikują one produktu z elementami cyfrowymi już wprowadzonego do obrotu w sposób, który może wpływać na jego zgodność z obowiązującymi wymaganiami lub zmienić przeznaczenie, pod kątem którego dokonano oceny produktu.

(39) Podobnie jak w przypadku fizycznych napraw lub modyfikacji produkt z elementami cyfrowymi należy uznać za istotnie zmodyfikowany poprzez zmianę oprogramowania, jeżeli aktualizacja oprogramowania zmienia przeznaczenie produktu, a zmian tych producent nie przewidział w pierwotnej ocenie ryzyka, lub gdy z powodu aktualizacji oprogramowania zmienił się charakter zagrożenia lub wzrósł poziom ryzyka w cyberprzestrzeni, a zaktualizowana wersja produktu została udostępniona na rynku. Gdy aktualizacje zabezpieczeń, których celem jest zmniejszenie poziomu ryzyka w cyberprzestrzeni produktu z elementami cyfrowymi, nie zmieniają przeznaczenia produktu z elementami cyfrowymi, nie uznaje się ich za istotną modyfikację. Zazwyczaj wliczają się w to sytuacje, w których aktualizacje zabezpieczeń wiążą się jedynie z niewielkimi korektami kodu źródłowego. Może tak być na przykład, gdy aktualizacja zabezpieczeń dotyczy znanej podatności i polega m.in. na modyfikacji funkcji lub wydajności produktu z elementami cyfrowymi, lecz wyłącznie w celu obniżenia poziomu ryzyka w cyberprzestrzeni. Podobnie drobne aktualizacje funkcjonalności, takie jak ulepszenia wizualne lub dodanie nowych piktogramów lub nowych języków do interfejsu użytkownika, zasadniczo nie powinny być uznawane za istotne modyfikacje. Natomiast gdy aktualizacje cech zmieniają pierwotnie zamierzone funkcje, rodzaj lub wydajność produktu z elementami cyfrowymi i spełniają powyższe kryteria, należy je uznać za istotną modyfikację, ponieważ dodanie nowych funkcji zazwyczaj skutkuje szerszą płaszczyzną ataku, zwiększając tym samym ryzyko w cyberprzestrzeni. Może tak być na przykład w razie dodania do aplikacji nowego elementu z danymi wejściowymi, wymagającego od producenta zapewnienia odpowiedniej walidacji danych wejściowych. Przy ocenie, czy aktualizację cech uznaje się za istotną modyfikację, nie ma znaczenia, czy dostarcza się ją jako odrębną aktualizację, czy w połączeniu z aktualizacją zabezpieczeń. Komisja powinna wydać wytyczne, jak stwierdzić, co stanowi istotną modyfikację.

(40) Biorąc pod uwagę iteracyjny charakter rozwoju oprogramowania, producenci, którzy w wyniku późniejszych istotnych modyfikacji danego produktu wprowadzili do obrotu kolejne wersje oprogramowania, powinni mieć możliwość dostarczania aktualizacji zabezpieczeń w okresie wsparcia wyłącznie na potrzeby tej wersji oprogramowania, którą wprowadzili do obrotu jako ostatnią. Powinni mieć taką możliwość tylko wtedy, gdy użytkownicy odnośnych poprzednich wersji produktu mają bezpłatny dostęp do wersji produktu wprowadzonej do obrotu jako ostatnia i nie ponoszą dodatkowych kosztów związanych z dostosowaniem środowiska sprzętu lub oprogramowania, w którym działa ich produkt. Chodzi tu na przykład o przypadek, gdy modernizacja stacjonarnego systemu operacyjnego nie wymaga nowego sprzętu, takiego jak szybsza jednostka centralna lub obszerniejsza pamięć. W okresie wsparcia producent powinien jednak nadal spełniać inne wymogi dotyczące postępowania w przypadku wykrycia podatności, takie jak obowiązek dysponowania strategią skoordynowanego ujawniania podatności lub środkami ułatwiającymi wymianę informacji na temat potencjalnych podatności w odniesieniu do wszystkich późniejszych istotnie zmodyfikowanych wersji oprogramowania wprowadzonego do obrotu. Producenci powinni mieć możliwość dostarczania drobnych aktualizacji zabezpieczeń lub aktualizacji funkcjonalności, które nie stanowią istotnej modyfikacji, jedynie do najnowszej wersji lub podwersji oprogramowania, które nie zostały istotnie zmodyfikowane. Jednocześnie, w razie gdy urządzenie, takie jak smartfon, nie jest kompatybilne z najnowszą wersją systemu operacyjnego, z którą zostało pierwotnie dostarczone, w okresie wsparcia producent powinien stale dostarczać aktualizacje zabezpieczeń co najmniej do najnowszej kompatybilnej wersji systemu operacyjnego.

(41) Zgodnie z powszechnie przyjętą koncepcją istotnej modyfikacji w odniesieniu do produktów objętych unijnym prawodawstwem harmonizacyjnym za każdym razem, gdy następuje istotna modyfikacja, która może wpłynąć na zgodność produktu z elementami cyfrowymi z niniejszym rozporządzeniem, lub gdy zmienia się przeznaczenie produktu, należy sprawdzić zgodność produktu z elementami cyfrowymi oraz, w stosownych przypadkach, poddać go nowej ocenie zgodności. W stosownych przypadkach, jeśli producent przeprowadza ocenę zgodności z udziałem strony trzeciej, należy powiadomić stronę trzecią o zmianach, które mogą prowadzić do istotnych modyfikacji.

(42) Kiedy produkt z elementami cyfrowymi jest przedmiotem "odnowienia", "konserwacji" i "naprawy", zgodnie z definicjami zawartymi w art. 2 pkt 18, 19 i 20 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1781 19 , niekoniecznie skutkuje to istotną modyfikacją produktu, na przykład jeśli nie zmienia przeznaczenia ani funkcji oraz jeśli nie wpływają na poziom ryzyka. Natomiast unowocześnienie produktu z elementami cyfrowymi przez producenta może skutkować zmianami w sposobie projektowania i opracowywania produktu i z tego względu może wpływać na przeznaczenie oraz na zgodność z wymogami określonymi w niniejszym rozporządzeniu.

(43) Produkt z elementami cyfrowymi należy uznać za ważny, jeśli negatywny wpływ wykorzystania potencjalnych podatności w produkcie może być dotkliwy, między innymi z uwagi na funkcję związaną z cyberbezpieczeństwem lub funkcję wiążącą się ze znacznym ryzykiem wystąpienia niekorzystnych skutków pod względem intensywności i zdolności do zakłócenia, kontrolowania lub spowodowania szkód w dużej liczbie innych produktów z elementami cyfrowymi bądź zaszkodzenia zdrowiu, bezpieczeństwu lub ochronie użytkowników przez bezpośrednią manipulację, takie jak funkcja systemu centralnego, w tym funkcja zarządzania siecią, kontroli konfiguracji, wirtualizacji lub przetwarzania danych osobowych. W szczególności podatności w produktach z elementami cyfrowymi posiadających funkcje związane z cyberbezpieczeństwem, takie jak menedżer uruchamiania systemu, mogą prowadzić do rozprzestrzeniania się problemów z bezpieczeństwem w całym łańcuchu dostaw. Dotkliwość wpływu incydentu może wzrosnąć także wówczas, gdy produkt głównie pełni funkcję systemu centralnego, w tym funkcję zarządzania siecią, kontroli konfiguracji, wirtualizacji lub przetwarzania danych osobowych.

(44) Niektóre kategorie produktów z elementami cyfrowymi należy poddać bardziej rygorystycznym procedurom oceny zgodności przy jednoczesnym zachowaniu proporcjonalnego podejścia. W tym celu ważne produkty z elementami cyfrowymi należy podzielić na dwie klasy, odzwierciedlające poziom ryzyka w cyberprzestrzeni powiązanego z tymi kategoriami produktów. Incydent z udziałem ważnych produktów z elementami cyfrowymi, które należą do klasy II, może prowadzić do poważniejszych negatywnych skutków niż incydent z udziałem ważnych produktów z elementami cyfrowymi, które należą do klasy I, na przykład ze względu na charakter ich funkcji związanej z cyberbezpieczeństwem lub ze względu na działanie innej funkcji, która wiąże się ze znacznym ryzykiem wystąpienia niekorzystnych skutków. Na takie poważniejsze skutki produktów z elementami cyfrowymi, które należą do klasy II, może wskazywać funkcja związana z cyberbezpieczeństwem lub inna funkcja, która wiąże się ze znacznym ryzykiem wystąpienia niekorzystnych skutków znacznie poważniejszych niż w przypadku produktów zaliczonych do klasy I, albo obie takie funkcje. Ważne produkty z elementami cyfrowymi należące do klasy II powinny zatem podlegać bardziej rygorystycznej procedurze oceny zgodności.

(45) Ważne produkty z elementami cyfrowymi, o których mowa w niniejszym rozporządzeniu, należy rozumieć jako produkty, które posiadają podstawową funkcjonalność kategorii ważnych produktów z elementami cyfrowymi określonej w niniejszym rozporządzeniu. Na przykład w niniejszym rozporządzeniu określono kategorie ważnych produktów z elementami cyfrowymi, które na podstawie ich podstawowej funkcjonalności zdefiniowano jako zapory sieciowe lub systemy wykrywania włamań lub zapobiegania włamaniom należące do klasy II. W związku z tym zapory sieciowe lub systemy wykrywania włamań lub zapobiegania włamaniom podlegają obowiązkowej ocenie zgodności przez stronę trzecią. Nie dotyczy to innych produktów z elementami cyfrowymi niesklasyfikowanych jako ważne produkty z elementami cyfrowymi, które mogą obejmować zapory sieciowe lub systemy wykrywania włamań lub zapobiegania włamaniom. Komisja powinna przyjąć akt wykonawczy w celu stworzenia opisu technicznego kategorii ważnych produktów z elementami cyfrowymi, które należą do klas I i II określonych w niniejszym rozporządzeniu.

(46) Kategorie produktów krytycznych z elementami cyfrowymi określone w niniejszym rozporządzeniu posiadają funkcję związaną z cyberbezpieczeństwem i wypełniają funkcję, która wiąże się ze znacznym ryzykiem negatywnych skutków pod względem intensywności i zdolności do zakłócenia, kontrolowania lub spowodowania szkód w dużej liczbie innych produktów z elementami cyfrowymi przez bezpośrednią manipulację. Ponadto te kategorie produktów z elementami cyfrowymi uznaje się za krytyczne zależności dla podmiotów kluczowych, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555. Kategorie produktów krytycznych z elementami cyfrowymi określone w załączniku do niniejszego rozporządzenia już powszechnie podlegają, ze względu na ich krytyczność, różnym formom certyfikacji i są również objęte europejskim systemem certyfikacji cyberbezpieczeń- stwa opartym na wspólnych kryteriach (EUCC) określonym w rozporządzeniu wykonawczym Komisji (UE) 2024/482 20 . Dlatego też aby zapewnić odpowiednią wspólną ochronę cyberbezpieczeństwa produktów krytycznych z elementami cyfrowymi w Unii, właściwe i proporcjonalne byłoby objęcie takich kategorii produktów obowiązkowym europejskim certyfikatem cyberbezpieczeństwa w drodze aktu delegowanego, jeżeli istnieje już odpowiedni europejski system certyfikacji cyberbezpieczeństwa obejmujący te produkty, a Komisja przeprowadziła już ocenę potencjalnego wpływu planowanej obowiązkowej certyfikacji na rynek. W tej ocenie należy wziąć pod uwagę zarówno podaż, jak i popyt - w tym to, czy popyt na produkty z elementami cyfrowymi zarówno po stronie państw członkowskich, jak i użytkowników jest dostatecznie duży, by wymagać obowiązkowej europejskiej certyfikacji cyberbezpieczeństwa - a także przeznaczenie produktów z elementami cyfrowymi, w tym krytyczne zależności podmiotów kluczowych od nich, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555. W ocenie należy również przeanalizować potencjalny wpływ obowiązkowej certyfikacji na dostępność tych produktów na rynku wewnętrznym oraz na zdolność i gotowość państw członkowskich do wdrożenia odpowiednich europejskich systemów certyfikacji cyberbezpieczeństwa.

(47) Akty delegowane wprowadzające wymóg obowiązkowej europejskiej certyfikacji cyberbezpieczeństwa powinny określać, które produkty z elementami cyfrowymi posiadające podstawową funkcjonalność kategorii produktów krytycznych z elementami cyfrowymi określonej w niniejszym rozporządzeniu mają podlegać obowiązkowej certyfikacji, a także wskazywać wymagany poziom uzasadnienia zaufania, który powinien być co najmniej "istotny". Wymagany poziom uzasadnienia zaufania powinien być proporcjonalny do poziomu ryzyka w cyberprzestrzeni, jakie niesie ze sobą produkt z elementami cyfrowymi. Na przykład jeżeli produkt z elementami cyfrowymi posiada podstawową funkcjonalność kategorii produktów krytycznych z elementami cyfrowymi określonej w niniejszym rozporządzeniu i jest przeznaczony do stosowania w środowisku wrażliwym lub krytycznym, tak jak w przypadku produktów przeznaczonych do użytku przez podmioty kluczowe, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555, może on wymagać najwyższego poziomu uzasadnienia zaufania.

(48) Aby zapewnić w Unii odpowiednią wspólną ochronę cyberbezpieczeństwa produktów z elementami cyfrowymi, których podstawowe funkcje pozwalają zaliczyć je do kategorii produktów krytycznych z elementami cyfrowymi określonej w niniejszym rozporządzeniu, Komisja powinna być również uprawniona do przyjmowania aktów delegowanych w celu zmiany niniejszego rozporządzenia poprzez dodanie lub wycofanie kategorii produktów krytycznych z elementami cyfrowymi, w odniesieniu do których producenci mogliby być zobowiązani do uzyskania europejskiego certyfikatu cyberbezpieczeństwa w ramach europejskiego programu certyfikacji cyberbezpieczeństwa na podstawie rozporządzenia (UE) 2019/881 w celu wykazania zgodności z niniejszym rozporządzeniem. Do kategorii tych można dodać nową kategorię produktów krytycznych z elementami cyfrowymi, jeżeli podmioty kluczowe, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555, są od niej w istotny sposób zależne, jeżeli występują w nich incydenty lub wykorzystywane podatności, co może prowadzić do zakłóceń w krytycznych łańcuchach dostaw. Oceniając potrzebę dodania lub wycofania kategorii produktów krytycznych z elementami cyfrowymi w drodze aktu delegowanego, Komisja powinna mieć możliwość uwzględnienia, czy państwa członkowskie zidentyfikowały na poziomie krajowym produkty z elementami cyfrowymi, które mają podstawowe znaczenie dla odporności podmiotów kluczowych, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555 i coraz częściej są celem cyberataków w łańcuchu dostaw o potencjalnie poważnych skutkach zakłócających. Ponadto Komisja powinna móc uwzględnić wyniki skoordynowanego na poziomie Unii szacowania ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw przeprowadzonego zgodnie z art. 22 dyrektywy (UE) 2022/2555.

(49) Przygotowując środki służące wdrożeniu niniejszego rozporządzenia, Komisja powinna zadbać o usystematyzowane i regularne konsultacje z szerokim gronem interesariuszy. Powinny one mieć miejsce w szczególności w przypadku, gdy Komisja ocenia potrzebę ewentualnych aktualizacji wykazów kategorii ważnych lub krytycznych produktów z elementami cyfrowymi, ponieważ przy tej ocenie należy skonsultować się z odpowiednimi producentami i uwzględnić ich opinie, aby przeanalizować ryzyko w cyberprzestrzeni, a także bilans kosztów i korzyści związanych z uznaniem takich kategorii produktów za ważne lub krytyczne.

(50) W niniejszym rozporządzeniu odniesiono się w sposób ukierunkowany do ryzyka w cyberprzestrzeni. Produkty z elementami cyfrowymi mogą jednak stwarzać inne ryzyko w zakresie bezpieczeństwa, które nie zawsze jest związane z cyberbezpieczeństwem, lecz może być konsekwencją naruszenia bezpieczeństwa. Takie rodzaje ryzyka powinny nadal być uregulowane przez właściwe unijne prawodawstwo harmonizacyjne inne niż niniejsze rozporządzenie. W przypadku braku mającego zastosowanie unijnego prawodawstwa harmonizacyjnego innego niż niniejsze rozporządzenie te rodzaje ryzyka powinny podlegać rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2023/988 21 . Z tego względu, w świetle ukierunkowanego charakteru niniejszego rozporządzenia, na zasadzie odstępstwa od art. 2 ust. 1 akapit trzeci lit. b) rozporządzenia (UE) 2023/988, do produktów z elementami cyfrowymi, jeżeli nie podlegają one szczegółowym wymogom nałożonym przez inne niż niniejsze rozporządzenie unijne prawodawstwo harmonizacyjne w rozumieniu art. 3 pkt 27 rozporządzenia (UE) 2023/988, w odniesieniu do ryzyka w zakresie bezpieczeństwa nieobjętego niniejszym rozporządzeniem zastosowanie powinny mieć rozdział III sekcja 1, rozdziały V i VII oraz rozdziały IX-XI rozporządzenia (UE) 2023/988.

(51) Produkty z elementami cyfrowymi sklasyfikowane jako systemy sztucznej inteligencji wysokiego ryzyka zgodnie z art. 6 rozporządzenia (UE) 2024/1689 Parlamentu Europejskiego i Rady 22 , wchodzące w zakres niniejszego rozporządzenia, powinny spełniać zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzeniu. Jeżeli te systemy sztucznej inteligencji wysokiego ryzyka spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzeniu, należy je uznać za zgodne z wymogami w zakresie cyberbezpieczeństwa określonymi w art. 15 rozporządzenia (UE) 2024/1689 w takim zakresie, w jakim wymogi te są objęte deklaracją zgodności UE lub jej częściami wydanymi na podstawie niniejszego rozporządzenia. W tym celu ocena ryzyka w cyberprzestrzeni związanego z produktem z elementami cyfrowymi sklasyfikowanym jako system sztucznej inteligencji wysokiego ryzyka zgodnie z rozporządzeniem (UE) 2024/1689, które należy uwzględnić na etapie planowania, projektowania, opracowywania, produkcji, dostarczania i utrzymania takiego produktu zgodnie z wymogami niniejszego rozporządzenia, powinna uwzględniać ryzyko dla cyberodporności systemu sztucznej inteligencji w związku z dokonywanymi przez osoby trzecie próbami zmiany sposobu jego użycia, zachowania lub efektywności, w tym z podatnościami charakterystycznymi dla systemów sztucznej

zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (Dz.U. L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj). inteligencji, takimi jak zatruwanie danych lub ataki polegające na wprowadzeniu do modelu złośliwych danych w celu spowodowania niezamierzonego działania systemu, a także, w stosownych przypadkach, ryzyko dla praw podstawowych zgodnie z rozporządzeniem (UE) 2024/1689. Jeśli chodzi o procedury oceny zgodności dotyczące zasadniczych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktu z elementami cyfrowymi, który wchodzi w zakres niniejszego rozporządzenia i jest sklasyfikowany jako system sztucznej inteligencji wysokiego ryzyka, co do zasady zastosowanie powinny mieć nie odpowiednie przepisy niniejszego rozporządzenia, ale art. 43 rozporządzenia (UE) 2024/1689. Zasada ta nie powinna jednak powodować zmniejszenia niezbędnego poziomu bezpieczeństwa w odniesieniu do ważnych lub krytycznych produktów z elementami cyfrowymi, o których mowa w niniejszym rozporządzeniu. Z tego względu, na zasadzie odstępstwa od tej zasady, systemy sztucznej inteligencji wysokiego ryzyka, które wchodzą w zakres rozporządzenia (UE) 2024/1689 i są również ważnymi lub krytycznymi produktami z elementami cyfrowymi, o których mowa w niniejszym rozporządzeniu, oraz do których zastosowanie ma procedura oceny zgodności opierająca się na kontroli wewnętrznej, o której mowa w załączniku VI do rozporządzenia (UE) 2024/1689, powinny podlegać przewidzianym w niniejszym rozporządzeniu procedurom oceny zgodności w zakresie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w niniejszym rozporządzeniu. W takim przypadku do wszystkich pozostałych aspektów objętych rozporządzeniem (UE) 2024/1689 należy stosować odpowiednie przepisy dotyczące oceny zgodności opierającej się na kontroli wewnętrznej określone w załączniku VI do tego rozporządzenia.

(52) W celu poprawy bezpieczeństwa produktów z elementami cyfrowymi wprowadzanych na rynek wewnętrzny niezbędne jest określenie zasadniczych wymagań w zakresie cyberbezpieczeństwa mających zastosowanie do takich produktów. Zasadnicze wymagania w zakresie cyberbezpieczeństwa powinny pozostawać bez uszczerbku dla skoordynowanego na poziomie Unii szacowania ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw, o którym mowa w art. 22 dyrektywy (UE) 2022/2555, które uwzględnia zarówno techniczne, jak i - w stosownych przypadkach - pozatechniczne czynniki ryzyka, takie jak nadmierny wpływ państw trzecich na dostawców. Co więcej, powinny one pozostawać bez uszczerbku dla uprawnienia państw członkowskich do określania dodatkowych wymogów, które uwzględniają czynniki pozatechniczne w celu zapewnienia wysokiego poziomu odporności, w tym te określone w zaleceniu Komisji (UE) 2019/534 23 , w unijnej skoordynowanej ocenie ryzyka w zakresie cyberbezpieczeństwa sieci 5G oraz w unijnym zestawie narzędzi na potrzeby cyberbezpieczeństwa sieci 5G uzgodnionym przez Grupę Współpracy ustanowioną w art. 14 dyrektywy (UE) 2022/2555.

(53) Producenci produktów objętych zakresem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/1230 24 , które są również produktami z elementami cyfrowymi zdefiniowanymi w niniejszym rozporządzeniu, powinni spełniać zarówno zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzeniu, jak i zasadnicze wymogi w zakresie zdrowia i bezpieczeństwa określone w rozporządzeniu (UE) 2023/1230. Zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzeniu oraz niektóre zasadnicze wymagania określone w rozporządzeniu (UE) 2023/1230 mogą dotyczyć podobnych rodzajów ryzyka w cyberprzestrzeni. W związku z tym zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu mogłaby ułatwić spełnienie określonych w rozporządzeniu (UE) 2023/1230 zasadniczych wymagań, które obejmują również niektóre rodzaje ryzyka w cyberprzestrzeni, w szczególności tych dotyczących zabezpieczenia przed uszkodzeniem oraz bezpieczeństwa i niezawodności układów sterowania, określonymi w sekcjach 1.1.9 i 1.2.1 załącznika III do tego rozporządzenia. Producent musi wykazać taką synergię, stosując na przykład, w miarę dostępności, normy zharmonizowane lub inne specyfikacje techniczne uwzględniające odpowiednie zasadnicze wymagania w zakresie cyberbezpieczeństwa zgodnie z oceną ryzyka obejmującą te rodzaje ryzyka w cyberprzestrzeni. Producent powinien również przestrzegać obowiązujących procedur oceny zgodności określonych w niniejszym rozporządzeniu i w rozporządzeniu (UE) 2023/1230. W pracach przygotowawczych wspierających wdrożenie niniejszego rozporządzenia i rozporządzenia (UE) 2023/1230 oraz w powiązanych procesach normalizacyjnych Komisja i europejskie organizacje normalizacyjne powinny promować spójne metody oceny ryzyka w cyberprzestrzeni oraz uwzględniania tego ryzyka w normach zharmonizowanych w odniesieniu do odpowiednich zasadniczych wymagań. W szczególności Komisja i europejskie organizacje normalizacyjne powinny uwzględnić niniejsze rozporządzenie przy przygotowywaniu i opracowywaniu norm zharmonizowanych, aby ułatwić wdrożenie rozporządzenia (UE) 2023/1230, w szczególności w odniesieniu do aspektów cyberbezpieczeństwa związanych z elementami, o których mowa w sekcjach 1.1.9 i 1.2.1 załącznika III do tego rozporządzenia, czyli z zabezpieczeniem przed uszkodzeniem oraz z bezpieczeństwem i niezawodnością układów sterowania. Komisja powinna zapewnić wytyczne, aby wesprzeć producentów, którzy podlegają zarówno niniejszemu rozporządzeniu, jak i rozporządzeniu (UE) 2023/1230, a w szczególności ułatwić wykazanie zgodności z odpowiednimi zasadniczymi wymaganiami określonymi w niniejszym rozporządzeniu i w rozporządzeniu (UE) 2023/1230.

(54) W celu zapewnienia, aby produkty z elementami cyfrowymi były bezpieczne zarówno w momencie wprowadzenia ich do obrotu, jak i przez cały czas oczekiwanego użytkowania produktu z elementami cyfrowymi, konieczne jest określenie zasadniczych wymagań w zakresie cyberbezpieczeństwa dotyczących postępowania w przypadku wykrycia podatności oraz zasadniczych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do właściwości produktów z elementami cyfrowymi. Chociaż producenci powinni przestrzegać wszystkich zasadniczych wymagań w zakresie cyberbezpieczeństwa dotyczących postępowania w przypadku wykrycia podatności w całym okresie wsparcia, powinni oni określić, jakie inne zasadnicze wymagania w zakresie cyberbezpieczeństwa dotyczące właściwości produktu są istotne dla danego rodzaju produktu z elementami cyfrowymi. W tym celu producenci powinni przeprowadzić ocenę ryzyka w cyberprzestrzeni związanego z produktem z elementami cyfrowymi, aby zidentyfikować istotne ryzyko oraz wskazać istotne zasadnicze wymagania w zakresie cyberbezpieczeństwa, jak również aby udostępniać swoje produkty bez znanych i możliwych do wykorzystania podatności, które mogłyby mieć wpływ na bezpieczeństwo tych produktów, oraz właściwie zastosować odpowiednie normy zharmonizowane, wspólne specyfikacje lub normy europejskie lub międzynarodowe.

(55) Jeżeli niektóre zasadnicze wymagania w zakresie cyberbezpieczeństwa nie mają zastosowania do danego produktu z elementami cyfrowymi, producent powinien przedstawić jasne uzasadnienie tego faktu w ocenie ryzyka w cyberprzestrzeni zawartej w dokumentacji technicznej. Taka sytuacja może zaistnieć w przypadku, gdy zasadnicze wymaganie w zakresie cyberbezpieczeństwa jest niezgodne z charakterem danego produktu z elementami cyfrowymi. Na przykład przeznaczenie produktu z elementami cyfrowymi może wymagać od producenta przestrzegania powszechnie uznanych norm interoperacyjności, nawet jeżeli jego zabezpieczenia nie są już uznawane za najnowocześniejsze. Podobnie inne przepisy prawa Unii nakładają na producentów obowiązek stosowania szczególnych wymogów w zakresie interoperacyjności. W przypadku gdy zasadnicze wymaganie w zakresie cyberbezpieczeństwa nie ma zastosowania do produktu z elementami cyfrowymi, ale producent zidentyfikował ryzyko w cyberprzestrzeni w odniesieniu do tego zasadniczego wymagania w zakresie cyberbezpieczeństwa, powinien on wprowadzić środki w celu wyeliminowania tego ryzyka innymi sposobami, na przykład poprzez ograniczenie przeznaczenia produktu do zaufanego środowiska lub poprzez poinformowanie użytkowników o tym ryzyku.

(56) Jednym z najważniejszych środków, które użytkownicy powinni zastosować w celu ochrony swoich produktów z elementami cyfrowymi przed cyberatakami, jest jak najszybsza instalacja najnowszych dostępnych aktualizacji zabezpieczeń. Producenci powinni zatem tak projektować swoje produkty i wprowadzać takie procedury, aby produkty z elementami cyfrowymi zawierały funkcje, które umożliwiają automatyczne powiadamianie o aktualizacjach zabezpieczeń, ich dystrybucję, pobieranie i instalację, zwłaszcza w przypadku towarów konsumenckich. Powinni oni również zapewniać możliwość zatwierdzania pobierania i instalowania aktualizacji zabezpieczeń na ostatnim etapie. Użytkownicy powinni zachować możliwość dezaktywacji automatycznych aktualizacji za pomocą jasnego i łatwego w użyciu mechanizmu, popartego jasnymi instrukcjami dotyczącymi sposobu, w jaki użytkownicy mogą to uczynić. Wymogi dotyczące automatycznych aktualizacji określone w załączniku do niniejszego rozporządzenia nie mają zastosowania do produktów z elementami cyfrowymi, które w pierwszej kolejności mają stanowić komponenty innych produktów. Nie mają one również zastosowania do produktów z elementami cyfrowymi, w przypadku których użytkownicy z zasady nie spodziewaliby się automatycznych aktualizacji, w tym produktów z elementami cyfrowymi przeznaczonych do wykorzystania w profesjonalnych sieciach ICT, a zwłaszcza w krytycznych i przemysłowych środowiskach, w których automatyczna aktualizacja mogłaby spowodować ingerencję w operacje. Niezależnie od tego, czy produkt z elementami cyfrowymi jest zaprojektowany w sposób zakładający automatyczne aktualizacje, czy też nie, jego producent powinien informować użytkowników o podatnościach i niezwłocznie udostępniać aktualizacje zabezpieczeń. W przypadku gdy produkt z elementami cyfrowymi posiada interfejs użytkownika lub podobne środki techniczne umożliwiające bezpośrednią interakcję z użytkownikami, producent powinien korzystać z takich funkcji w celu poinformowania użytkowników, że okres wsparcia ich produktu z elementami cyfrowymi zakończył się. Komunikaty powinny ograniczać się do tego, co jest konieczne do zapewnienia skutecznego odbioru tych informacji, i nie powinny mieć negatywnego wpływu na użytkowanie produktu z elementami cyfrowymi.

(57) Aby zwiększyć przejrzystość procedur postępowania w przypadku wykrycia podatności oraz zadbać o to, aby użytkownicy nie byli zobowiązani do instalowania nowych aktualizacji funkcji tylko po to, aby uzyskać najnowsze aktualizacje zabezpieczeń, producenci powinni zapewnić, jeżeli jest to technicznie wykonalne, aby nowe aktualizacje zabezpieczeń były dostarczane oddzielnie od aktualizacji funkcji.

(58) We wspólnym komunikacie Komisji i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa z dnia 20 czerwca 2023 r. zatytułowanym "Europejska strategia bezpieczeństwa gospodarczego" stwierdzono, że Unia musi zmaksymalizować korzyści płynące z jej otwartości gospodarczej, a jednocześnie zminimalizować ryzyko związane z zależnościami gospodarczymi od dostawców wysokiego ryzyka za pomocą wspólnych ram strategicznych na rzecz bezpieczeństwa gospodarczego Unii. W przypadku produktów z elementami cyfrowymi zależność od dostawców wysokiego ryzyka może stanowić ryzyko strategiczne, które należy wyeliminować na poziomie Unii, zwłaszcza gdy produkty z elementami cyfrowymi są przeznaczone do użytku przez podmioty kluczowe, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555. Ryzyko takie może być związane między innymi z jurysdykcją mającą zastosowanie do producenta, charakterystyką jego struktury własnościowej oraz powiązaniami kontrolnymi z rządem państwa trzeciego, w którym ma on siedzibę, w szczególności jeżeli dane państwo trzecie uczestniczy w szpiegostwie gospodarczym lub nieodpowiedzialnych zachowaniach w cyberprzestrzeni, a jego ustawodawstwo umożliwia arbitralny dostęp do wszelkiego rodzaju operacji lub danych przedsiębiorstwa, w tym szczególnie chronionych danych handlowych, i może nakładać obowiązki do celów wywiadowczych bez demokratycznych mechanizmów kontroli i równowagi, mechanizmu nadzoru, sprawiedliwości proceduralnej lub prawa do odwołania się do niezależnego sądu lub trybunału. Określając powagę ryzyka w cyberprzestrzeni w rozumieniu niniejszego rozporządzenia, Komisja i organy nadzoru rynku, w zakresie swoich kompetencji określonych w niniejszym rozporządzeniu, powinny również uwzględnić pozatechniczne czynniki ryzyka, w szczególności te ustalone w wyniku skoordynowanego na poziomie Unii szacowania ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw, przeprowadzonego zgodnie z art. 22 dyrektywy (UE) 2022/2555.

(59) Aby zapewnić bezpieczeństwo produktów z elementami cyfrowymi po ich wprowadzeniu do obrotu, producenci powinni zdefiniować okres wsparcia, który powinien odzwierciedlać przewidywany czas użytkowania danego produktu z elementami cyfrowymi. Definiując okres wsparcia, producent powinien wziąć pod uwagę w szczególności uzasadnione oczekiwania użytkowników, charakter produktu, a także odpowiednie prawo Unii określające cykl życia produktów z elementami cyfrowymi. Producenci powinni mieć również możliwość uwzględnienia innych istotnych czynników. Kryteria powinny być stosowane w sposób zapewniający proporcjonalność przy definiowaniu okresu wsparcia. Na żądanie producent powinien przekazać organom nadzoru rynku informacje, które zostały uwzględnione przy definiowaniu okresu wsparcia produktu z elementami cyfrowymi.

(60) Okres wsparcia, w którym producent zapewnia skuteczną obsługę podatności, powinien wynosić co najmniej pięć lat, chyba że okres użytkowania produktu z elementami cyfrowymi jest krótszy niż pięć lat - wówczas producent powinien zapewnić obsługę podatności przez ten okres. Jeżeli można racjonalnie oczekiwać, że dany produkt z elementami cyfrowymi będzie użytkowany dłużej niż pięć lat, jak często ma to miejsce w przypadku komponentów sprzętowych, takich jak płyty główne lub mikroprocesory, urządzeń sieciowych, takich jak routery, modemy lub przełączniki sieciowe, a także oprogramowania, np. systemów operacyjnych lub narzędzi do edycji wideo, producenci powinni odpowiednio zapewnić dłuższe okresy wsparcia. W szczególności produkty z elementami cyfrowymi przeznaczone do użytku w środowisku przemysłowym, takie jak systemy kontroli przemysłowej, są często użytkowane przez znacznie dłuższe okresy. Producent powinien móc zdefiniować okres wsparcia krótszy niż pięć lat tylko wtedy, gdy jest to uzasadnione charakterem danego produktu z elementami cyfrowymi i gdy oczekuje się, że produkt ten będzie użytkowany krócej niż pięć lat, w którym to przypadku okres wsparcia powinien odpowiadać przewidywanemu okresowi użytkowania. Na przykład okres użytkowania aplikacji do ustalania kontaktów zakaźnych przeznaczonej na czas pandemii może być ograniczony do czasu trwania pandemii. Ponadto niektóre aplikacje z natury mogą być udostępniane wyłącznie na zasadzie subskrypcji, w szczególności w przypadku, gdy po wygaśnięciu subskrypcji aplikacja staje się niedostępna dla użytkownika i w związku z tym nie jest już używana.

(61) Aby zapewnić obsługę podatności po zakończeniu okresów wsparcia produktów z elementami cyfrowymi, producenci powinni rozważyć udostępnienie kodu źródłowego takich produktów z elementami cyfrowymi albo innym przedsiębiorstwom, które zobowiążą się do dalszego świadczenia usług w zakresie obsługi podatności, albo do wiadomości publicznej. W przypadku gdy producenci udostępniają kod źródłowy innym przedsiębiorstwom, powinni móc chronić własność produktu z elementami cyfrowymi i zapobiegać publicznemu rozpowszechnianiu kodu źródłowego, na przykład w drodze ustaleń umownych.

(62) W celu zadbania o to, aby producenci w całej Unii określali podobne okresy wsparcia dla porównywalnych produktów z elementami cyfrowymi, grupa ADCO powinna publikować statystyki dotyczące średnich okresów wsparcia zdefiniowanych przez producentów dla poszczególnych kategorii produktów z elementami cyfrowymi oraz wydawać wytyczne wskazujące odpowiednie okresy wsparcia dla takich kategorii. Ponadto aby zapewnić zharmonizowane podejście na całym rynku wewnętrznym, Komisja powinna mieć możliwość przyjmowania aktów delegowanych w celu zdefiniowania minimalnych okresów wsparcia dla konkretnych kategorii produktów, jeżeli z danych dostarczonych przez organy nadzoru rynku wynika, że okresy wsparcia zdefiniowane przez producentów są systematycznie niezgodne z kryteriami definiowania okresów wsparcia przewidzianymi w niniejszym rozporządzeniu lub że producenci w różnych państwach członkowskich w nieuzasadniony sposób definiują różne okresy wsparcia.

(63) Producenci powinni utworzyć pojedynczy punkt kontaktowy, który umożliwi użytkownikom łatwą komunikację z nimi, w tym w celu zgłaszania podatności produktu z elementem cyfrowym i otrzymywania informacji o takich podatnościach. Powinni oni zapewnić użytkownikom łatwy dostęp do takiego pojedynczego punktu kontaktowego i wyraźnie informować o jego dostępności oraz dbać o to, by informacje te były aktualizowane. Jeżeli producenci postanowią oferować narzędzia zautomatyzowane, np. czatboty, powinni również podawać numer telefonu lub inne cyfrowe możliwości kontaktu, takie jak adres e-mail lub formularz kontaktowy. Pojedynczy punkt kontaktowy nie powinien opierać się wyłącznie na zautomatyzowanych narzędziach.

(64) Producenci powinni udostępniać na rynku swoje produkty z elementami cyfrowymi w bezpiecznej domyślnej konfiguracji i bezpłatnie dostarczać użytkownikom aktualizacje zabezpieczeń. Producenci powinni mieć możliwość odstąpienia od tych zasadniczych wymagań w zakresie cyberbezpieczeństwa wyłącznie w przypadku produktów dostosowanych do indywidualnych potrzeb, które są montowane w konkretnym celu dla konkretnego użytkownika biznesowego, i wyłącznie wówczas, gdy zarówno producent, jak i użytkownik wyraźnie zgodzili się na inny zestaw warunków umownych.

(65) Producenci powinni jednocześnie powiadamiać za pośrednictwem pojedynczej platformy sprawozdawczej zarówno zespół reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) wyznaczony na koordynatora, jak i ENISA o aktywnie wykorzystywanych podatnościach obecnych w produktach z elementami cyfrowymi, a także o poważnych incydentach mających wpływ na bezpieczeństwo tych produktów. Powiadomienia te powinny być przekazywane z wykorzystaniem punktu zgłoszeń elektronicznych CSIRT wyznaczonego na koordynatora i powinny być jednocześnie dostępne dla ENISA.

(66) Producenci powinni zgłaszać aktywnie wykorzystywane podatności w celu zadbania o to, aby CSIRT-y wyznaczone na koordynatorów i ENISA posiadały odpowiedni przegląd takich podatności i otrzymywały informacje niezbędne do realizacji swoich zadań określonych w dyrektywie (UE) 2022/2555, a także w celu podniesienia ogólnego poziomu cyberbezpieczeństwa podmiotów kluczowych i ważnych, o których mowa w art. 3 tej dyrektywy, oraz zapewnienia skutecznego funkcjonowania organów nadzoru rynku. Ponieważ większość produktów z elementami cyfrowymi jest wprowadzana do obrotu na całym rynku wewnętrznym, każdą podatność wykorzystywaną w produkcie z elementami cyfrowymi należy uznać za zagrożenie dla funkcjonowania rynku wewnętrznego. ENISA powinna, w porozumieniu z producentem, ujawniać naprawione podatności w europejskiej bazie danych dotyczących podatności utworzonej na podstawie art. 12 ust. 2 dyrektywy (UE) 2022/2555. Europejska baza danych dotyczących podatności będzie pomagać producentom w wykrywaniu znanych możliwych do wykorzystania podatności w ich produktach, aby zapewnić wprowadzanie do obrotu bezpiecznych produktów.

(67) Producenci powinni także zgłaszać do CSIRT-u wyznaczonego na koordynatora oraz do ENISA wszelkie poważne incydenty wpływające na bezpieczeństwo produktu z elementami cyfrowymi. Aby zapewnić użytkownikom możliwość szybkiego reagowania na poważne incydenty wpływające na bezpieczeństwo należących do nich produktów z elementami cyfrowymi, producenci powinni informować także użytkowników o wszelkich takich incydentach, a w stosownych przypadkach o wszelkich środkach naprawczych, które użytkownicy mogą zastosować w celu złagodzenia skutków incydentu, na przykład publikując odpowiednie informacje na swoich stronach internetowych lub, jeżeli producent jest w stanie skontaktować się z użytkownikami i jeżeli jest to uzasadnione przez ryzyko w cyberprzestrzeni, docierając bezpośrednio do użytkowników.

(68) Aktywnie wykorzystywane podatności dotyczą przypadków, w których producent ustali, że naruszenie bezpieczeństwa mające wpływ na jego użytkowników lub jakiekolwiek inne osoby fizyczne lub prawne był wynikiem wykorzystania przez podmiot działający w złej wierze wady w jednym z produktów z elementami cyfrowymi udostępnionych na rynku przez producenta. Przykładami takich podatności mogą być niedociągnięcia w funkcjach identyfikacji i uwierzytelniania produktu. Podatności wykrywane bez złych zamiarów do celów testowania w dobrej wierze, analizy, korekty lub ujawniania z myślą o wsparciu bezpieczeństwa lub ochrony właściciela systemu i jego użytkowników nie powinny podlegać obowiązkowi zgłaszania. Z kolei poważne incydenty mające wpływ na bezpieczeństwo produktu z elementami cyfrowymi dotyczą sytuacji, w których incydent cyberbezpieczeństwa wpływa na realizowane przez producenta procesy opracowywania, produkcji lub utrzymania w taki sposób, że mógłby spowodować zwiększone ryzyko w cyberprzestrzeni dla użytkowników lub innych osób. Takim poważnym incydentem może być sytuacja, w której atakujący skutecznie wprowadził złośliwy kod do kanału, za pośrednictwem którego producent udostępnia użytkownikom aktualizacje zabezpieczeń.

(69) Aby zapewnić możliwość szybkiego rozpowszechniania zgłoszeń wśród wszystkich odpowiednich CSIRT-ów wyznaczonych na koordynatorów oraz aby umożliwić producentom składanie jednego zgłoszenia na każdym etapie procesu zgłaszania, ENISA powinna ustanowić pojedynczą platformę sprawozdawczą z krajowymi punktami zgłoszeń elektronicznych. Za bieżące funkcjonowanie pojedynczej platformy sprawozdawczej powinna odpowiadać ENISA. CSIRT-y wyznaczone na koordynatorów powinny informować swoje odpowiednie organy nadzoru rynku o zgłoszonych podatnościach lub incydentach. Pojedyncza platforma sprawozdawcza powinna być zaprojektowana w taki sposób, aby zapewniała poufność zgłoszeń, w szczególności w odniesieniu do podatności, dla których nie jest jeszcze dostępna aktualizacja zabezpieczeń. Ponadto ENISA powinna wprowadzić procedury bezpiecznego i poufnego postępowania z informacjami. Na podstawie zgromadzonych przez siebie informacji ENISA powinna co dwa lata przygotowywać sprawozdanie techniczne na temat nowych tendencji w zakresie ryzyka w cyberprzestrzeni dotyczącego produktów z elementami cyfrowymi oraz przedkładać je Grupie Współpracy ustanowionej zgodnie z art. 14 dyrektywy (UE) 2022/2555.

(70) W wyjątkowych okolicznościach, w szczególności na wniosek producenta, CSIRT wyznaczony na koordynatora, który jako pierwszy otrzymuje zgłoszenie, powinien móc podjąć decyzję o opóźnieniu jego przekazania innym odpowiednim CSIRT-om wyznaczonym na koordynatorów za pośrednictwem pojedynczej platformy sprawozdawczej, jeżeli jest to uzasadnione względami związanymi z cyberbezpieczeństwem i na okres absolutnie niezbędny. CSIRT wyznaczony na koordynatora powinien niezwłocznie poinformować ENISA o decyzji o opóźnieniu i jej powodach, a także o tym, kiedy zamierza dalej rozpowszechniać informacje. Komisja powinna opracować, w drodze aktu delegowanego, specyfikacje dotyczące warunków, w jakich można powołać się na powiązane z cyberbezpieczeństwem podstawy, i powinna współpracować z siecią CSIRT ustanowioną na podstawie art. 15 dyrektywy (UE) 2022/2555 oraz z ENISA przy przygotowywaniu projektu aktu delegowanego. Przykłady powiązanych z cyberbezpieczeństwem podstaw obejmują trwającą procedurę skoordynowanego ujawniania podatności lub sytuacje, w których oczekuje się, że producent wkrótce przedstawi środek łagodzący, a ryzyko w cyberprzestrzeni wynikające z natychmiastowego rozpowszechniania za pośrednictwem pojedynczej platformy sprawozdawczej przewyższa korzyści płynące z takiego działania. Na wniosek CSIRT-u wyznaczonego na koordynatora ENISA powinna mieć możliwość wspierania tego CSIRT-u w powoływaniu się na powiązane z cyberbezpieczeństwem podstawy w odniesieniu do opóźnienia w rozpowszechnianiu zgłoszenia na podstawie informacji, które ENISA otrzymała od tego CSIRT-u na temat decyzji o wstrzymaniu zgłoszenia z powodu tych względów związanych z cyberbezpieczeństwem. Ponadto w szczególnie wyjątkowych okolicznościach ENISA nie powinna jednocześnie otrzymywać wszystkich szczegółów zgłoszenia dotyczącego aktywnie wykorzystywanej podatności. Dotyczy to przypadku, gdy producent zaznacza w swoim zgłoszeniu, że zgłoszona podatność została aktywnie wykorzystana przez podmiot działający w złej wierze i że zgodnie z dostępnymi informacjami nie została ona wykorzystana w żadnym innym państwie członkowskim niż w państwie CSIRT-u wyznaczonego na koordynatora, któremu producent zgłosił podatność, jeżeli jakiekolwiek natychmiastowe dalsze rozpowszechnienie zgłoszonej podatności prawdopodobnie doprowadziłoby do dostarczenia informacji, których ujawnienie byłoby sprzeczne z podstawowymi interesami tego państwa członkowskiego, lub jeżeli zgłoszona podatność stwarza bezpośrednie wysokie ryzyko dla cyberbezpieczeństwa wynikające z dalszego rozpowszechniania. W takich przypadkach ENISA uzyska jedynie równoczesny dostęp do informacji o tym, że producent dokonał zgłoszenia, ogólnych informacji na temat danego produktu z elementami cyfrowymi, informacji o ogólnym charakterze wykorzystania podatności oraz informacji o tym, że producent powołał się na te względy bezpieczeństwa, a zatem wstrzymano przekazanie pełnej treści zgłoszenia. Pełne zgłoszenie powinno następnie zostać udostępnione ENISA i innym odpowiednim CSIRT-om wyznaczonym na koordynatorów, jeżeli CSIRT wyznaczony na koordynatora, który jako pierwszy otrzymał zgłoszenie, stwierdzi, że te względy bezpieczeństwa, odzwierciedlające szczególnie wyjątkowe okoliczności określone w niniejszym rozporządzeniu, przestają istnieć. Jeżeli na podstawie dostępnych informacji ENISA uzna, że istnieje ryzyko systemowe mające wpływ na bezpieczeństwo rynku wewnętrznego, ENISA powinna zalecić CSIRT-owi odbierającemu zgłoszenie, aby przekazał pełne zgłoszenie pozostałym CSIRT-om wyznaczonym na koordynatorów oraz samej ENISA.

(71) Zgłaszając aktywnie wykorzystywaną podatność lub poważny incydent mający wpływ na bezpieczeństwo produktu z elementami cyfrowymi, producenci powinni wskazać, jak wrażliwe ich zdaniem są zgłoszone informacje. CSIRT wyznaczony na koordynatora, który jako pierwszy otrzymał zgłoszenie, powinien uwzględnić te informacje przy ocenie, czy zgłoszenie powoduje wystąpienie wyjątkowych okoliczności, które uzasadniają opóźnienie w przekazaniu zgłoszenia innym odpowiednim CSIRT-om wyznaczonym na koordynatorów z uzasadnionych względów związanych z cyberbezpieczeństwem. Powinien on również uwzględnić te informacje przy ocenie, czy zgłoszenie aktywnie wykorzystywanej podatności powoduje wystąpienie szczególnie wyjątkowych okoliczności, które uzasadniają nieudostępnianie ENISA od razu pełnego zgłoszenia. Ponadto CSIRT-y wyznaczone na koordynatorów powinny mieć możliwość uwzględnienia tych informacji przy określaniu odpowiednich środków mających na celu ograniczenie ryzyka wynikającego z takich podatności i incydentów.

(72) Aby uprościć przekazywanie informacji wymaganych na mocy niniejszego rozporządzenia, z uwzględnieniem innych uzupełniających wymogów sprawozdawczych określonych w przepisach prawa Unii, takich jak rozporządzenie (UE) 2016/679, rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 25 , dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady 26  i dyrektywa (UE) 2022/2555, a także aby zmniejszyć obciążenia administracyjne dla podmiotów, zachęca się państwa członkowskie, aby rozważyły ustanowienie na poziomie krajowym pojedynczych punktów kontaktowych na potrzeby takich wymogów sprawozdawczych. Wykorzystywanie takich krajowych pojedynczych punktów kontaktowych do zgłaszania incydentów bezpieczeństwa na podstawie rozporządzenia (UE) 2016/679 i dyrektywy 2002/58/WE nie powinno mieć wpływu na stosowanie przepisów rozporządzenia (UE) 2016/679 i dyrektywy 2002/58/WE, w szczególności przepisów dotyczących niezależności organów, o których mowa w tych aktach. Ustanawiając pojedynczą platformę sprawozdawczą, o której mowa w niniejszym rozporządzeniu, ENISA powinna uwzględnić możliwość włączenia krajowych punktów zgłoszeń elektronicznych, o których mowa w niniejszym rozporządzeniu, do krajowych pojedynczych punktów kontaktowych, które mogą również przyjmować inne zgłoszenia wymagane na mocy prawa Unii.

(73) Ustanawiając pojedynczą platformę sprawozdawczą, o której mowa w niniejszym rozporządzeniu, oraz aby skorzystać z dotychczasowych doświadczeń, ENISA powinna konsultować się z innymi instytucjami lub agencjami Unii, które zarządzają platformami lub bazami danych podlegającymi rygorystycznym wymogom bezpieczeństwa, takimi jak Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA). ENISA powinna również przeanalizować potencjalną komplementarność z europejską bazą danych dotyczącą podatności utworzoną na podstawie art. 12 ust. 2 dyrektywy (UE) 2022/2555.

(74) Producenci i inne osoby fizyczne i prawne powinni mieć możliwość dobrowolnego zgłaszania CSIRT-owi wyznaczonemu na koordynatora lub ENISA wszelkich podatności zawartych w produkcie z elementami cyfrowymi, cyberzagrożeń, które mogłyby mieć wpływ na profil ryzyka produktu z elementami cyfrowymi, wszelkich incydentów mających wpływ na bezpieczeństwo produktu z elementami cyfrowymi, a także potencjalnych zdarzeń dla cyberbezpieczeństwa, które mogłyby doprowadzić do takiego incydentu.

(75) Państwa członkowskie powinny w miarę możliwości dążyć do wyeliminowania problemów, z którymi mierzą się osoby wyszukujące podatności, w tym ich potencjalnego narażenia na odpowiedzialność karną, zgodnie z prawem krajowym. W związku z tym, że osoby fizyczne i prawne wyszukujące podatności mogą w niektórych państwach członkowskich być narażone na odpowiedzialność karną i cywilną, zachęca się państwa członkowskie do przyjęcia wytycznych przewidujących odstąpienie od postępowania cywilnego lub karnego wobec osób wyszukujących podatności w obszarze bezpieczeństwa informacji oraz zwolnienie ich z odpowiedzialności cywilnej lub karnej za te działania.

(76) Producenci produktów z elementami cyfrowymi powinni wdrożyć politykę skoordynowanego ujawniania podatności, aby ułatwić zgłaszanie podatności przez osoby lub podmioty bezpośrednio producentowi lub pośrednio, a na żądanie anonimowo, za pośrednictwem CSIRT-ów wyznaczonych na koordynatorów do celów skoordynowanego ujawniania podatności zgodnie z art. 12 ust. 1 dyrektywy (UE) 2022/2555. W polityce producentów dotyczącej skoordynowanego ujawniania podatności należy określić ustrukturyzowany proces, w ramach którego podatności zgłaszane są producentowi w sposób umożliwiający mu zdiagnozowanie i wyeliminowanie takich podatności, zanim szczegółowe informacje dotyczące podatności zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Ponadto producenci powinni również rozważyć publikację swojej polityki bezpieczeństwa w formacie nadającym się do odczytu maszynowego. Biorąc pod uwagę fakt, że informacje na temat możliwych do wykorzystania podatności w powszechnie używanych produktach z elementami cyfrowymi mogą być sprzedawane po wysokich cenach na czarnym rynku, producenci takich produktów powinni mieć możliwość korzystania z programów, będących częścią ich polityki skoordynowanego ujawniania podatności, których celem jest zachęcanie do zgłaszania podatności przez zagwarantowanie osobom lub podmiotom uznania oraz wynagrodzenia za ich starania. Są to tak zwane "programy bug bounty".

(77) Aby ułatwić analizę podatności, producenci powinni identyfikować i dokumentować komponenty zawarte w produkcie z elementami cyfrowymi, w tym przez sporządzenie zestawienia podstawowych materiałów do produkcji oprogramowania. Dzięki zestawieniu podstawowych materiałów do produkcji oprogramowania osoby lub podmioty, które produkują, nabywają lub obsługują oprogramowanie, mogą uzyskać informacje podnoszące ich poziom zrozumienia łańcucha dostaw, co przynosi liczne korzyści, w szczególności pomaga producentom i użytkownikom w śledzeniu znanych i nowo pojawiających się podatności oraz ryzyka w cyberprzestrzeni. Szczególnie istotne jest zapewnienie przez producentów, aby ich produkty z elementami cyfrowymi nie zawierały opracowanych przez strony trzecie komponentów, w których mogą występować podatności. Producenci nie powinni być zobowiązani do upubliczniania zestawieniu podstawowych materiałów do produkcji oprogramowania.

(78) W nowych złożonych modelach biznesowych związanych ze sprzedażą przez internet firma działająca online może świadczyć różnorodne usługi. W zależności od charakteru usług świadczonych w odniesieniu do danego produktu z elementami cyfrowymi ten sam podmiot może należeć do różnych kategorii modeli biznesowych lub podmiotów gospodarczych. Jeżeli podmiot świadczy tylko usługi pośrednictwa internetowego w odniesieniu do danego produktu z elementami cyfrowymi i jest jedynie dostawcą internetowej platformy handlowej, zgodnie z definicją zawartą w art. 3 pkt 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/988, nie kwalifikuje się on jako jeden z rodzajów podmiotów gospodarczych w rozumieniu niniejszego rozporządzenia. Jeżeli ten sam podmiot jest dostawcą internetowej platformy handlowej i działa również jako podmiot gospodarczy zdefiniowany w niniejszym rozporządzeniu w odniesieniu do sprzedaży określonych produktów z elementami cyfrowymi, powinien on podlegać obowiązkom określonym w niniejszym rozporządzeniu dla tego rodzaju podmiotu gospodarczego. Na przykład jeżeli dostawca internetowej platformy handlowej również dystrybuuje produkt z elementami cyfrowymi, wówczas w odniesieniu do sprzedaży dystrybuowanego produktu zostałby uznany za dystrybutora. Podobnie jeżeli dany podmiot sprzedaje produkty z elementami cyfrowymi pod własną marką, uznawany byłby za producenta, a zatem musiałby spełniać wymagania mające zastosowanie do producentów. Ponadto niektóre podmioty mogą być uznawane za dostawców usług realizacji zamówień w rozumieniu art. 3 pkt 11 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/1020 27 , jeżeli oferują takie usługi. Takie przypadki wymagałyby oceny indywidualnej. Biorąc pod uwagę znaczącą rolę, jaką internetowe platformy handlowe odgrywają w umożliwianiu handlu elektronicznego, powinny one dążyć do współpracy z organami nadzoru rynku państw członkowskich, aby pomóc zapewnić zgodność produktów z elementami cyfrowymi nabywanych za pośrednictwem internetowych platform handlowych z wymogami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu.

(79) W celu ułatwienia oceny zgodności z wymogami określonymi w niniejszym rozporządzeniu należy przyjąć domniemanie zgodności produktów z elementami cyfrowymi, które są zgodne z normami zharmonizowanymi, w których zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzenia przełożono na szczegółowe specyfikacje techniczne oraz które przyjęto zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1025/2012 28 . W rozporządzeniu tym przewidziano procedurę sprzeciwu wobec norm zharmonizowanych, w przypadku gdy normy takie nie spełniają w pełni wymogów określonych w niniejszym rozporządzeniu. Proces normalizacji powinien zapewniać zrównoważoną reprezentację interesów i faktyczny udział zainteresowanych stron ze społeczeństwa obywatelskiego, w tym organizacji konsumenckich. Należy również uwzględnić normy międzynarodowe zgodne z poziomem ochrony cyberbezpieczeństwa przewidzianym w zasadniczych wymaganiach w zakresie cyberbezpieczeństwa określonych w niniejszym rozporządzeniu, aby ułatwić opracowywanie norm zharmonizowanych i wdrażanie niniejszego rozporządzenia, a także ułatwić przestrzeganie przepisów przedsiębiorstwom, w szczególności mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom, a także przedsiębiorstwom działającym na rynku globalnym.

(80) Terminowe opracowanie norm zharmonizowanych w okresie przejściowym stosowania niniejszego rozporządzenia oraz ich dostępność przed datą rozpoczęcia stosowania niniejszego rozporządzenia będą miały szczególne znaczenie dla jego skutecznego wdrożenia. Dotyczy to w szczególności ważnych produktów z elementami cyfrowymi należących do klasy I. Dostępność norm zharmonizowanych umożliwi producentom takich produktów przeprowadzanie ocen zgodności za pomocą procedury kontroli wewnętrznej, co pozwoli uniknąć zatorów i opóźnień w działaniach jednostek oceniających zgodność.

(81) W rozporządzeniu (UE) 2019/881 ustanowiono europejskie ramy dobrowolnej certyfikacji cyberbezpieczeństwa dotyczącej produktów ICT, procesów ICT i usług ICT. Europejskie programy certyfikacji cyberbezpieczeństwa zapewniają wspólne ramy zaufania dla użytkowników korzystających z produktów z elementami cyfrowymi, które wchodzą w zakres niniejszego rozporządzenia. Niniejsze rozporządzenie powinno zatem stworzyć synergię z rozporządzeniem (UE) 2019/881. W celu ułatwienia oceny zgodności z wymogami określonymi w niniejszym rozporządzeniu produkty z elementami cyfrowymi, które uzyskały certyfikację lub w odniesieniu do których wydano deklarację zgodności w ramach europejskiego programu certyfikacji cyberbezpieczeństwa zgodnie z rozporządzeniem (UE) 2019/881, co zostało określone przez Komisję w akcie wykonawczym, uznaje się za zgodne z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu w zakresie, w jakim europejski certyfikat cyberbezpieczeństwa bądź deklaracja zgodności lub ich części obejmują te wymogi. W świetle niniejszego rozporządzenia, w tym przy przygotowywaniu unijnego kroczącego programu prac zgodnie z rozporządzeniem (UE) 2019/881, należy ocenić potrzebę nowych europejskich programów certyfikacji cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi. W przypadku gdy potrzebny jest nowy program obejmujący produkty z elementami cyfrowymi, na przykład aby ułatwić przestrzeganie niniejszego rozporządzenia, Komisja może zwrócić się do ENISA o przygotowanie propozycji programu zgodnie z art. 48 rozporządzenia (UE) 2019/881. W takich przyszłych europejskich programach certyfikacji cyberbezpieczeństwa obejmujących produkty z elementami cyfrowymi należy uwzględnić zasadnicze wymagania w zakresie cyberbezpieczeństwa i procedury oceny zgodności określone w niniejszym rozporządzeniu oraz ułatwiać zapewnienie zgodności z niniejszym rozporządzeniem. W przypadku europejskich programów certyfikacji cyberbezpieczeństwa, które wejdą w życie przed wejściem w życie niniejszego rozporządzenia, konieczne może być doprecyzowanie szczegółowych aspektów stosowania domniemania zgodności. Komisja powinna być uprawniona do określania, w drodze aktów delegowanych, na jakich warunkach można stosować europejskie programy certyfikacji cyberbezpieczeństwa w celu wykazania zgodności z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu. Co więcej, aby uniknąć nadmiernych obciążeń administracyjnych, na producentach nie powinien spoczywać obowiązek przeprowadzenia oceny zgodności przez stronę trzecią, jak przewidziano w niniejszym rozporządzeniu w odniesieniu do odpowiednich wymogów, jeżeli w ramach takich europejskich programów certyfikacji cyberbezpieczeństwa wydano europejski certyfikat cyberbezpieczeństwa przynajmniej na poziomie "istotny".

(82) Po wejściu w życie rozporządzenia wykonawczego (UE) 2024/482, który dotyczy produktów wchodzących w zakres niniejszego rozporządzenia, takich jak sprzętowe moduły bezpieczeństwa i mikroprocesory, Komisja powinna móc określić, w drodze aktu delegowanego, w jaki sposób EUCC zapewnia domniemanie zgodności z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu lub jego części. Co więcej, w takim akcie delegowanym można określić, w jaki sposób certyfikat wydany w ramach EUCC zwalnia producentów z obowiązku przeprowadzenia oceny przez stronę trzecią, wymaganej na podstawie niniejszego rozporządzenia w odniesieniu do odpowiednich wymogów.

(83) Obecne europejskie ramy normalizacyjne, które opierają się na zasadach nowego podejścia określonych w rezolucji Rady z dnia 7 maja 1985 r. w sprawie nowego podejścia do harmonizacji i norm technicznych oraz na rozporządzeniu (UE) nr 1025/2012, stanowią domyślnie ramy opracowywania norm przewidujących domniemanie zgodności z odpowiednimi zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu. Normy europejskie powinny być oparte na zasadach rynkowych i uwzględniać interes publiczny, a także cele polityki jasno określone we wniosku Komisji skierowanym do co najmniej jednej europejskiej organizacji normalizacyjnej o opracowanie norm zharmonizowanych w ustalonym terminie, a ich podstawą powinien być konsensus. Jednakże w razie braku odpowiednich odniesień do norm zharmonizowanych Komisja powinna mieć możliwość przyjęcia aktów wykonawczych ustanawiających wspólne specyfikacje dotyczące zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w niniejszym rozporządzeniu, pod warunkiem że dzieje się to z należytym poszanowaniem roli i funkcji europejskich organizacji normalizacyjnych, jako wyjątkowe rozwiązanie awaryjne ułatwiające producentowi spełnienie tych zasadniczych wymagań w zakresie cyberbezpieczeństwa w przypadku zablokowania procesu normalizacji lub w przypadku opóźnień w określeniu odpowiednich norm zharmonizowanych. Jeżeli takie opóźnienie wynika ze złożoności technicznej danej normy, Komisja powinna wziąć tę kwestię pod uwagę przed podjęciem decyzji o ustanowieniu wspólnych specyfikacji.

(84) Aby jak najskuteczniej ustanowić wspólne specyfikacje obejmujące zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzeniu, Komisja powinna zaangażować w ten proces odpowiednie zainteresowane strony.

(85) Rozsądny termin oznacza - w kontekście publikacji odniesienia do norm zharmonizowanych w Dzienniku Urzędowym Unii Europejskiej zgodnie z rozporządzeniem (UE) nr 1025/2012 - termin, w którym oczekuje się publikacji w Dzienniku Urzędowym Unii Europejskiej odniesienia do normy, jej sprostowania lub zmiany i który nie powinien przekraczać jednego roku po terminie opracowania normy europejskiej określonym zgodnie z rozporządzeniem (UE) nr 1025/2012.

(86) Aby ułatwić ocenę zgodności z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu, należy przyjąć domniemanie zgodności w odniesieniu do produktów z elementami cyfrowymi, które są zgodne ze wspólnymi specyfikacjami przyjętymi przez Komisję zgodnie z niniejszym rozporządzeniem w celu wyrażenia szczegółowych specyfikacji technicznych dotyczących tych wymogów.

(87) Stosowanie norm zharmonizowanych, wspólnych specyfikacji lub europejskich programów certyfikacji cyberbezpieczeństwa przyjętych na podstawie rozporządzenia (UE) 2019/881, zapewniających domniemanie zgodności w odniesieniu do zasadniczych wymagań w zakresie cyberbezpieczeństwa mających zastosowanie do produktów z elementami cyfrowymi, ułatwi producentom ocenę zgodności. Jeżeli producent zdecyduje się nie stosować takich środków w odniesieniu do niektórych wymogów, musi wskazać w swojej dokumentacji technicznej, w jaki inny sposób osiągnięto zgodność. Ponadto stosowanie przez producentów norm zharmonizowanych, wspólnych specyfikacji lub europejskich programów certyfikacji cyberbezpieczeństwa przyjętych na podstawie rozporządzenia (UE) 2019/881, zapewniających domniemanie zgodności ze strony producentów, ułatwiłoby organom nadzoru rynku kontrolę zgodności produktów z elementami cyfrowymi. W związku z tym producentów produktów z elementami cyfrowymi zachęca się do stosowania takich norm zharmonizowanych, wspólnych specyfikacji lub europejskich programów certyfikacji cyberbezpieczeństwa.

(88) Producenci powinni sporządzić deklarację zgodności UE zawierającą wymagane na podstawie niniejszego rozporządzenia informacje na temat zgodności produktów z elementami cyfrowymi z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu oraz, w stosownych przypadkach, w innym właściwym unijnym prawodawstwie harmonizacyjnym, którym objęty jest produkt z elementami cyfrowymi. Inne akty prawne Unii również mogą nakładać na producentów obowiązek sporządzenia deklaracji zgodności UE. Aby zagwarantować skuteczny dostęp do informacji do celów nadzoru rynku, należy sporządzić jedną deklarację zgodności UE dotyczącą zgodności ze wszystkimi właściwymi aktami prawnymi Unii. Aby zmniejszyć obciążenie administracyjne podmiotów gospodarczych, należy umożliwić, aby ta jedna deklaracja zgodności UE mogła mieć formę folderu złożonego z odpowiednich poszczególnych deklaracji zgodności.

(89) Oznakowanie CE, symbolizujące zgodność produktu, jest widoczną konsekwencją całego procesu obejmującego ocenę zgodności w szerokim znaczeniu. Ogólne zasady regulujące oznakowanie CE ustanowiono w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 765/2008 29 . W niniejszym rozporządzeniu należy ustanowić zasady regulujące umieszczanie oznakowania CE na produktach z elementami cyfrowymi. Oznakowanie CE powinno być jedynym oznakowaniem gwarantującym, że produkty z elementami cyfrowymi spełniają wymogi określone w niniejszym rozporządzeniu.

(90) Aby podmioty gospodarcze mogły wykazać zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu, a organy nadzoru rynku mogły zapewnić zgodność produktów z elementami cyfrowymi udostępnianych na rynku z tymi wymogami, należy ustanowić procedury oceny zgodności. Decyzją Parlamentu Europejskiego i Rady nr 768/2008/WE 30  ustanowiono moduły procedur oceny zgodności proporcjonalnie do poziomu występującego ryzyka oraz wymaganego poziomu bezpieczeństwa. Aby zapewnić spójność między sektorami oraz uniknąć wariantów ad hoc, na tych modułach należy oprzeć procedury oceny zgodności odpowiednie do celów weryfikacji zgodności produktów z elementami cyfrowymi z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu. W procedurze oceny zgodności należy zbadać i zweryfikować wymogi dotyczące zarówno produktu, jak i procesu, obejmujące cały cykl życia produktów z elementami cyfrowymi, w tym planowanie, projektowanie, opracowywanie lub produkcję, testowanie i utrzymanie produktu z elementami cyfrowymi.

(91) Ocena zgodności produktów z elementami cyfrowymi, które w niniejszym rozporządzeniu nie są wymienione jako ważne lub krytyczne produkty z elementami cyfrowymi, może być przeprowadzana przez producenta na własną odpowiedzialność zgodnie z procedurą kontroli wewnętrznej na podstawie modułu A określonego w decyzji 768/2008/WE zgodnie z niniejszym rozporządzeniem. Dotyczy to również przypadków, w których producent zdecyduje się nie stosować w całości lub w części obowiązującej normy zharmonizowanej, wspólnej specyfikacji lub europejskiego programu certyfikacji cyberbezpieczeństwa. Producent zachowuje elastyczność co do możliwości wyboru bardziej rygorystycznej procedury oceny zgodności z udziałem strony trzeciej. W ramach procedury oceny zgodności w kontekście kontroli wewnętrznej producent zapewnia i oświadcza, na swoją wyłączną odpowiedzialność, że produkt z elementami cyfrowymi i procesy producenta spełniają obowiązujące zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w niniejszym rozporządzeniu. Jeżeli ważny produkt z elementami cyfrowymi należy do klasy I, niezbędny jest zwiększony poziom pewności w celu wykazania zgodności z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu. Jeśli producent chce przeprowadzić ocenę zgodności na własną odpowiedzialność (moduł A), powinien stosować normy zharmonizowane, wspólne specyfikacje lub europejskie programy certyfikacji cyberbezpieczeństwa przyjęte na podstawie rozporządzenia (UE) 2019/881 wskazane przez Komisję w akcie wykonawczym. Jeśli producent nie stosuje takich norm zharmonizowanych, wspólnych specyfikacji ani europejskich programów certyfikacji cyberbezpieczeństwa, powinien przeprowadzić ocenę zgodności z udziałem strony trzeciej (w oparciu o moduły B i C lub moduł H). Uwzględniając obciążenie administracyjne nałożone na producenta oraz fakt, że cyberbezpieczeństwo odgrywa ważną rolę na etapie projektowania i opracowywania materialnych i niematerialnych produktów z elementami cyfrowymi, wybrano procedury oceny zgodności oparte na modułach B i C lub module H określonych w decyzji 768/2008/WE jako najbardziej odpowiednie do celów przeprowadzenia oceny zgodności ważnych produktów z elementami cyfrowymi w sposób proporcjonalny i skuteczny. Producent, który organizuje przeprowadzenie oceny zgodności przez stronę trzecią, może wybrać procedurę, która najlepiej odpowiada jego procesom projektowania i produkcji. Biorąc pod uwagę jeszcze większe ryzyko w cyberprzestrzeni związane z użytkowaniem ważnych produktów z elementami cyfrowymi należących do klasy II, ocena zgodności powinna zawsze obejmować stronę trzecią, nawet jeżeli produkt jest w pełni lub częściowo zgodny z normami zharmonizowanymi, wspólnymi specyfikacjami lub europejskimi programami certyfikacji cyberbezpieczeństwa. Producenci ważnych produktów z elementami cyfrowymi sklasyfikowanych jako wolne i otwarte oprogramowanie powinni mieć możliwość stosowania procedury kontroli wewnętrznej opartej na module A, pod warunkiem że udostępnią publicznie dokumentację techniczną.

(92) O ile tworzenie materialnych produktów z elementami cyfrowymi zazwyczaj wymaga od producentów podejmowania istotnych starań na etapach projektowania, opracowywania i produkcji, o tyle tworzenie produktów z elementami cyfrowymi w formie oprogramowania jest skoncentrowane prawie wyłącznie na projektowaniu i opracowywaniu, natomiast etap produkcji odgrywa mniej znaczącą rolę. Niemniej jednak w wielu przypadkach oprogramowanie przed wprowadzeniem do obrotu należy jeszcze skompilować, zbudować, zapakietować, udostępnić do pobierania lub skopiować na nośniki fizyczne. Działania te należy uznać za działania odpowiadające produkcji przy stosowaniu odpowiednich modułów oceny zgodności w celu weryfikacji zgodności produktu z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w niniejszym rozporządzeniu na etapach projektowania, opracowywania i produkcji.

(93) Aby zapewnić proporcjonalność, w przypadku mikroprzedsiębiorstw i małych przedsiębiorstw należy zmniejszyć koszty administracyjne bez wpływu na poziom ochrony cyberbezpieczeństwa produktów z elementami cyfrowymi, które są objęte zakresem stosowania niniejszego rozporządzenia, ani na równe warunki działania dla producentów. Komisja powinna zatem opracować uproszczony formularz dokumentacji technicznej na potrzeby mikroprzedsiębiorstw i małych przedsiębiorstw. Uproszczony formularz dokumentacji technicznej przyjęty przez Komisję powinien zawierać wszystkie obowiązkowe elementy związane z dokumentacją techniczną przewidziane w niniejszym rozporządzeniu oraz określać, w jaki sposób mikroprzedsiębiorstwo lub małe przedsiębiorstwo może zwięźle przedstawić wymagane elementy, takie jak opis projektowania, opracowania i produkcji produktu z elementami cyfrowymi. Formularz taki przyczyniłby się tym samym do zmniejszenia obciążeń administracyjnych związanych z przestrzeganiem przepisów poprzez zapewnienie zainteresowanym przedsiębiorstwom pewności prawnej co do zakresu i szczegółowości przekazywanych informacji. Mikroprzedsiębiorstwa i małe przedsiębiorstwa powinny mieć możliwość wyboru, czy skorzystają z dostępnego im uproszczonego formularza, czy też przedstawią obowiązkowe elementy związane z dokumentacją techniczną w formie rozszerzonej.

(94) Aby promować i chronić innowacje, należy w szczególny sposób uwzględnić interesy producentów, którzy są mikroprzedsiębiorstwami lub małymi lub średnimi przedsiębiorstwami, w szczególności mikroprzedsiębiorstwami i małymi przedsiębiorstwami, w tym przedsiębiorstwami typu startup. W tym celu państwa członkowskie mogą opracowywać inicjatywy skierowane do producentów, którzy są mikroprzedsiębiorstwami lub małymi przedsiębiorstwami, dotyczące między innymi szkoleń, podnoszenia świadomości, komunikacji informacyjnej, testowania i działań stron trzecich w zakresie oceny zgodności, a także tworzenia piaskownic. Tłumaczenia związane z dokumentacją obowiązkową, taką jak dokumentacja techniczna oraz informacje i instrukcje dla użytkownika wymagane na podstawie niniejszego rozporządzenia, a także z komunikacją z organami, mogą stanowić znaczne koszty dla producentów, w szczególności tych mniejszych. Dlatego państwa członkowskie powinny mieć możliwość zdecydowania, aby jednym z języków wskazanych i akceptowanych przez nie do celów dokumentacji sporządzanej przez odpowiednich producentów oraz komunikacji z producentami był język powszechnie rozumiany przez możliwie największą liczbę użytkowników.

(95) Aby ułatwić stosowanie niniejszego rozporządzenia, państwa członkowskie powinny dążyć do zadbania, aby przed datą rozpoczęcia stosowania niniejszego rozporządzenia istniała wystarczająca liczba jednostek notyfikowanych do przeprowadzania ocen zgodności przez stronę trzecią. Komisja powinna wspierać w tym państwa członkowskie i inne odnośne strony, aby uniknąć zatorów i przeszkód, które utrudniają producentom wejście na rynek. Ukierunkowane szkolenia organizowane przez państwa członkowskie, w tym w stosownych przypadkach przy wsparciu Komisji, mogą zwiększyć dostępność wykwalifikowanego personelu, w tym potrzebnego do wspierania działalności jednostek notyfikowanych na podstawie niniejszego rozporządzenia. Ponadto biorąc pod uwagę koszty, jakie może pociągać za sobą ocena zgodności przeprowadzana przez stronę trzecią, należy rozważyć dofinansowanie na poziomie unijnym i krajowym, które zmniejszy koszty ponoszone przez mikroprzedsiębiorstwa i małe przedsiębiorstwa.

(96) W trosce o proporcjonalność, jednostki oceniające zgodność powinny przy ustalaniu opłat za procedury oceny zgodności uwzględniać szczególne interesy i potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, w tym przedsiębiorstw typu startup. Jednostki oceniające zgodność powinny zwłaszcza stosować odpowiednią procedurę sprawdzającą i testy przewidziane w niniejszym rozporządzeniu wyłącznie w stosownych przypadkach i zgodnie z podejściem opartym na analizie ryzyka.

(97) Celem tzw. piaskownic regulacyjnych powinno być wspieranie innowacji i konkurencyjności przedsiębiorstw dzięki stworzeniu kontrolowanych warunków do testowania różnych rozwiązań przed wprowadzeniem do obrotu produktów z elementami cyfrowymi. Piaskownice regulacyjne powinny służyć zwiększaniu pewności prawa z punktu widzenia wszystkich podmiotów objętych zakresem stosowania niniejszego rozporządzenia oraz ułatwiać i przyspieszać dostęp do unijnego rynku produktom z elementami cyfrowymi, zwłaszcza jeżeli oferują je mikroprzedsiębiorstwa i małe przedsiębiorstwa, w tym przedsiębiorstwa typu startup.

(98) Do celów oceny zgodności produktów z elementami cyfrowymi przeprowadzanej przez osobę trzecią krajowe organy notyfikujące powinny notyfikować Komisji i pozostałym państwom członkowskim jednostki oceniające zgodność, pod warunkiem że spełniają one szereg wymogów, w szczególności dotyczących niezależności, kompetencji i braku konfliktu interesów.

(99) W celu zapewnienia spójnego poziomu jakości podczas przeprowadzania oceny zgodności produktów z elementami cyfrowymi należy także określić wymogi w odniesieniu do organów notyfikujących i innych organów uczestniczących w ocenianiu, notyfikowaniu i monitorowaniu jednostek notyfikowanych. System określony w niniejszym rozporządzeniu należy uzupełnić o system akredytacji przewidziany w rozporządzeniu (WE) nr 765/2008. Ponieważ akredytacja stanowi istotny środek weryfikacji kompetencji jednostek oceniających zgodność, powinno się stosować ją również do celów notyfikacji.

(100) Jednostki oceniające zgodność, które akredytowano i notyfikowano na podstawie prawa Unii ustanawiającego wymogi podobne do wymogów zawartych w niniejszym rozporządzeniu, takie jak jednostka oceniająca zgodność notyfikowana w ramach europejskiego programu certyfikacji cyberbezpieczeństwa przyjętego na podstawie rozporządzenia (UE) 2019/881 lub notyfikowana na podstawie rozporządzenia delegowanego (UE) 2022/30, powinny być ponownie oceniane i notyfikowane na podstawie niniejszego rozporządzenia. Właściwe organy mogą jednak zidentyfikować synergie w odniesieniu do pokrywających się wymogów, aby zapobiec niepotrzebnemu obciążeniu finansowemu i administracyjnemu oraz zadbać o sprawny i terminowy proces notyfikacji.

(101) Za preferowaną metodę wykazywania kompetencji technicznych jednostek oceniających zgodność krajowe organy publiczne w całej Unii powinny uznać przejrzystą akredytację zgodną z rozporządzeniem (WE) nr 765/2008, zapewniającą niezbędny poziom zaufania do certyfikatów zgodności. Organy krajowe mogą jednak uznać, że dysponują odpowiednimi środkami do samodzielnego przeprowadzenia takiej oceny. W takich przypadkach w celu zapewnienia odpowiedniego stopnia wiarygodności ocen przeprowadzanych przez inne organy krajowe organy te powinny przedstawić Komisji i innym państwom członkowskim niezbędne dowody w postaci dokumentów wykazujące, że poddane ocenie jednostki oceniające zgodność spełniają odpowiednie wymogi regulacyjne.

(102) Jednostki oceniające zgodność często zlecają realizację części zadań związanych z oceną zgodności podwykonawcom lub korzystają z usług jednostek zależnych. W celu zapewnienia poziomu bezpieczeństwa wymaganego w przypadku produktu z elementami cyfrowymi, który ma zostać wprowadzony do obrotu, zasadnicze znaczenie ma to, aby w ramach wykonywania zadań oceny zgodności podwykonawcy i spółki zależne spełniali te same wymogi co jednostki notyfikowane.

(103) Organ notyfikujący powinien wysłać notyfikację jednostki oceniającej zgodność Komisji i pozostałym państwom członkowskim za pomocą systemu informacyjnego NANDO ("New Approach Notified and Designated Organisations"). System informacyjny NANDO jest elektronicznym narzędziem do notyfikacji, opracowanym i zarządzanym przez Komisję, w którym można znaleźć wykaz wszystkich jednostek notyfikowanych.

(104) Ponieważ jednostki notyfikowane mają możliwość oferowania swoich usług w całej Unii, należy zapewnić pozostałym państwom członkowskim i Komisji możliwość wnoszenia sprzeciwu wobec jednostek notyfikowanych. Istotne zatem jest ustalenie terminu, w jakim możliwe będzie wyjaśnienie jakichkolwiek wątpliwości lub obaw co do kompetencji jednostek oceniających zgodność, zanim zaczną one prowadzić działalność jako jednostki notyfikowane.

(105) Z punktu widzenia konkurencyjności bardzo ważne jest, aby jednostki notyfikowane stosowały procedury oceny zgodności bez tworzenia zbędnego obciążenia dla podmiotów gospodarczych. Z tego samego powodu oraz w celu zapewnienia równego traktowania podmiotów gospodarczych należy zapewnić spójność stosowania procedur oceny zgodności pod względem technicznym. Najlepszym sposobem na osiągnięcie tego celu jest odpowiednia koordynacja jednostek notyfikowanych i współpraca między nimi.

(106) Nadzór rynku jest instrumentem istotnym dla zapewnienia właściwego i jednolitego stosowania prawa Unii. Dlatego właściwe jest stworzenie ram prawnych, w których można odpowiednio sprawować nadzór nad rynkiem. Do produktów z elementami cyfrowymi objętymi zakresem niniejszego rozporządzenia stosuje się przepisy dotyczące nadzoru rynku unijnego oraz kontroli produktów wprowadzanych na rynek Unii przewidziane w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2019/1020.

(107) Zgodnie z rozporządzeniem (UE) 2019/1020 nadzór rynku na terytorium danego państwa członkowskiego sprawuje wyznaczony przez nie organ nadzoru rynku. Niniejsze rozporządzenie nie powinno uniemożliwiać państwom członkowskim wyboru organów właściwych do wykonywania zadań w zakresie nadzoru rynku. Każde państwo członkowskie powinno wyznaczyć na swoim terytorium co najmniej jeden organ nadzoru rynku. Państwa członkowskie powinny móc wyznaczyć do pełnienia funkcji organu nadzoru rynku dowolny istniejący lub nowy organ, w tym właściwe organy wyznaczone lub utworzone zgodnie z art. 8 dyrektywy (UE) 2022/2555, wyznaczone krajowe organy ds. certyfikacji cyberbezpieczeństwa wyznaczone zgodnie z art. 58 rozporządzenia (UE) 2019/881 lub organy nadzoru rynku wyznaczone do celów dyrektywy 2014/53/UE. Podmioty gospodarcze powinny w pełni współpracować z organami nadzoru rynku i innymi właściwymi organami. Każde państwo członkowskie powinno poinformować Komisję i pozostałe państwa członkowskie o swoich organach nadzoru rynku oraz obszarach kompetencji każdego z tych organów, a także zagwarantować zasoby i umiejętności niezbędne do wykonywania zadań z zakresu nadzoru rynku związanych z niniejszym rozporządzeniem. Zgodnie z art. 10 ust. 2 i 3 rozporządzenia (UE) 2019/1020 każde państwo członkowskie powinno wyznaczyć jednolity urząd łącznikowy, który powinien być odpowiedzialny między innymi za reprezentowanie skoordynowanego stanowiska organów nadzoru rynku oraz wspomaganie współpracy między organami nadzoru rynku w różnych państwach członkowskich.

(108) Na podstawie art. 30 ust. 2 rozporządzenia (UE) 2019/1020 należy ustanowić specjalną grupę ADCO zajmującą się cyberodpornością produktów z elementami cyfrowymi w celu jednolitego stosowania niniejszego rozporządzenia. Grupa ADCO powinna składać się z przedstawicieli wyznaczonych krajowych organów nadzoru rynku oraz - w razie potrzeby - z przedstawicieli jednolitych urzędów łącznikowych. Komisja powinna wspierać współpracę między organami nadzoru rynku i zachęcać do takiej współpracy za pośrednictwem Unijnej Sieci ds. Zgodności Produktów ustanowionej zgodnie z art. 29 rozporządzenia (UE) 2019/1020 i składającej się z przedstawicieli każdego państwa członkowskiego, w tym przedstawiciela każdego z jednolitych urzędów łącznikowych, o których mowa w art. 10 tego rozporządzenia, oraz - fakultatywnie - eksperta krajowego, przewodniczących grup ADCO oraz przedstawicieli Komisji. Komisja powinna uczestniczyć w posiedzeniach Unijnej Sieci ds. Zgodności Produktów, jej podgrup i odpowiedniej grupy ADCO. Powinna także wspierać grupę ADCO za pośrednictwem sekretariatu wykonawczego zapewniającego wsparcie techniczne i logistyczne. Grupa ADCO może również zaprosić niezależnych ekspertów do udziału w pracach i kontaktować się z innymi grupami ADCO, takimi jak grupa ustanowiona na mocy dyrektywy 2014/53/UE.

(109) Organy nadzoru rynku, za pośrednictwem grupy ADCO ustanowionej na mocy niniejszego rozporządzenia, powinny ściśle ze sobą współpracować i mieć możliwość przygotowania wytycznych, które ułatwią nadzór rynku na poziomie krajowym, np. dzięki opracowaniu najlepszych praktyk i wskaźników do skutecznego kontrolowania zgodności produktów z elementami cyfrowymi z niniejszym rozporządzeniem.

(110) W celu zapewnienia terminowych, proporcjonalnych i skutecznych środków dotyczących produktów z elementami cyfrowymi stwarzającymi istotne ryzyko w cyberprzestrzeni należy wprowadzić unijną procedurę ochronną, w ramach której zainteresowane strony będą informowane o planowanych środkach dotyczących takich produktów. Powinna ona również umożliwiać organom nadzoru rynku podejmowanie w razie potrzeby - we współpracy z zainteresowanymi podmiotami gospodarczymi - działań na wcześniejszym etapie. W przypadku gdy państwa członkowskie i Komisja osiągną porozumienie co do zasadności środka przyjętego przez państwo członkowskie, nie należy wymagać dalszego zaangażowania Komisji, z wyjątkiem przypadków, w których niezgodność można przypisać brakom w normie zharmonizowanej.

(111) W określonych przypadkach produkt z elementami cyfrowymi, który jest zgodny z niniejszym rozporządzeniem, może jednak stwarzać istotne ryzyko w cyberprzestrzeni lub stwarzać ryzyko dla zdrowia lub bezpieczeństwa osób, dla wypełnienia obowiązków wynikających z prawa Unii lub prawa krajowego mających na celu ochronę praw podstawowych, dostępności, autentyczności, integralności lub poufności usług oferowanych przy użyciu elektronicznego systemu informacyjnego przez podmioty niezbędne takie jak podmioty, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555, lub dla innych aspektów ochrony interesu publicznego. Z tego względu niezbędne jest ustanowienie zasad gwarantujących zmniejszenie tego rodzaju ryzyka. W związku z tym organy nadzoru rynku powinny wprowadzić środki w celu nałożenia na podmioty gospodarcze obowiązku zapewnienia, aby produkt przestał stwarzać dane ryzyko lub odzyskania produktu lub wycofania go, w zależności od ryzyka. Gdy tylko organ nadzoru rynku ograniczy swobodny przepływ lub zakaże swobodnego przepływu produktu z elementami cyfrowymi, państwo członkowskie powinno bezzwłocznie powiadomić Komisję i pozostałe państwa członkowskie o środkach tymczasowych, podając powody oraz uzasadnienie tej decyzji. W przypadku gdy organ nadzoru rynku wprowadza takie środki w odniesieniu do stwarzających ryzyko produktów z elementami cyfrowymi, Komisja powinna niezwłocznie rozpocząć konsultacje z odnośnymi państwami członkowskimi i zainteresowanym podmiotem gospodarczym lub zainteresowanymi podmiotami gospodarczymi oraz dokonać oceny tego środka krajowego. Na podstawie wyników tej oceny Komisja powinna zdecydować, czy środek krajowy jest uzasadniony czy nie. Komisja powinna skierować swoją decyzję do wszystkich państw członkowskich i natychmiast przekazać ją państwom członkowskim oraz stosownemu podmiotowi lub stosownym podmiotom gospodarczym. Jeśli środek zostanie uznany za uzasadniony, Komisja powinna również rozważyć przyjęcie wniosków dotyczących zmiany właściwych przepisów Unii.

(112) W przypadku produktów z elementami cyfrowymi stwarzających istotne ryzyko w cyberprzestrzeni oraz w przypadkach, w których istnieją powody, aby przypuszczać, że produkty te nie są zgodne z niniejszym rozporządzeniem, lub w przypadku produktów, które są zgodne z niniejszym rozporządzeniem, ale stwarzają inne istotne ryzyko, takie jak ryzyko dla zdrowia lub bezpieczeństwa osób, dla wypełnienia obowiązków wynikających z prawa Unii lub prawa krajowego mających na celu ochronę praw podstawowych, albo dla dostępności, autentyczności, integralności lub poufności usług oferowanych przy użyciu elektronicznego systemu informacyjnego przez podmioty kluczowe, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555, Komisja powinna móc zwrócić się do ENISA o przeprowadzenie oceny. Na podstawie tej oceny Komisja powinna móc przyjąć, w drodze aktów wykonawczych, środki naprawcze lub ograniczające na poziomie Unii, w tym nakaz wycofania z obrotu lub odzyskania przedmiotowych produktów z elementami cyfrowymi w rozsądnym terminie, stosownym do charakteru ryzyka. Komisja powinna móc skorzystać z takiej interwencji wyłącznie w wyjątkowych okolicznościach, które uzasadniają niezwłoczną interwencję w celu utrzymania prawidłowego funkcjonowania rynku wewnętrznego, oraz wyłącznie wówczas, gdy organy nadzoru rynku nie wprowadziły żadnych skutecznych środków w celu zaradzenia sytuacji. Takimi wyjątkowymi okolicznościami mogą być sytuacje nadzwyczajne, w których przykładowo niezgodny produkt z elementami cyfrowymi jest szeroko udostępniany przez producenta w kilku państwach członkowskich i wykorzystywany także w kluczowych sektorach przez podmioty objęte zakresem dyrektywy (UE) 2022/2555, mimo że zawiera znane podatności, które są wykorzystywane przez podmioty działające w złym zamiarze i w odniesieniu do których producent nie zapewnia dostępnych poprawek. W takich sytuacjach nadzwyczajnych Komisja powinna móc interweniować wyłącznie na czas trwania wyjątkowych okoliczności oraz jeśli niezgodność z niniejszym rozporządzeniem lub istotne ryzyko stwarzane przez produkt się utrzymują.

(113) Jeżeli istnieją przesłanki wskazujące na niezgodność z niniejszym rozporządzeniem w kilku państwach członkowskich, organy nadzoru rynku powinny mieć możliwość podjęcia wspólnych działań z innymi organami w celu weryfikacji zgodności oraz identyfikacji ryzyka w cyberprzestrzeni dotyczącego produktów z elementami cyfrowymi.

(114) Jednoczesne skoordynowane działania kontrolne ("akcje kontrolne") są określonymi akcjami kontrolnymi przeprowadzanymi przez organy nadzoru rynku, które mogą jeszcze bardziej wzmocnić bezpieczeństwo produktu. Akcje kontrolne należy przeprowadzać w szczególności wówczas, gdy tendencje rynkowe, skargi konsumentów lub inne przesłanki wskazują, że określone kategorie produktów z elementami cyfrowymi są często uznawane za stwarzające ryzyko w cyberprzestrzeni. Ponadto przy określaniu kategorii produktów podlegających akcjom kontrolnym organy nadzoru rynku powinny wziąć również pod uwagę okoliczności związane z pozatechnicznymi czynnikami ryzyka. Dlatego organy nadzoru rynku powinny móc uwzględnić wyniki skoordynowanego na poziomie Unii szacowania ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw przeprowadzonego zgodnie z art. 22 dyrektywy (UE) 2022/2555, w tym okoliczności związane z pozatechnicznymi czynnikami ryzyka. ENISA powinna składać wnioski dotyczące kategorii produktów z elementami cyfrowymi, w odniesieniu do których organy nadzoru rynku mogą organizować akcje kontrolne, między innymi na podstawie otrzymywanych zgłoszeń podatności oraz incydentów.

(115) Zważywszy na jej wiedzę specjalistyczną i mandat, ENISA powinna mieć możliwość wspierania procesu wdrażania niniejszego rozporządzenia. W szczególności ENISA powinna mieć możliwość proponowania wspólnych działań, które miałyby być prowadzone przez organy nadzoru rynku, w oparciu o wskazania lub informacje dotyczące potencjalnej niezgodności z niniejszym rozporządzeniem produktów z elementami cyfrowymi w kilku państwach członkowskich lub wskazywania kategorii produktów, w odniesieniu do których należy zorganizować akcje kontrolne. W wyjątkowych okolicznościach ENISA powinna mieć, na wniosek Komisji, możliwość przeprowadzania ocen w odniesieniu do określonych produktów z elementami cyfrowymi, które stwarzają istotne ryzyko w cyberprzestrzeni, w przypadku gdy natychmiastowa interwencja jest niezbędna do utrzymania prawidłowego funkcjonowania rynku wewnętrznego.

(116) Na mocy niniejszego rozporządzenia powierza się ENISA pewne zadania, które wymagają odpowiednich zasobów zarówno pod względem wiedzy fachowej, jak i zasobów kadrowych, aby umożliwić ENISA ich skuteczne wykonywanie. Przygotowując projekt budżetu ogólnego Unii, Komisja zaproponuje niezbędne zasoby budżetowe na potrzeby planu zatrudnienia ENISA, zgodnie z procedurą określoną w art. 29 rozporządzenia (UE) 2019/881. W trakcie tych przygotowań Komisja rozważy ogólne zasoby ENISA, aby umożliwić jej wykonywanie zadań, w tym zadań powierzonych jej na mocy niniejszego rozporządzenia.

(117) Aby w razie potrzeby zapewnić możliwość dostosowania ram regulacyjnych, należy przekazać Komisji uprawnienia do przyjmowania na podstawie art. 290 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) aktów w celu aktualizacji zawartego w załączniku do niniejszego rozporządzenia wykazu ważnych produktów z elementami cyfrowymi. Należy też przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z tym artykułem w celu wskazania produktów z elementami cyfrowymi objętych innymi przepisami unijnymi, które zapewniają taki sam poziom ochrony jak niniejsze rozporządzenie, wraz ze wskazaniem, czy konieczne jest ograniczenie lub wyłączenie z zakresu niniejszego rozporządzenia, jak również - w stosownych przypadkach - zakresu tego ograniczenia. Należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z tym artykułem w odniesieniu do potencjalnego zobowiązania do certyfikacji w europejskim programie certyfikacji cyberbezpieczeństwa produktów krytycznych z elementami cyfrowymi określonych w załączniku do niniejszego rozporządzenia, a także do aktualizacji wykazu produktów krytycznych z elementami cyfrowymi w oparciu o kryteria krytyczności wskazane w niniejszym rozporządzeniu i do określenia europejskich programów certyfikacji cyberbezpieczeństwa przyjętych na podstawie rozporządzenia (UE) 2019/881, które mogą być stosowane do wykazania zgodności z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku do niniejszego rozporządzenia lub z ich częściami. Należy również przekazać Komisji uprawnienia do przyjmowania aktów w celu określenia minimalnego okresu wsparcia dla określonych kategorii produktów, jeżeli dane z nadzoru rynku wskazują, że te okresy są nieodpowiednie, a także w celu określenia warunków opóźnienia rozpowszechniania powiadomień o aktywnie wykorzystywanych podatnościach ze względu na ryzyko w cyberprzestrzeni. Ponadto należy przekazać Komisji uprawnienia do przyjmowania aktów w celu ustanowienia dobrowolnych programów poświadczania bezpieczeństwa na potrzeby oceny zgodności produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie z wszystkimi lub niektórymi zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa lub innymi obowiązkami określonymi w niniejszym rozporządzeniu, a także w celu określenia minimalnego zakresu deklaracji zgodności UE oraz uzupełnienia elementów, które należy uwzględnić w dokumentacji technicznej. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 31 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych. Uprawnienia do przyjmowania aktów delegowanych, o których mowa w niniejszym rozporządzeniu, powinno się powierzyć Komisji na okres pięciu lat od dnia 10 grudnia 2024 r. Komisja powinna sporządzić sprawozdanie dotyczące przekazania uprawnień nie później niż dziewięć miesięcy przed końcem pięcioletniego okresu. Przekazanie uprawnień powinno zostać automatycznie przedłużone na takie same okresy, chyba że Parlament Europejski lub Rada sprzeciwią się takiemu przedłużeniu nie później niż trzy miesiące przed końcem każdego okresu.

(118) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia należy powierzyć Komisji uprawnienia wykonawcze w zakresie: określania opisu technicznego kategorii ważnych produktów z elementami cyfrowymi wymienionych w załączniku do niniejszego rozporządzenia, określania formatu i elementów zestawienia podstawowych materiałów do produkcji oprogramowania, dokładniejszego określenia formatu zgłoszeń aktywnie wykorzystywanych podatności oraz poważnych incydentów - i procedury ich składania - mających wpływ na bezpieczeństwo produktów z elementami cyfrowymi przekazywanych przez producentów, ustanowienia wspólnych specyfikacji obejmujących wymogi techniczne, które zapewnią środki umożliwiające spełnienie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku do niniejszego rozporządzenia, określania specyfikacji technicznych dotyczących etykiet, piktogramów lub wszelkich innych znaków związanych z bezpieczeństwem produktów z elementami cyfrowymi, ich okresu wsparcia oraz mechanizmów służących promowaniu ich wykorzystania i zwiększania świadomości społecznej na temat bezpieczeństwa produktów z elementami cyfrowymi, określania uproszczonego formularza na potrzeby mikroprzedsiębiorstw i małych przedsiębiorstw oraz podejmowania decyzji o zastosowaniu środków naprawczych lub ograniczających na poziomie Unii w wyjątkowych okolicznościach, które uzasadniają natychmiastową interwencję w celu utrzymania prawidłowego funkcjonowania rynku wewnętrznego. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 32 .

(119) W celu zapewnienia opartej na zaufaniu i konstruktywnej współpracy organów nadzoru rynku na poziomie unijnym i krajowym wszystkie strony zaangażowane w stosowanie niniejszego rozporządzenia powinny przestrzegać zasady poufności informacji i danych uzyskanych podczas wykonywania swoich zadań.

(120) Aby zapewnić skuteczne egzekwowanie obowiązków przewidzianych w niniejszym rozporządzeniu, każdy organ nadzoru rynku powinien być uprawniony do nakładania lub żądania nałożenia administracyjnych kar pieniężnych. Z tego względu należy określić maksymalne poziomy administracyjnych kar pieniężnych, które powinno się przewidzieć w przepisach krajowych za nieprzestrzeganie obowiązków określonych w niniejszym rozporządzeniu. Decydując o wysokości administracyjnej kary pieniężnej w każdym indywidualnym przypadku, należy uwzględnić wszystkie istotne okoliczności konkretnej sytuacji, a co najmniej te wyraźnie określone w niniejszym rozporządzeniu, w tym czy producent jest mikroprzedsiębiorstwem lub małym lub średnim przedsiębiorstwem, w tym przedsiębiorstwem typu startup, i czy wobec tego samego podmiotu gospodarczego za podobne naruszenia te same lub inne organy nadzoru rynku zastosowały już administracyjne kary pieniężne. Mogą to być zarówno okoliczności obciążające, w sytuacjach, w których naruszenie popełnione przez ten sam podmiot gospodarczy utrzymuje się na terytorium państw członkowskich innych niż to, w którym już zastosowano administracyjną karę pieniężną, lub okoliczności łagodzące, które polegają na zapewnieniu, aby w każdej innej administracyjnej karze pieniężnej rozważanej przez inny organ nadzoru rynku dla tego samego podmiotu gospodarczego lub za taki sam rodzaj naruszenia uwzględniono, oprócz innych istotnych określonych okoliczności, karę oraz jej wysokość nałożoną w innych państwach członkowskich. We wszystkich takich przypadkach przy wymierzaniu łącznej administracyjnej kary pieniężnej, którą mogą zastosować organy nadzoru rynku kilku państw członkowskich wobec tego samego podmiotu gospodarczego za ten sam rodzaj naruszenia, należy zagwarantować poszanowanie zasady proporcjonalności. Biorąc pod uwagę, że do mikroprzedsiębiorstw lub małych przedsiębiorstw nie mają zastosowania administracyjne kary pieniężne za niedotrzymanie 24-godzinnego terminu wczesnego ostrzegania o aktywnie wykorzystywanych podatnościach lub poważnych incydentach mających wpływ na bezpieczeństwo produktu z elementami cyfrowymi, a do opiekunów otwartego oprogramowania nie mają zastosowania takie kary za naruszenia niniejszego rozporządzenia, oraz z zastrzeżeniem zasady, że kary powinny być skuteczne, proporcjonalne i odstraszające, państwa członkowskie nie powinny nakładać na te podmioty innych rodzajów kar o charakterze pieniężnym.

(121) Jeżeli administracyjne kary pieniężne są nakładane na osobę niebędącą przedsiębiorstwem, właściwy organ, ustalając właściwą wysokość kary pieniężnej, powinien brać pod uwagę ogólny poziom dochodów w danym państwie członkowskim oraz sytuację ekonomiczną tej osoby. Państwa członkowskie powinny określić, czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne.

(122) Państwa członkowskie powinny zbadać, biorąc pod uwagę uwarunkowania krajowe, możliwość wykorzystania dochodów z kar przewidzianych w niniejszym rozporządzeniu lub ich odpowiedników finansowych do wspierania polityki cyberbezpieczeństwa i zwiększenia jego poziomu w Unii, między innymi poprzez zwiększenie liczby wykwalifikowanych specjalistów w dziedzinie cyberbezpieczeństwa, wzmocnienie potencjału mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, a także zwiększenie świadomości społecznej na temat cyberzagrożeń.

(123) W stosunkach z państwami trzecimi Unia dąży do promowania międzynarodowego handlu produktami regulowanymi. W celu ułatwienia handlu można stosować szeroki zakres środków, w tym kilka instrumentów prawnych, takich jak dwustronne (międzyrządowe) umowy o wzajemnym uznawaniu oceny zgodności oraz znakowanie produktów regulowanych. Umowy o wzajemnym uznawaniu są zawierane między Unią a państwami trzecimi, które znajdują się na porównywalnym poziomie rozwoju technicznego oraz mają podobne podejście do oceny zgodności. Umowy te są oparte na wzajemnej akceptacji certyfikatów, znaków zgodności oraz raportów z badań wydawanych przez jednostki oceniające zgodność którejkolwiek ze stron zgodnie z prawodawstwem drugiej strony. Obecnie obowiązują umowy o wzajemnym uznawaniu z kilkoma krajami trzecimi. Umowy zawarto w odniesieniu do szeregu sektorów, które mogą różnić się w zależności od kraju. Aby jeszcze bardziej ułatwić handel, a także z uwagi na fakt, że łańcuchy dostaw produktów z elementami cyfrowymi mają charakter globalny, umowy o wzajemnym uznawaniu dotyczące oceny zgodności mogą być zawierane przez Unię w odniesieniu do produktów regulowanych na podstawie niniejszego rozporządzenia zgodnie z art. 218 TFUE. W kontekście wzmocnienia cyberodporności w wymiarze globalnym ważna jest także współpraca z partnerskimi krajami trzecimi, gdyż w perspektywie długoterminowej przyczyni się ona do wzmocnienia ram cyberbezpieczeństwa zarówno w Unii, jak i poza nią.

(124) Konsumenci powinni być uprawnieni, w odniesieniu do obowiązków nałożonych na podmioty gospodarcze zgodnie z niniejszym rozporządzeniem, do egzekwowania swoich praw w drodze powództw przedstawicielskich zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2020/1828 33 . W tym celu niniejsze rozporządzenie powinno stanowić, że dyrektywa (UE) 2020/1828 ma zastosowanie do powództw przedstawicielskich dotyczących naruszeń niniejszego rozporządzenia, które szkodzą lub mogą szkodzić zbiorowym interesom konsumentów. Należy w związku z tym wprowadzić odpowiednie zmiany w załączniku I do tej dyrektywy. Do państw członkowskich należy dopilnowanie, aby zmiany te zostały uwzględnione w środkach transpozycji przyjętych zgodnie z tą dyrektywą, chociaż przyjęcie krajowych środków transpozycji nie jest warunkiem stosowania dyrektywy do tych powództw przedstawicielskich. Stosowanie tej dyrektywy do powództw przedstawicielskich wytaczanych w związku z naruszeniami przepisów niniejszego rozporządzenia przez podmioty gospodarcze, szkodzącymi lub mogącymi szkodzić zbiorowym interesom konsumentów, powinno się rozpocząć dnia 11 grudnia 2027 r.

(125) Komisja powinna okresowo dokonywać oceny i przeglądu niniejszego rozporządzenia, w drodze konsultacji z odpowiednimi zainteresowanymi stronami, w szczególności w celu sprawdzenia, czy konieczne jest wprowadzenie zmian w świetle zmieniających się warunków społecznych, politycznych, technologicznych lub rynkowych. Niniejsze rozporządzenie ułatwi podmiotom objętym zakresem rozporządzenia (UE) 2022/2554 i dyrektywy (UE) 2022/2555, które wykorzystują produkty z elementami cyfrowymi, wypełnianie obowiązków w zakresie bezpieczeństwa łańcucha dostaw. W ramach okresowego przeglądu Komisja powinna ocenić łączne skutki unijnych przepisów o cyberbezpieczeństwie.

(126) Podmiotom gospodarczym należy zapewnić wystarczająco dużo czasu na dostosowanie się do wymogów określonych w niniejszym rozporządzeniu. Niniejsze rozporządzenie powinno mieć zastosowanie od dnia 11 grudnia 2027 r., z wyjątkiem obowiązków w zakresie zgłaszania aktywnie wykorzystywanych podatności oraz poważnych incydentów mających wpływ na bezpieczeństwo produktów z elementami cyfrowymi, które powinny mieć zastosowanie od dnia 11 września 2026 r., oraz przepisów w sprawie notyfikacji jednostek oceniających zgodność, które powinny mieć zastosowanie od dnia 11 czerwca 2026 r.

(127) Ważne jest, aby zapewnić mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom, w tym przedsiębiorstwom typu startup, wsparcie we wdrażaniu niniejszego rozporządzenia oraz zminimalizować ryzyko wynikające dla jego wdrażania z braku wiedzy fachowej na rynku, a także aby ułatwić producentom wypełnianie obowiązków określonych w niniejszym rozporządzeniu. Program "Cyfrowa Europa" i inne odpowiednie programy unijne oferują wsparcie finansowe i techniczne, które umożliwia tym przedsiębiorstwom przyczynianie się do wzrostu gospodarki Unii i do podniesienia wspólnego poziomu cyberbezpieczeństwa w Unii. Europejskie Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa i krajowe ośrodki koordynacji, a także europejskie centra innowacji cyfrowych ustanowione przez Komisję i państwa członkowskie na poziomie unijnym lub krajowym mogłyby również wspierać przedsiębiorstwa i organizacje sektora publicznego oraz pomóc we wdrażaniu niniejszego rozporządzenia. W ramach swoich misji i obszarów kompetencji mogłyby one oferować wsparcie techniczne i naukowe mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom, np. w dziedzinie testów i ocen zgodności przeprowadzanych przez strony trzecie. Mogłyby również pomagać w stosowaniu narzędzi ułatwiających wdrażanie niniejszego rozporządzenia.

(128) Ponadto państwa członkowskie powinny rozważyć dodatkowe działania na rzecz przygotowania wytycznych i wsparcia mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, na przykład tworząc dla nich piaskownice regulacyjne i specjalne kanały komunikacji. Aby podnieść poziom cyberbezpieczeństwa w Unii, państwa członkowskie mogą również rozważyć zaoferowanie wsparcia na rzecz rozwoju zdolności i umiejętności związanych z cyberbezpieczeństwem produktów z elementami cyfrowymi, poprawę cyberodporności podmiotów gospodarczych, w szczególności mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, oraz zwiększanie świadomości społecznej na temat cyberbezpieczeństwa produktów z elementami cyfrowymi.

(129) Ponieważ cel niniejszego rozporządzenia nie może zostać osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast ze względu na skutki działania możliwe jest lepsze jego osiągnięcie na poziomie Unii, Unia może podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tego celu.

(130) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 Parlamentu Europejskiego i Rady 34  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który w dniu 9 listopada 2022 r. 35  wydał opinię,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: