Актът за киберустойчивост

Предмет

С настоящия регламент се определят:

Обхват

1. Настоящият регламент се прилага за предоставяните на пазара продукти с цифрови елементи, чието предназначение или разумно предвидима употреба включва пряка или непряка логическа или физическа връзка на данни с устройство или мрежа.

2. Настоящият регламент не се прилага за продукти с цифрови елементи, за които се прилагат следните законодателни актове на Съюза:

3. Настоящият регламент не се прилага за продукти с цифрови елементи, които са сертифицирани в съответствие с Регламент (ЕС) 2018/1139.

4. Настоящият регламент не се прилага за оборудване, което попада в обхвата на Директива 2014/90/ЕС на Европейския парламент и на Съвета (36).

5. Прилагането на настоящия регламент за продукти с цифрови елементи, обхванати от други правила на Съюза, определящи изисквания, които се отнасят до всички или някои от рисковете, обхванати от съществените изисквания за киберсигурност, посочени в приложение I, може да бъде ограничено или изключено, когато:

На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 61, за да допълва настоящия регламент, като посочва дали е необходимо такова ограничение или изключване, съответните продукти и правила, както и обхвата на ограничението, ако е приложимо.

6. Настоящият регламент не се прилага за резервни части, които се предоставят на пазара за замяна на идентични компоненти в продукти с цифрови елементи и които са произведени съгласно същите спецификации като компонентите, които са предназначени да заменят.

7. Настоящият регламент не се прилага за продукти с цифрови елементи, разработени или изменени изключително за целите на националната сигурност или отбрана, или за продукти, специално предназначени за обработка на класифицирана информация.

8. Задълженията, предвидени в настоящия регламент, не водят до предоставянето на информация, разкриването на която противоречи на основните интереси на държавите членки, свързани с националната сигурност, обществената сигурност или отбраната.

Определения

За целите на настоящия регламент се прилагат следните определения:

Свободно движение

1. Държавите членки не възпрепятстват по отношение на въпросите, обхванати от настоящия регламент, предоставянето на пазара на продукти с цифрови елементи, които отговарят на изискванията на настоящия регламент.

2. По време на търговски панаири, изложения, демонстрации или други подобни събития държавите членки не възпрепятстват представянето или използването на продукт с цифрови елементи, който не отговаря на изискванията на настоящия регламент, включително негови прототипи, при условие че продуктът се представя с видим знак, който ясно показва, че продуктът не съответства на настоящия регламент и че няма да се предоставя на пазара, докато не бъде приведен в съответствие с настоящия регламент.

3. Държавите членки не възпрепятстват предоставянето на пазара на незавършен софтуер, който не съответства на настоящия регламент, при условие че софтуерът се предоставя само за ограничен период от време, необходим за целите на изпитване, и с видим знак, който ясно показва, че той не съответства на настоящия регламент и че няма да се предоставя на пазара за цели, различни от изпитване.

4. Параграф 3 не се прилага за предпазните устройства, посочени в законодателството на Съюза за хармонизация, различно от настоящия регламент.

Обществени поръчки или използване на продукти с цифрови елементи

1. Настоящият регламент не възпрепятства държавите членки да установяват за продуктите с цифрови елементи допълнителни изисквания за киберсигурност при възлагането на обществени поръчки или използването на тези продукти за конкретни цели, включително когато тези продукти се предоставят чрез обществени поръчки за целите на националната сигурност или отбрана или се използват за целите на националната сигурност или отбрана, при условие че такива изисквания са в съответствие със задълженията на държавите членки, установени в правото на Съюза, и са необходими и пропорционални за постигането на посочените цели.

2. Без да се засягат директиви 2014/24/ЕС и 2014/25/ЕС, когато се възлагат обществени поръчки за продукти с цифрови елементи, които попадат в обхвата на настоящия регламент, държавите членки гарантират, че в процеса на възлагане на обществени поръчки се взема предвид съответствието със съществените изисквания за киберсигурност, определени в приложение I към настоящия регламент, включително способността на производителите да се справят ефективно с уязвимости.

Изисквания за продуктите с цифрови елементи

Продукти с цифрови елементи се предоставят на пазара само ако:

Важни продукти с цифрови елементи

1. Продуктите с цифрови елементи, които имат основната функционална възможност на дадена продуктова категория, определена в приложение III, се считат за важни продукти с цифрови елементи и подлежат на процедурите за оценяване на съответствието, посочени в член 32, параграфи 2 и 3. Интегрирането на продукт с цифрови елементи, който има основната функционална възможност на дадена продуктова категория, определена в приложение III, само по себе си не води до това продуктът, в който е интегриран, да подлежи на процедурите за оценяване на съответствието, посочени в член 32, параграфи 2 и 3.

2. Категориите продукти с цифрови елементи, посочени в параграф 1 от настоящия член, разделени на класове I и II съгласно определеното в приложение III, отговарят на поне един от следните критерии:

3. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 61 за изменение на приложение III чрез включване в списъка на нова категория в рамките на всеки клас от категориите продукти с цифрови елементи и уточняване на нейното определение, преместване на категория продукти от един клас в друг или оттегляне на съществуваща категория от този списък. Когато оценява необходимостта от изменение на списъка, съдържащ се в приложение III, Комисията взема предвид свързаните с киберсигурността функционални възможности или функцията и нивото на киберриска, пораждан от продуктите с цифрови елементи, както е установено в критериите, посочени в параграф 2 от настоящия член.

В делегираните актове, посочени в първа алинея от настоящия параграф, се предвижда, когато е подходящо, минимален преходен период от 12 месеца, по-специално когато нова категория важни продукти с цифрови елементи се добавя към клас I или II или се премества от клас I в клас II, както е посочено в приложение III, преди да започнат да се прилагат необходимите процедури за оценяване на съответствието, както са посочени в член 32, параграфи 2 и 3, освен ако поради наложителни причини за спешност е обоснован по-кратък преходен период.

4. До 11 декември 2025 г. Комисията приема акт за изпълнение, с който се определя техническото описание на категориите продукти с цифрови елементи от класове I и II, определени в приложение III, и техническото описание на категориите продукти с цифрови елементи, определени в приложение IV. Този акт за изпълнение се приема в съответствие с процедурата по разглеждане, посочена в член 62, параграф 2.

Критични продукти с цифрови елементи

1. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 61 за допълване на настоящия регламент, за да определи за кои продукти с цифрови елементи, които имат основната функционална възможност на дадена продуктова категория, определена в приложение IV към настоящия регламент, има изискване да получат европейски сертификат за киберсигурност поне с ниво на увереност „съществено“ съгласно европейска схема за сертифициране на киберсигурност, приета съгласно Регламент (ЕС) 2019/881, за да се докаже съответствието със съществените изисквания за киберсигурност, определени в приложение I към настоящия регламент, или части от тях, при условие че съгласно Регламент (ЕС) 2019/881 е приета европейска схема за сертифициране на киберсигурността, обхващаща тези категории продукти с цифрови елементи, която е на разположение на производителите. В тези делегирани актове се определя изискваното ниво на увереност, което е пропорционално на нивото на киберриска, свързан с продуктите с цифрови елементи, и се взема предвид предназначението им, включително критичната зависимост от тях на съществените субекти, както са посочени в член 3, параграф 1 от Директива (ЕС) 2022/2555.

Преди приемането на такива делегирани актове Комисията извършва оценка на потенциалното въздействие на предвидените мерки върху пазара и провежда консултации със съответните заинтересовани страни, включително Европейската група за сертифициране на киберсигурността, създадена съгласно Регламент (ЕС) 2019/881. При оценката се вземат предвид готовността и равнището на капацитет на държавите членки за прилагането на съответната европейска схема за сертифициране на киберсигурността. Когато не са приети делегирани актове, както е посочено в първа алинея от настоящия параграф, продуктите с цифрови елементи, които имат основната функционална възможност на дадена продуктова категория, определена в приложение IV, подлежат на процедурите за оценяване на съответствието, посочени в член 32, параграф 3.

В делегираните актове, посочени в първа алинея, се предвижда минимален преходен период от шест месеца, освен ако поради наложителни причини за спешност е обоснован по-кратък преходен период.

2. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 61 за изменение на приложение IV чрез добавяне или оттегляне на категории критични продукти с цифрови елементи. При определянето на тези категории критични продукти с цифрови елементи и на изискваното ниво на увереност в съответствие с параграф 1 от настоящия член Комисията взема предвид критериите, посочени в член 7, параграф 2, и гарантира, че категориите продукти с цифрови елементи отговарят на поне един от следните критерии:

Преди да приеме такива делегирани актове, Комисията извършва оценка на вида, посочен в параграф 1.

В делегираните актове, посочени в първа алинея, се предвижда минимален преходен период от шест месеца, освен ако поради наложителни причини за спешност е обоснован по-кратък преходен период.

Консултации със заинтересованите страни

1. При изготвянето на мерки за прилагането на настоящия регламент Комисията се консултира със съответните заинтересовани страни и взема предвид становищата на тези заинтересовани страни, като например съответните органи на държавите членки, предприятия от частния сектор, включително микропредприятия и малки и средни предприятия, общността, разработваща софтуер с отворен код, асоциациите на потребителите, академичните среди и съответните агенции и органи на Съюза, както и експертните групи, създадени на равнището на Съюза. По-специално, когато е целесъобразно, Комисията се консултира и търси становищата на тези заинтересовани страни по структуриран начин, когато:

2. Комисията организира редовни консултации и информационни сесии поне веднъж годишно, за да получи мненията на заинтересованите страни, посочени в параграф 1, относно прилагането на настоящия регламент.

Повишаване на уменията в киберустойчива цифрова среда

За целите на настоящия регламент и за да се отговори на нуждите на специалистите в подкрепа на прилагането на настоящия регламент, държавите членки, когато е целесъобразно, с подкрепата на Комисията, Европейския център за експертни познания в областта на киберсигурността и ENISA, при пълно зачитане на компетентността на държавите членки в областта на образованието, насърчават мерки и стратегии, насочени към:

Обща безопасност на продуктите

Чрез дерогация от член 2, параграф 1, трета алинея, буква б) от Регламент (ЕС) 2023/988, глава III, раздел 1, глави V и VII и глави IX—XI от посочения регламент се прилагат за продукти с цифрови елементи по отношение на аспектите и рисковете или категориите рискове, които не са обхванати от настоящия регламент, когато тези продукти не са предмет на специфични изисквания, установени в друго законодателство на Съюза за хармонизация, както е определено в член 3, точка 27 от Регламент (ЕС) 2023/988.

Високорискови системи с ИИ

1. Без да се засягат изискванията, свързани с точността и надеждността, определени в член 15 на Регламент (ЕС) 2024/1689, продуктите с цифрови елементи, които попадат в обхвата на настоящия регламент и са класифицирани като високорискови системи с ИИ съгласно член 6 от посочения регламент, се счита, че съответстват на изискванията за киберсигурност, определени в член 15 от посочения регламент, ако:

2. По отношение на продуктите с цифрови елементи и изискванията за киберсигурност, посочени в параграф 1 от настоящия член, се прилага съответната процедура за оценяване на съответствието, предвидена в член 43 от Регламент (ЕС) 2024/1689. За целите на това оценяване нотифицираните органи, които са компетентни да проверяват съответствието на високорисковите системи с ИИ съгласно Регламент (ЕС) 2024/1689, са компетентни също така да проверяват съответствието на високорисковите системи с ИИ, които попадат в обхвата на настоящия регламент, с изискванията, посочени в приложение I към настоящия регламент, при условие че съответствието на тези нотифицирани органи с изискванията, определени в член 39 от настоящия регламент, е било оценено в контекста на процедурата за нотифициране съгласно Регламент (ЕС) 2024/1689.

3. Чрез дерогация от параграф 2 от настоящия член, важни продукти с цифрови елементи, изброени в приложение III към настоящия регламент, които подлежат на процедурите за оценяване на съответствието, посочени в член 32, параграф 2, букви а) и б) и член 32, параграф 3 от настоящия регламент, и критични продукти с цифрови елементи, посочени в приложение IV към настоящия регламент, за които се изисква да бъде получен европейски сертификат за киберсигурност съгласно член 8, параграф 1 от настоящия регламент, или, при липсата на такъв, които подлежат на процедурите за оценяване на съответствието, посочени в член 32, параграф 3 от настоящия регламент, и които също така са класифицирани като високорискови системи с ИИ съгласно член 6 от Регламент (ЕС) 2024/1689 и за които се прилага процедурата за оценяване на съответствието, основана на вътрешен контрол, посочена в приложение VI към Регламент (ЕС) 2024/1689, подлежат на процедурите за оценяване на съответствието, предвидени в настоящия регламент, доколкото това се отнася до съществените изисквания за киберсигурност, определени в настоящия регламент.

4. Производителите на продукти с цифрови елементи, както са посочени в параграф 1 от настоящия член, могат да участват в регулаторните лаборатории в областта на ИИ, посочени в член 57 от Регламент (ЕС) 2024/1689.

Задължения на производителите

1. Когато пускат на пазара даден продукт с цифрови елементи, производителите гарантират, че той е проектиран, разработен и произведен в съответствие със съществените изисквания за киберсигурност, определени в приложение I, част I.

2. За целите на изпълнението на параграф 1 производителите извършват оценка на киберрисковете, свързани с продукта с цифрови елементи, и вземат предвид резултата от тази оценка по време на етапите на планиране, проектиране, разработване, производство, доставка и поддръжка на продукта с цифрови елементи с цел свеждане до минимум на киберрисковете, предотвратяване на инциденти и свеждане до минимум на последиците от такива инциденти, включително по отношение на здравето и безопасността на ползвателите.

3. Оценката на киберриска се документира и актуализира по целесъобразност по време на период на поддръжка, който се определя в съответствие с параграф 8 от настоящия член. Тази оценка на киберриска включва най-малко анализ на киберрисковете въз основа на предназначението и разумно предвидимата употреба, както и на условията за употреба на продукта с цифрови елементи, например оперативната среда или активите, които трябва да бъдат защитени, като се взема предвид продължителността, през която се очаква продуктът да бъде в употреба. В оценката на киберриска се посочва дали и по какъв начин изискванията за сигурност, определени в приложение I, част I, точка 2, са приложими за съответния продукт с цифрови елементи и как тези изисквания се прилагат въз основа на оценката на киберриска. В нея също така се посочва как производителят трябва да прилага приложение I, част I, точка 1 и изискванията за отстраняване на уязвимости, определени в приложение I, част II.

4. При пускането на пазара на продукт с цифрови елементи производителят включва оценката на киберриска, посочена в параграф 3 от настоящия член, в техническата документация, изисквана съгласно член 31 и приложение VII. По отношение на продуктите с цифрови елементи, както са посочени в член 12, които са предмет и на други правни актове на Съюза, оценката на киберриска може да бъде част от оценката на риска, изисквана от тези съответни правни актове на Съюза. Когато някои съществени изисквания за киберсигурност не са приложими към продукта с цифрови елементи, производителят включва ясна обосновка за това в тази техническа документация.

5. За целите на спазването на параграф 1 производителите полагат дължимата грижа, когато интегрират компоненти, доставени от трети страни, така че тези компоненти не застрашават киберсигурността на продукта с цифрови елементи, включително когато интегрират компоненти на свободен софтуер с отворен код, които не са били предоставени на пазара в процеса на търговска дейност.

6. При установяване на уязвимост в компонент, включително в компонент с отворен код, който е интегриран в продукта с цифрови елементи, производителите докладват за уязвимостта на лицето или субекта, който произвежда или поддържа компонента, и разглеждат и отстраняват уязвимостта в съответствие с изискванията за отстраняване на уязвимости, посочени в приложение I, част II. Когато производителите са разработили изменение на софтуера или хардуера за справяне с уязвимостта в този компонент, те споделят съответния код или документация с лицето или субекта, който произвежда или поддържа компонента, по целесъобразност в машинночетим формат.

7. Производителите систематично документират — по начин, който е пропорционален на естеството и киберрисковете, съответните аспекти на киберсигурността, отнасящи се до продуктите с цифрови елементи, включително уязвимостите, за които са узнали, и всяка информация от значение, предоставена от трети страни, и когато е приложимо, актуализират оценката на киберриска на продуктите.

8. При пускането на даден продукт с цифрови елементи на пазара и за периода на поддръжка производителите гарантират, че уязвимостите на този продукт, включително неговите компоненти, се отстраняват ефективно и в съответствие със съществените изисквания за киберсигурност, определени в приложение I, част II.

Производителите определят периода на поддръжка, така че той да отразява продължителността, през която се очаква продуктът да бъде в употреба, като вземат предвид по-специално разумните очаквания на ползвателите, естеството на продукта, включително неговото предназначение, както и съответното право на Съюза, определящо жизнения цикъл на продуктите с цифрови елементи. При определянето на периода на поддръжка производителите могат също така да вземат предвид периодите на поддръжка на продукти с цифрови елементи, които предлагат сходна функционалност, пуснати на пазара от други производители, наличието на оперативната среда, периодите на поддръжка на интегрираните компоненти, които предоставят основни функции и са с произход от трети държави, както и съответните насоки, предоставени от специализираната група за административно сътрудничество (ADCO група), създадена съгласно член 52, параграф 15, и от Комисията. Въпросите, които трябва да се вземат предвид, за да се определи периода на поддръжка се разглеждат по начин, който гарантира пропорционалност.

Без да се засяга втора алинея, периодът на поддръжка е най-малко пет години. Ако се очаква продуктът с цифрови елементи да се използва по-малко от пет години, периодът на поддръжка съответства на очакваното време за използване.

Като взема предвид препоръките на ADCO групата, посочени в член 52, параграф 16, Комисията може да приема делегирани актове в съответствие с член 61, за да допълва настоящия регламент като определя минималния период на поддръжка за конкретни категории продукти, когато данните от надзора на пазара сочат, че периодите на поддръжка са неподходящи.

Производителите включват в техническата документация информацията, която е била взета предвид за определяне на периода на поддръжка на продукт с цифрови елементи, както е посочено в приложение VII.

Производителите разполагат с подходящи политики и процедури, включително политики за координирано оповестяване на уязвимости, посочени в приложение I, част II, точка 5, за обработване и отстраняване на потенциални уязвимости в продукта с цифрови елементи, за които е съобщено от вътрешни или външни източници.

9. Производителите гарантират, че всяка актуализация за сигурност, посочена в приложение I, част II, точка 8, която е била предоставена на ползвателите по време на периода на поддръжка, остава на разположение след издаването ѝ в продължение на най-малко 10 години или за остатъка от периода на поддръжка, в зависимост от това кой период е по-дълъг.

10. Когато производител е пуснал на пазара последващи съществено изменени версии на софтуерен продукт, този производител може да гарантира съответствие със същественото изискване за киберсигурност, определено в приложение I, част II, точка 2, само за версията, която производителят последно е пуснал на пазара, при условие че ползвателите на версиите, които преди това са били пуснати на пазара, имат безплатен достъп до последната версия, пусната на пазара, и не се налага да правят допълнителни разходи за коригиране на хардуерната и софтуерната среда, в която използват първоначалната версия на този продукт.

11. Производителите могат да поддържат публични софтуерни архиви, подобряващи достъпа на ползвателите до предишни версии. В тези случаи ползвателите се информират ясно и по леснодостъпен начин за рисковете, свързани с използването на неподдържан софтуер.

12. Преди да пуснат даден продукт с цифрови елементи на пазара, производителите изготвят техническата документация, посочена в член 31.

Те извършват или възлагат извършването на избраните процедури за оценяване на съответствието, както са посочени в член 32.

Когато чрез тази процедура за оценяване на съответствието е доказано съответствието на продукта с цифрови елементи със съществените изисквания за киберсигурност, определени в приложение I, част I, и на въведените от производителя процеси със съществените изисквания за киберсигурност, определени в приложение I, част II, производителите изготвят ЕС декларацията за съответствие съгласно член 28 и поставят маркировката „СЕ“ съгласно член 30.

13. Производителите съхраняват техническата документация и ЕС декларацията за съответствие на разположение на органите за надзор на пазара в продължение най-малко на 10 години след пускането на пазара на продукта с цифрови елементи или за периода на поддръжка, в зависимост от това кой период е по-дълъг.

14. Производителите гарантират, че съществуват процедури, чрез които продуктите с цифрови елементи, които са обект на серийно производство, остават в съответствие с настоящия регламент. Производителите вземат предвид по подходящ начин промените в процеса на разработване и производство или в проектирането или характеристиките на продукта с цифрови елементи, както и промените в хармонизираните стандарти, европейските схеми за сертифициране на киберсигурността или общите спецификации, както са посочени в член 27, чрез позоваване на които се декларира съответствието на продукта с цифрови елементи или чрез прилагане на които се проверява неговото съответствие.

15. Производителите гарантират, че върху техните продукти с цифрови елементи е нанесен типът, партидният или серийният номер или друг елемент, който позволява тяхната идентификация, или когато това не е възможно, че тази информация е представена върху тяхната опаковка или в документ, който придружава продукта с цифрови елементи.

16. Производителите посочват името, регистрираното търговско наименование или регистрираната търговска марка на производителя, както и пощенския адрес, адреса на електронна поща или други цифрови координати за връзка, а също и — когато е приложимо, уебсайта, на които може да се осъществи връзка с производителя, върху продукта с цифрови елементи, върху неговата опаковка или в документ, който придружава продукта с цифрови елементи. Тази информация се включва и в информацията и указанията за ползвателя, предвидени в приложение II. Данните за връзка са на език, който е лесноразбираем за ползвателите и органите за надзор на пазара.

17. За целите на настоящия регламент производителите определят единно звено за контакт, което да дава възможност на ползвателите да комуникират пряко и бързо с тях, включително за да се улесни докладването относно уязвимости на продукта с цифрови елементи.

Производителите гарантират, че единното звено за контакт е лесно разпознаваемо от ползвателите. Те включват и единното звено за контакт в информацията и указанията за ползвателя, посочени в приложение II.

Единното звено за контакт позволява на ползвателите да избират предпочитаните от тях средства за комуникация и не ограничава тези средства до автоматизирани инструменти.

18. Производителите гарантират, че продуктите с цифрови елементи се придружават от информацията и инструкциите за ползвателя, посочени в приложение II, на хартиен или електронен носител. Тази информация и инструкции се предоставят на език, който е лесноразбираем за ползвателите и органите за надзор на пазара. Те трябва да са ясни, разбираеми, смислени и четливи. Те позволяват сигурно инсталиране, експлоатация и използване на продуктите с цифрови елементи. Производителите съхраняват информацията и инструкциите за ползвателя, посочени в приложение II, на разположение на ползвателите и органите за надзор на пазара в продължение най-малко на 10 години след пускането на пазара на продукта с цифрови елементи или за периода на поддръжка, в зависимост от това кой период е по-дълъг. Когато тази информация и инструкции се предоставят онлайн, производителите гарантират, че те са достъпни, лесни за ползване и достъпни онлайн в продължение най-малко на 10 години след пускането на пазара на продукта с цифрови елементи или за периода на поддръжка, в зависимост от това кой период е по-дълъг.

19. Производителите гарантират, че крайната дата на периода на поддръжка, посочен в параграф 8, включително най-малко месецът и годината, е ясно и разбираемо посочена в момента на покупката по леснодостъпен начин и когато е приложимо, върху продукта с цифрови елементи, неговата опаковка или чрез цифрови средства.

Когато това е технически осъществимо с оглед на естеството на продукта с цифрови елементи, производителите показват нотификация до ползвателите, с която ги информират, че техният продукт с цифрови елементи е достигнал края на своя период на поддръжка.

20. Производителите предоставят копие от ЕС декларацията за съответствие или опростена ЕС декларация за съответствие заедно с продукта с цифрови елементи. Когато се представя опростена ЕС декларация за съответствие, тя съдържа точния интернет адрес, на който може да бъде намерен пълният текст на декларацията за съответствие с изискванията на ЕС.

21. От пускането на пазара и за периода на поддръжка производителите, които знаят или имат основание да смятат, че продуктът с цифрови елементи или въведените от производителя процеси не са в съответствие със съществените изисквания за киберсигурност, определени в приложение I, незабавно предприемат необходимите корективни мерки, за да приведат продукта с цифрови елементи или процесите на производителя в съответствие с изискванията, да изтеглят или да изземат продукта, според случая.

22. При мотивирано искане от страна на орган за надзор на пазара производителите предоставят на този орган, на лесноразбираем за този орган език, цялата информация и документация на хартиен или електронен носител, необходима за доказване на съответствието на продукта с цифрови елементи и на въведените от производителя процеси със съществените изисквания за киберсигурност, определени в приложение I. Производителите си сътрудничат с този орган, по негово искане, във връзка с всички мерки, предприети за отстраняване на киберрисковете, породени от пуснатия от тях на пазара продукт с цифрови елементи.

23. Производител, който прекратява дейността си и в резултат на това не е в състояние да спази настоящия регламент, информира, преди прекратяването на дейностите да влезе в сила, съответните органи за надзор на пазара, както и, с всички налични средства и доколкото е възможно, ползвателите на съответните продукти с цифрови елементи, пуснати на пазара, за предстоящото прекратяване на дейностите.

24. Чрез актове за изпълнение, при които се вземат предвид европейските или международните стандарти и най-добри практики, Комисията може да определи формата и елементите на описа на софтуерните компоненти, посочен в приложение I, част II, точка 1. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 62, параграф 2.

25. За да се оцени зависимостта на държавите членки и на Съюза като цяло от софтуерни компоненти, по-специално от компоненти, квалифицирани като свободен софтуер с отворен код, ADCO групата може да реши да извърши оценка на зависимостта в целия Съюз за конкретни категории продукти с цифрови елементи. За тази цел органите за надзор на пазара могат да поискат от производителите на такива категории продукти с цифрови елементи да предоставят съответните описи на софтуерните компоненти, както е посочено в приложение I, част II, точка 1. Въз основа на тази информация органите за надзор на пазара могат да предоставят на ADCO групата анонимизирана и обобщена информация за софтуерните зависимости. ADCO групата представя доклад относно резултатите от оценката на зависимостта на групата за сътрудничество, създадена съгласно член 14 от Директива (ЕС) 2022/2555.

Задължения на производителите за отчет

1. Производителят нотифицира едновременно определения за координатор ЕРИКС, в съответствие с параграф 7 от настоящия член, и ENISA, за всяка активно използвана уязвимост, съдържаща се в продукта с цифрови елементи, за която е узнал. Производителят нотифицира тази активно използвана уязвимост чрез единната платформа за докладване, създадена съгласно член 16.

2. За целите на нотификацията, посочена в параграф 1, производителят представя:

3. Производителят нотифицира едновременно на ЕРИКС, който е определен за координатор в съответствие с параграф 7 от настоящия член, и на ENISA, всеки сериозен инцидент, за който е узнал, който оказва въздействие върху сигурността на продукта с цифрови елементи. Производителят нотифицира този инцидент чрез единната платформа за докладване, създадена съгласно член 16.

4. За целите на нотификацията, посочена в параграф 3, производителят представя:

5. За целите на параграф 3 инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи, се счита за сериозен, когато:

6. Когато е необходимо, определеният за координатор ЕРИКС, първоначално получаващ нотификацията, може да поиска от производителите да предоставят междинен доклад за съответните актуализации на ситуацията с активно използваната уязвимост или сериозния инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи.

7. Нотификациите, посочени в параграфи 1 и 3 от настоящия член, се подават чрез единната платформа за докладване, посочена в член 16, като се използва една от крайните точки за електронно нотифициране, посочени в член 16, параграф 1. Нотификацията се подава, като се използва крайната точка за електронно нотифициране на определения за координатор ЕРИКС на държавата членка, в която се намира основното място на установяване на производителите в Съюза, и едновременно с това е достъпно за ENISA.

За целите на настоящия регламент се счита, че основното място на установяване в Съюза на даден производител е в държавата членка, в която преимуществено се вземат решенията, свързани с киберсигурността на неговите продукти с цифрови елементи. Ако такава държава членка не може да бъде определена, за основно място на установяване се счита държавата членка, в която съответният производител има място на установяване с най-големия брой служители в Съюза.

Когато даден производител няма основно място на установяване в Съюза, той подава нотификациите, посочени в параграфи 1 и 3, като използва крайната точка за електронно нотифициране на определения за координатор ЕРИКС в държавата членка, определена съгласно следния ред и въз основа на информацията, с която разполага производителят:

Във връзка с трета алинея, буква г) производителят може да подава нотификации, свързани с всяка последваща активно използвана уязвимост или сериозен инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи, на същия определен за координатор ЕРИКС, на който е докладвал за първи път.

8. След като узнае за активно използвана уязвимост или сериозен инцидент, който оказва въздействие върху сигурността на продукт с цифрови елементи, производителят информира засегнатите ползватели на продукта с цифрови елементи и, когато е подходящо, всички ползватели за тази уязвимост или инцидент, и, когато е необходимо, за всички мерки за намаляване на риска и корективни мерки, които ползвателите могат да приложат, за да намалят въздействието на уязвимостта или инцидента, когато е подходящо в структуриран, машинночетим формат, който е лесен за автоматично обработване. Ако производителят не информира своевременно ползвателите на продукта с цифрови елементи, нотифицираните определени за координатори ЕРИКС могат да предоставят тази информация на ползвателите, когато това се счита за пропорционално и необходимо за предотвратяване или смекчаване на въздействието на уязвимостта или инцидента.

9. До 11 декември 2025 г. Комисията приема делегирани актове в съответствие с член 61 за допълване на настоящия регламент, като определя реда и условията за прилагане на основанията, свързани с киберсигурността, за забавяне на разпространението на нотификациите, посочени в член 16, параграф 2. При изготвянето на проектите на делегираните актове Комисията си сътрудничи с мрежата на ЕРИКС, създадена съгласно член 15 от Директива (ЕС) 2022/2555, и с ENISA.

10. Чрез приемане на актове за изпълнение Комисията може да определи допълнително формата и процедурите на нотификациите, посочени в настоящия член, както и в членове 15 и 16. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 62, параграф 2. При изготвянето на тези проекти на актове за изпълнение Комисията си сътрудничи с мрежата на ЕРИКС и ENISA.

Доброволно докладване

1. Производителите, както и други физически или юридически лица, могат доброволно да нотифицират на определения за координатор ЕРИКС, или на ENISA всяка уязвимост, съдържаща се в продукт с цифрови елементи, както и киберзаплахите, които биха могли да засегнат рисковия профил на продукт с цифрови елементи.

2. Производителите, както и други физически или юридически лица, могат доброволно да нотифицират на определения за координатор ЕРИКС или на ENISA всеки инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи, както и ситуации, близки до инциденти, които е можело да доведат до такъв инцидент.

3. Определеният за координатор ЕРИКС или ENISA обработва нотификациите, посочени в параграфи 1 и 2 от настоящия член, в съответствие с процедурата, предвидена в член 16.

Определеният за координатор ЕРИКС може да обработва с предимство задължителните нотификации пред доброволните нотификации.

4. Когато физическо или юридическо лице, различно от производителя, нотифицира в съответствие с параграфи 1 или 2 активно използвана уязвимост или сериозен инцидент, който оказва въздействие върху сигурността на продукт с цифрови елементи, определеният за координатор ЕРИКС информира без ненужно забавяне производителя.

5. Определеният за координатор ЕРИКС, и ENISA гарантират поверителността и подходящата защита на информацията, предоставяна от нотифициращото физическо или юридическо лице. Без да се засягат предотвратяването, разследването, разкриването и наказателното преследване на престъпления, доброволното докладване не води до налагането на никакви допълнителни задължения на нотифициращото физическо или юридическо лице, на които то не би подлежало, ако не подаде нотификацията.

Създаване на единна платформа за докладване

1. За целите на нотификациите, посочени в член 14, параграфи 1 и 3 и член 15, параграфи 1 и 2, и за да се опростят задълженията на производителите за докладване, ENISA създава единна платформа за докладване. Ежедневните операции на тази единна платформа за докладване се управляват и поддържат от ENISA. Архитектурата на единната платформа за докладване позволява на държавите членки и ENISA да въвеждат свои собствени крайни точки за електронно нотифициране.

2. След получаване на нотификация определеният за координатор ЕРИКС, който първоначално получава нотификацията, незабавно разпространява нотификацията чрез единната платформа за докладване до определените за координатори ЕРИКС, на чиято територия производителят е посочил, че е предоставен продуктът с цифрови елементи.

При изключителни обстоятелства, по-специално по искане на производителя и с оглед на степента на чувствителност на нотифицираната информация, посочена от производителя съгласно член 14, параграф 2, буква а) от настоящия регламент, разпространението на нотификацията може да бъде забавено поради основателни причини, свързани с киберсигурността, за период от време, който е строго необходим, включително когато уязвимостта е предмет на координирана процедура за оповестяване на уязвимости, както е посочено в член 12, параграф 1 от Директива (ЕС) 2022/2555. Ако ЕРИКС реши да не публикува нотификация, той незабавно информира ENISA за решението и предоставя както обосновка за непубликуването на нотификацията, така и указание кога ще разпространи нотификацията в съответствие с процедурата за разпространение, предвидена в настоящия параграф. ENISA може да подпомага ЕРИКС при прилагането на основания, свързани с киберсигурността, във връзка със забавяне на разпространението на нотификацията.

При особено изключителни обстоятелства, когато производителят посочва в нотификацията по член 14, параграф 2, буква б):

на ENISA се предоставя едновременно само информацията, че производителят е направил нотификация, общата информация за продукта, информацията за общия характер на използването и информацията, че са приведени основания, свързани със сигурността, докато пълната нотификация не се разпространи до съответните ЕРИКС и ENISA. Когато въз основа на тази информация ENISA счита, че съществува системен риск, засягащ сигурността на вътрешния пазар, тя препоръчва на получаващия ЕРИКС да разпространи пълната нотификация до другите определени за координатори ЕРИКС и до самата ENISA.

3. След получаване на нотификация за активно използвана уязвимост в продукт с цифрови елементи или за сериозен инцидент, който оказва въздействие върху сигурността на продукт с цифрови елементи, определените за координатори ЕРИКС предоставят на органите за надзор на пазара на съответните си държави членки нотифицираната информация, необходима на органите за надзор на пазара, за да изпълнят задълженията си по настоящия регламент.

4. ENISA предприема подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на единната платформа за докладване и на информацията, подадена или разпространявана чрез единната платформа за докладване. Тя нотифицира без ненужно забавяне на мрежата на ЕРИКС и Комисията инциденти, свързани със сигурността, които засягат единната платформа за докладване.

5. ENISA, в сътрудничество с мрежата на ЕРИКС, предоставя и прилага спецификации относно техническите, оперативните и организационните мерки във връзка със създаването, поддръжката и сигурното функциониране на единната платформа за докладване, посочена в параграф 1, включително най-малко договореностите за сигурност, свързани със създаването, функционирането и поддръжката на единната платформа за докладване, както и крайните точки за електронно нотифициране, създадени от определените за координатори ЕРИКС на национално равнище и от ENISA на равнището на Съюза, включително процедурни аспекти, за да се гарантира, че когато нотифицираната уязвимост не съдържа коригиращи или смекчаващи мерки, информацията за тази уязвимост се споделя в съответствие със строги протоколи за сигурност и въз основа на принципа „необходимост да се знае“.

6. Когато определен за координатор ЕРИКС е бил уведомен за активно използвана уязвимост като част от координирана процедура за оповестяване на уязвимости, както е посочено в член 12, параграф 1 от Директива (ЕС) 2022/2555, определеният за координатор ЕРИКС, който първоначално получава нотификацията, може да отложи разпространението на съответната нотификация чрез единната платформа за докладване поради основателни причини, свързани с киберсигурността, за срок, който не надвишава строго необходимото, и докато не бъде дадено съгласие за разкриване от участващите страни в координираното разкриване на уязвимости. Това изискване не възпрепятства производителите доброволно да нотифицират такава уязвимост в съответствие с процедурата, предвидена в настоящия член.

Други разпоредби, свързани с докладването

1. ENISA може да предоставя на Европейската мрежа за връзка на организациите при киберкризи (EU-CyCLONe), създадена съгласно член 16 от Директива (ЕС) 2022/2555, информацията, нотифицирана съгласно член 14, параграфи 1 и 3 и член 15, параграфи 1 и 2 от настоящия регламент, ако тази информация е от значение за координираното управление на мащабни киберинциденти и кризи на оперативно равнище. За да определи дали съответната информация е от такова значение, ENISA може да взема предвид технически анализи, извършени от мрежата на ЕРИКС, ако има такива.

2. Когато е необходима обществена осведоменост за предотвратяване или смекчаване на сериозен инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи, или за справяне с текущ инцидент, или когато разкриването на инцидента е в обществен интерес по друг начин, определеният за координатор ЕРИКС на съответната държава членка може, след консултация със засегнатия производител и когато е целесъобразно, в сътрудничество с ENISA, да информира обществеността за инцидента или да изиска от производителя да направи това.

3. Въз основа на нотификациите, получени по член 14, параграфи 1 и 3 и член 15, параграфи 1 и 2 от настоящия регламент, на всеки 24 месеца ENISA изготвя технически доклад за нововъзникващите тенденции по отношение на киберрисковете в продуктите с цифрови елементи и го представя на групата за сътрудничество за МИС, създадена съгласно член 14 от Директива (ЕС) 2022/2555. Първият такъв доклад се представя в срок от 24 месеца от датата на прилагане на задълженията, предвидени в член 14, параграфи 1 и 3 от настоящия регламент. ENISA включва съответната информация от техническите си доклади в своя доклад за състоянието на киберсигурността в Съюза съгласно член 18 от Директива (ЕС) 2022/2555.

4. Самото действие на нотифициране в съответствие с член 14, параграфи 1 и 3 и член 15, параграфи 1 и 2 не възлага на нотифициращото физическо или юридическо лице по-голяма отговорност.

5. След като бъде налична актуализация за сигурност или друга форма на коригираща или смекчаваща мярка, ENISA, със съгласието на производителя на съответния продукт с цифрови елементи, добавя публично известната уязвимост, нотифицирана съгласно член 14, параграф 1 или член 15, параграф 1 от настоящия регламент, към европейската база данни за уязвимости, създадена съгласно член 12, параграф 2 от Директива (ЕС) 2022/2555.

6. Определените за координатори ЕРИКС предоставят на производителите подкрепа във връзка със задълженията за докладване съгласно член 14, по-специално на производителите, които се определят като микропредприятия или малки или средни предприятия.

Упълномощени представители

1. Производителят може, чрез писмено пълномощно, да назначава упълномощен представител.

2. Задълженията, установени в член 13, параграфи 1—11, параграф 12, първа алинея и параграф 14, не се включват в пълномощното на упълномощения представител.

3. Упълномощеният представител изпълнява задачите, определени в даденото от производителя пълномощно. Упълномощеният представител предоставя при поискване екземпляр от пълномощното на органите за надзор на пазара. Пълномощното позволява на упълномощения представител да извършва най-малко следното:

Задължения на вносителите

1. Вносителите пускат на пазара само продукти с цифрови елементи, съответстващи на съществените изисквания за киберсигурност, определени в приложение I, част I, и при които въведените от производителя процеси съответстват на съществените изисквания за киберсигурност, определени в приложение I, част II.

2. Преди да пуснат един продукт с цифрови елементи на пазара на Съюза, вносителите гарантират, че:

За целите на настоящия параграф вносителите са в състояние да предоставят необходимите документи, доказващи изпълнението на изискванията, посочени в настоящия член.

3. Когато вносител счита или има основание да счита, че продукт с цифрови елементи или процесите, въведени от производителя, не са в съответствие с настоящия регламент, вносителят не пуска продукта на пазара, докато продуктът или процесите, въведени от производителя, не бъдат приведени в съответствие с настоящия регламент. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, вносителят информира за това производителя и органите за надзор на пазара.

Когато вносител има основания да счита, че даден продукт с цифрови елементи може да представлява значителен киберриск с оглед на нетехнически рискови фактори, вносителят информира за това органите за надзор на пазара. При получаване на такава информация органите за надзор на пазара следват процедурите, посочени в член 54, параграф 2.

4. Вносителите посочват своето име, регистрирано търговско наименование или регистрирана търговска марка, пощенския адрес, адреса на електронна поща или друг цифров контакт, а също и, когато е приложимо, уебсайта, на който може да се осъществи връзка с тях, върху продукта с цифрови елементи или върху неговата опаковка или в документ, който придружава продукта с цифрови елементи. Данните за връзка са на език, лесноразбираем за ползвателите и органите за надзор на пазара.

5. Вносителите, които знаят или имат основание да смятат, че продукт с цифрови елементи, който са пуснали на пазара, не е в съответствие с настоящия регламент, незабавно предприемат необходимите коригиращи мерки, за да гарантират, че продуктът с цифрови елементи е приведен в съответствие с настоящия регламент, или за изтегляне или изземване на продукта, ако е подходящо.

Когато узнаят за уязвимост в продукта с цифрови елементи, вносителите информират производителя без неоправдано забавяне за тази уязвимост. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, вносителите информират незабавно за това органите за надзор на пазара на държавите членки, в които са предоставили на пазара продукта с цифрови елементи, като предоставят подробни данни, по-специално за несъответствието с изискванията и за всякакви предприети корективни мерки.

6. В продължение на най-малко десет години след пускането на пазара на продукта с цифрови елементи или за периода на поддръжка, в зависимост от това кой период е по-дълъг, вносителите съхраняват копие от ЕС декларацията за съответствие на разположение на органите за надзор на пазара и гарантират, че при поискване техническата документация може да бъде предоставена на тези органи.

7. При мотивирано искане от страна на орган за надзор на пазара вносителите му предоставят цялата информация и документация на хартиен или електронен носител, необходима за доказване на съответствието на продукта с цифрови елементи със съществените изисквания за киберсигурност, посочени в приложение I, част I, както и на въведените от производителя процеси със съществените изисквания за киберсигурност, посочени в приложение I, част II, на лесноразбираем за този орган език. Те сътрудничат на този орган, по негово искане, за всякакви корективни мерки, предприети за отстраняване на киберрисковете, свързани с продуктите с цифрови елементи, които те са пуснали на пазара.

8. Когато вносителят на продукт с цифрови елементи узнае, че производителят на този продукт е преустановил дейността си и в резултат на това не е в състояние да изпълни задълженията, предвидени в настоящия регламент, вносителят информира съответните органи за надзор на пазара за това положение, както и, с всички налични средства и доколкото е възможно, ползвателите на пуснатите на пазара продукти с цифрови елементи.

Задължения на дистрибуторите

1. Когато предоставят продукт с цифрови елементи на пазара, дистрибуторите действат с дължимата грижа по отношение на изискванията, предвидени в настоящия регламент.

2. Преди да предоставят на пазара продукт с цифрови елементи, дистрибуторите проверяват дали:

3. Когато дистрибутор счита или има основание да счита, въз основа на информация, с която разполага, че продукт с цифрови елементи или процесите, въведени от производителя, не са в съответствие със съществените изисквания за киберсигурност, посочени в приложение I, дистрибуторът не предоставя продукта с цифрови елементи на пазара, докато този продукт или процесите, въведени от производителя, не бъдат приведени в съответствие с настоящия регламент. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, дистрибуторът информира за това производителя и органите за надзор на пазара без неоправдано забавяне.

4. Дистрибуторите, които знаят или имат основание да смятат, въз основа на информация, с която разполагат, че продукт с цифрови елементи, който са предоставили на пазара, или процесите, въведени от неговия производител, не са в съответствие с настоящия регламент, гарантират, че са предприети необходимите корективни мерки за привеждане на продукта с цифрови елементи или на процесите, въведени от неговия производител, в съответствие, или за изтегляне или изземване на продукта, ако е подходящо.

Когато узнаят за уязвимост в продукта с цифрови елементи дистрибуторите информират производителя за тази уязвимост без неоправдано забавяне. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, дистрибуторите информират незабавно за това органите за надзор на пазара на държавите членки, в които са предоставили продукта с цифрови елементи на пазара, като предоставят подробни данни, по-специално за неспазването на изискванията и за всякакви предприети корективни мерки.

5. При мотивирано искане от страна на орган за надзор на пазара дистрибуторите предоставят цялата информация и документация на хартиен или електронен носител, необходима за доказване на съответствието на продукта с цифрови елементи и на въведените от производителя процеси с настоящия регламент на лесноразбираем за този орган език. Те сътрудничат на този орган, по негово искане, за всякакви корективни мерки, предприети за отстраняване на киберрисковете, свързани с продуктите с цифрови елементи, които те са предоставили на пазара.

6. Когато дистрибуторът на продукт с цифрови елементи узнае, въз основа на информация, с която разполага, че производителят на този продукт е преустановил дейността си и в резултат на това не е в състояние да изпълни задълженията, предвидени в настоящия регламент, дистрибуторът, без ненужно забавяне, информира съответните органи за надзор на пазара за това положение, както и, с всички налични средства и доколкото е възможно, ползвателите на пуснатите на пазара продукти с цифрови елементи.

Случаи, в които задълженията на производителите се прилагат и към вносителите и дистрибуторите

Вносител или дистрибутор се счита за производител за целите на настоящия регламент и за него се прилагат членове 13 и 14, когато този вносител или дистрибутор пуска на пазара продукт с цифрови елементи под своето име или търговска марка или извършва съществено изменение на продукт с цифрови елементи, който вече е пуснат на пазара.

Други случаи, в които се прилагат задълженията на производителите

1. Физическо или юридическо лице, различно от производителя, вносителя или дистрибутора, което извършва съществено изменение на продукт с цифрови елементи и предоставя този продукт на пазара, се счита за производител за целите на настоящия регламент.

2. Задълженията по членове 13 и 14 се прилагат по отношение на лицето, посочено в параграф 1 от настоящия член, за частта от продукта с цифрови елементи, която е засегната от същественото изменение, или, ако същественото изменение оказва въздействие върху киберсигурността на продукта с цифрови елементи като цяло, за целия продукт.

Идентификация на икономическите оператори

1. По искане на органите за надзор на пазара, икономическите оператори им предоставят следната информация:

2. Икономическите оператори трябва да бъдат в състояние да представят информацията, посочена в параграф 1, в продължение на 10 години, след като продуктът с цифрови елементи им е бил доставен, и в продължение на 10 години, след като те са доставили продукта с цифрови елементи.

Задължения на попечителите на софтуер с отворен код

1. Попечителите на софтуер с отворен код въвеждат и документират по проверим начин политика за киберсигурност за насърчаване на разработването на сигурен продукт с цифрови елементи, както и ефективно справяне с уязвимостите от страна на разработчиците на този продукт. Тази политика също така насърчава доброволното докладване на уязвимости, предвидено в член 15, от разработчиците на този продукт и взема предвид специфичното естество на попечителя на софтуер с отворен код и правните и организационните договорености, които се прилагат за него. Посочената политика включва по-специално аспекти, свързани с документирането, преодоляването и отстраняването на уязвимости, и насърчава споделянето на информация относно открити уязвимости в рамките на общността, работеща с отворен код.

2. Попечителите на софтуер с отворен код сътрудничат на органите за надзор на пазара, по тяхно искане, с цел смекчаване на киберрисковете, породени от продукт с цифрови елементи, отговарящи на критериите за свободен софтуер с отворен код.

При мотивирано искане от страна на орган за надзор на пазара попечителите на софтуер с отворен код предоставят на този орган на език, лесно разбираем за този орган, документацията, посочена в параграф 1, на хартиен или електронен носител.

3. Задълженията по член 14, параграф 1 се прилагат за попечителите на софтуер с отворен код, доколкото те участват в разработването на продуктите с цифрови елементи. Задълженията по член 14, параграфи 3 и 8 се прилагат за попечителите на софтуер с отворен код, доколкото сериозни инциденти, които оказват въздействие върху сигурността на продуктите с цифрови елементи, засягат мрежовите и информационните системи, предоставени от попечителите на софтуер с отворен код за разработването на такива продукти.

Удостоверяване на сигурността на свободния софтуер с отворен код

За да се улесни задължението за дължима грижа, посочено в член 13, параграф 5, по-специално по отношение на производителите, които интегрират компоненти на свободен софтуер с отворен код в своите продукти с цифрови елементи, на Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 61 за допълване на настоящия регламент чрез създаване на доброволни програми за удостоверяване на сигурността, позволяващи на разработчиците или ползвателите на продукти с цифрови елементи, квалифицирани като свободен софтуер с отворен код, както и на други трети страни, да оценяват съответствието на такива продукти с всички или някои съществени изисквания за киберсигурност или други задължения, установени в настоящия регламент.

Насоки

1. С цел да се улесни изпълнението и да се гарантира неговата последователност, Комисията публикува насоки за подпомагане на икономическите оператори при прилагането на настоящия регламент със специален акцент върху улесняването на спазването на изискванията от страна на микропредприятията и малките и средните предприятия.

2. Когато възнамерява да предостави насоки, както е посочено в параграф 1, Комисията разглежда най-малко следните аспекти:

Комисията поддържа също така леснодостъпен списък на делегираните актове и актовете за изпълнение, приети съгласно настоящия регламент.

3. При изготвянето на насоките съгласно настоящия член Комисията се консултира със съответните заинтересовани страни.

Презумпция за съответствие

1. За продуктите с цифрови елементи и процесите, въведени от производителя, които съответстват на хармонизираните стандарти или на части от тях, данните за които са били публикувани в Официален вестник на Европейския съюз, се приема, че съответстват на съществените изисквания за киберсигурност, определени в приложение I, обхванати от тези стандарти или части от тях.

Комисията, в съответствие с член 10, параграф 1 от Регламент (ЕС) № 1025/2012, отправя искане към една или повече европейски организации за стандартизация да изготвят хармонизирани стандарти за съществените изисквания за киберсигурност, определени в приложение I към настоящия регламент. При изготвянето на исканията за стандартизация за настоящия регламент Комисията се стреми да взема предвид съществуващите европейски и международни стандарти за киберсигурност, които са въведени или са в процес на разработване, за да се опрости разработването на хармонизирани стандарти в съответствие с Регламент (ЕС) № 1025/2012.

2. Комисията може да приема актове за изпълнение за установяване на общи спецификации, обхващащи технически изисквания, които осигуряват начин за спазване на съществените изисквания за киберсигурност, определени в приложение I за продуктите с цифрови елементи, попадащи в обхвата на настоящия регламент.

Тези актове за изпълнение се приемат само когато са изпълнени следните условия:

Посочените актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 62, параграф 2.

3. Преди да изготви проекта на акт за изпълнение, посочен в параграф 2 от настоящия член, Комисията информира комитета, посочен в член 22 от Регламент (ЕС) № 1025/2012, че счита, че условията по параграф 2 от настоящия член са изпълнени.

4. При изготвянето на проекта на акт за изпълнение, посочен в параграф 2, Комисията взема предвид становищата на съответните органи и надлежно се консултира с всички съответни заинтересовани страни.

5. За продуктите с цифрови елементи и процесите, въведени от производителя, които са в съответствие с общите спецификации, установени с актовете за изпълнение, посочени в параграф 2 от настоящия член, или с части от тях, се приема, че са в съответствие със съществените изисквания за киберсигурност, определени в приложение I, попадащи в обхвата на тези общи спецификации или на части от тях.

6. Когато хармонизиран стандарт е приет от европейска организация за стандартизация и е предложен на Комисията с цел публикуване на данните за него в Официален вестник на Европейския съюз, Комисията оценява хармонизирания стандарт в съответствие с Регламент (ЕС) № 1025/2012. Когато в Официален вестник на Европейския съюз се публикуват данните за хармонизиран стандарт, Комисията отменя актовете за изпълнение, посочени в параграф 2 от настоящия член, или частите от тях, които обхващат същите съществени изисквания за киберсигурност като тези, обхванати от този хармонизиран стандарт.

7. Когато държава членка счита, че дадена обща спецификация не отговаря напълно на съществените изисквания за киберсигурност, определени в приложение I, тя информира Комисията за това, като представя подробно обяснение. Комисията разглежда това подробно обяснение и, ако е уместно, може да измени акта за изпълнение, с който е въведена въпросната обща спецификация.

8. За продуктите с цифрови елементи и процесите, въведени от производителя, за които са издадени ЕС декларация за съответствие или сертификат по европейска схема за сертифициране на киберсигурността, приета съгласно Регламент (ЕС) 2019/881, се приема, че съответстват на съществените изисквания за киберсигурност, определени в приложение I, доколкото ЕС декларацията за съответствие или европейският сертификат за киберсигурност, или части от тях, покриват тези изисквания.

9. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 61 от настоящия регламент за допълване на настоящия регламент чрез определяне на европейските схеми за сертифициране на киберсигурността, приети съгласно Регламент (ЕС) 2019/881, които могат да се използват за доказване на съответствие на продукти с цифрови елементи със съществените изисквания за киберсигурност или с части от тях, както са определени в приложение I към настоящия регламент. Освен това, издаването на Европейски сертификат за киберсигурност по тези схеми, удостоверяващ най-малко „съществено“ ниво на увереност, премахва задължението на производителя да извърши оценяване на съответствието от трета страна за съответните изисквания, както е предвидено в член 32, параграф 2, букви а) и б) и член 32, параграф 3, букви а) и б) от настоящия регламент.

ЕС декларация за съответствие

1. ЕС декларацията за съответствие се изготвя от производителите в съответствие с член 13, параграф 12 и в нея се посочва, че изпълнението на приложимите съществени изисквания за киберсигурност, определени в приложение I, е доказано.

2. ЕС декларацията за съответствие се съставя по образеца, установен в приложение V, и съдържа елементите, определени в съответните процедури за оценяване на съответствието, установени в приложение VIII. Тази декларация се актуализира, когато е уместно. Тя се предоставя на езиците, изисквани от държавата членка, на чийто пазар се пуска или предоставя продуктът с цифрови елементи.

Опростената ЕС декларация за съответствие, посочена в член 13, параграф 20, се съставя по образеца, установен в приложение VI. Тя се предоставя на езиците, изисквани от държавата членка, на чийто пазар се пуска или предоставя продуктът с цифрови елементи.

3. Когато приложимите към продукта с цифрови елементи правни актове на Съюза, които изискват ЕС декларация за съответствие, са повече от един, се изготвя само една ЕС декларация за съответствие във връзка с всички такива правни актове на Съюза. В тази декларация се посочват съответните правни актове на Съюза, включително данните за тяхното публикуване.

4. Като изготвя ЕС декларация за съответствие, производителят поема отговорността за съответствието на продукта с цифрови елементи.

5. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 61 за допълване на настоящия регламент чрез добавяне на елементи към минималното съдържание на ЕС декларацията за съответствие, посочено в приложение V, за да бъде отчетено технологичното развитие.

Основни принципи за маркировката „CE“

За маркировката „CE“ се прилагат основните принципи, определени в член 30 от Регламент (ЕО) № 765/2008.

Правила и условия за нанасяне на маркировката „СЕ“

1. Маркировката „СЕ“ се нанася върху самия продукт с цифрови елементи така, че да бъде видима, четлива и незаличима. Когато това не е възможно или не е подходящо поради естеството на продукта с цифрови елементи, тя се нанася върху опаковката и върху ЕС декларацията за съответствие, посочена в член 28, придружаваща продукта с цифрови елементи. За продукти с цифрови елементи, които са под формата на софтуер, маркировката „СЕ“ се нанася или в ЕС декларацията за съответствие, посочена в член 28, или в уебсайта, придружаващ софтуерния продукт. В последния случай съответният раздел на уебсайта трябва да бъде лесно и пряко достъпен за потребителите.

2. Поради естеството на продукта с цифрови елементи височината на маркировката „СЕ“, нанесена върху продукта с цифрови елементи, може да бъде по-малка от 5 mm, при условие че тя остава видима и четлива.

3. Маркировката „СЕ“ се нанася, преди продуктът с цифрови елементи да бъде пуснат на пазара. Тя може да бъде следвана от пиктограма или друг знак, указващи специален киберриск или употреба, определени в актовете за изпълнение, посочени в параграф 6.

4. Маркировката „СЕ“ е следвана от идентификационния номер на нотифицирания орган, когато този орган участва в процедурата за оценяване на съответствието въз основа на пълно осигуряване на качеството (въз основа на модул Н), посочена в член 32.

Идентификационният номер на нотифицирания орган се нанася от самия орган или, по негови указания, от производителя или от упълномощения представител на производителя.

5. Държавите членки доразвиват съществуващите механизми, за да гарантират правилното прилагане на режима, уреждащ маркировката „СЕ“, и предприемат подходящи действия в случай на неправомерно използване на тази маркировка. Когато спрямо продукта с цифрови елементи се прилага друго законодателство на Съюза за хармонизиране, различно от настоящия регламент, което също предвижда нанасянето на маркировката „СЕ“, маркировката „СЕ“ показва, че продуктът отговаря и на изискванията, установени в това друго законодателство на Съюза за хармонизация.

6. Комисията може чрез актове за изпълнение да определя технически спецификации за етикети, пиктограми или други знаци, свързани със сигурността на продуктите с цифрови елементи, техните периоди на поддръжка, както и механизми за насърчаване на тяхното използване и за повишаване на обществената осведоменост за сигурността на продуктите с цифрови елементи. При изготвянето на проектите на актове за изпълнение Комисията се консултира със съответните заинтересовани страни и, ако вече е създадена съгласно член 52, параграф 15, с ADCO групата. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 62, параграф 2.

Техническа документация

1. Техническата документация включва всички подходящи данни или подробности за средствата, използвани от производителя, за да се гарантира, че продуктът с цифрови елементи и процесите, въведени от производителя, съответстват на съществените изисквания за киберсигурност, определени в приложение I. Тя съдържа най-малкото данните, посочени в приложение VII.

2. Техническата документация се изготвя преди пускането на продукта с цифрови елементи на пазара и се актуализира непрекъснато, когато е уместно, поне по време на периода на поддръжка на продукта.

3. По отношение на продуктите с цифрови елементи, посочени в член 12, които са предмет и на други правни актове на Съюза, в които се предвижда техническа документация, се изготвя едно-единствено досие с техническа документация, което съдържа информацията, посочена в приложение VII, и информацията, изисквана съгласно посочените правни актове на Съюза.

4. Техническата документация и кореспонденцията, свързани с всяка процедура за оценяване на съответствието, се изготвят на официалния език на държавата членка, в която е установен нотифицираният орган, или на език, приемлив за този орган.

5. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 61 за допълване на настоящия регламент чрез добавяне на елементи, които да бъдат включвани в техническата документация, посочена в приложение VII, за да бъдат отчетени технологичното развитие, както и промените, настъпили в процеса на прилагане на настоящия регламент. За тази цел Комисията се стреми да гарантира, че административната тежест за микропредприятията и малките и средните предприятия е пропорционална.

Процедури за оценяване на съответствието на продукти с цифрови елементи

1. Производителят извършва оценяване на съответствието на продукта с цифрови елементи и процесите, въведени от производителя, за да определи дали са спазени съществените изисквания за киберсигурност, определени в приложение I. Производителят доказва съответствието със съществените изисквания за киберсигурност, като използва която и да е от следните процедури:

2. Когато при оценяването на съответствието на важен продукт с цифрови елементи, който попада в обхвата на клас I, както е посочено в приложение III, и на процесите, въведени от неговия производител, със съществените изисквания за киберсигурност, определени в приложение I, производителят не е приложил или е приложил само частично хармонизирани стандарти, общи спецификации или европейски схеми за сертифициране на киберсигурността, предоставящи най-малко „съществено“ ниво на увереност, както е посочено в член 27, или когато такива хармонизирани стандарти, общи спецификации или европейски схеми за сертифициране на киберсигурността не съществуват, по отношение на тези съществени изисквания за киберсигурност за съответния продукт с цифрови елементи и за процесите, въведени от производителя, се използва която и да е от следните процедури:

3. Когато продуктът е важен продукт с цифрови елементи, който попада в обхвата на клас II, както е определен в приложение III, производителят доказва съответствието със съществените изисквания за киберсигурност, определени в приложение I, като използва която и да е от следните процедури:

4. Съответствието на критичните продукти с цифрови елементи, изброени в приложение IV, на съществените изисквания за киберсигурност, посочени в приложение I, се доказва с една от следните процедури:

5. Производителите на продукти с цифрови елементи, квалифицирани като свободен софтуер с отворен код, които попадат в категориите, определени в приложение III, трябва да могат да докажат съответствие със съществените изисквания за киберсигурност, определени в приложение I, като използват една от процедурите, посочени в параграф 1 от настоящия член, при условие че техническата документация, посочена в член 31, е предоставена на обществеността в момента на пускането на пазара на тези продукти.

6. Специфичните интереси и потребности на микропредприятията и на малките и средните предприятия, включително стартиращите предприятия, се вземат предвид при определянето на таксите за процедурите за оценяване на съответствието и тези такси се намаляват пропорционално на техните специфични интереси и потребности.

Мерки за подкрепа на микропредприятията и малките и средните предприятия, включително новосъздадените предприятия

1. Когато е целесъобразно, държавите членки предприемат следните действия, съобразени с нуждите на микропредприятията и малките предприятия:

2. Когато е целесъобразно, държавите членки могат да създават регулаторни лаборатории за киберустойчивост. Тези регулаторни лаборатории осигуряват контролирана среда за изпитване на иновативни продукти с цифрови елементи, за да се улесни тяхното разработване, проектиране, валидиране и изпитване за целите на спазването на настоящия регламент за ограничен период от време преди пускането на пазара. Комисията, и когато е целесъобразно, ENISA, могат да предоставят техническа подкрепа, съвети и инструменти за създаването и функционирането на регулаторни лаборатории. Регулаторните лаборатории се създават под прекия надзор, насоки и подкрепа от органите за надзор на пазара. Държавите членки информират Комисията и другите органи за надзор на пазара за създаването на регулаторна лаборатория чрез ADCO групата. Регулаторните лаборатории не засягат надзорните и коригиращите правомощия на компетентните органи. Държавите членки гарантират открит, справедлив и прозрачен достъп до регулаторните лаборатории, и по-специално улесняват достъпа на микропредприятията и малките предприятия, включително стартиращите предприятия.

3. В съответствие с член 26 Комисията предоставя насоки за микропредприятията и малките и средните предприятия във връзка с прилагането на настоящия регламент.

4. Комисията разгласява предвидената финансова подкрепа в регулаторната рамка на съществуващите програми на Съюза, по-специално с цел облекчаване на финансовата тежест върху микропредприятията и върху малките и средните предприятия.

5. Микропредприятията и малките предприятия могат да предоставят всички елементи на техническата документация, посочени в приложение VII, като използват опростен формат. За тази цел, чрез актове за изпълнение, Комисията определя опростения формуляр за техническа документация за нуждите на микропредприятията и малките предприятия, включително начина, по който трябва да се предоставят елементите, посочени в приложение VII. Когато микропредприятие или малко предприятие избере да предостави определената в приложение VII информация по опростен начин, то използва формуляра, посочен в настоящия параграф. Нотифицираните органи приемат този формуляр за целите на оценяването на съответствието.

Посочените актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 62, параграф 2.

Споразумения за взаимно признаване

Като взема предвид равнището на техническо развитие и подхода към оценяването на съответствието, прилаган от трета държава, Съюзът може да сключва споразумения за взаимно признаване с трети държави в съответствие с член 218 от ДФЕС с цел насърчаване и улесняване на международната търговия.

Нотифициране

1. Държавите членки нотифицират Комисията и другите държави членки относно органите, които са упълномощени да извършват оценяване на съответствието в съответствие с настоящия регламент.

2. Държавите членки се стремят да гарантират наличието в Съюза до 11 декември 2026 г. на достатъчен брой нотифицирани органи за извършване на оценки на съответствието, за да се избегнат затруднения и пречки пред навлизането на пазара.

Нотифициращи органи

1. Всяка държава членка определя нотифициращ орган, отговорен за въвеждането и провеждането на необходимите процедури за оценяване, определяне и нотифициране на органите за оценяване на съответствието, както и за тяхното наблюдение, включително съответствието с член 41.

2. Държавите членки могат да решат, че оценката и наблюдението, посочени в параграф 1, се провеждат от национален орган по акредитация по смисъла на Регламент (ЕО) № 765/2008 и в съответствие с него.

3. Когато нотифициращият орган делегира или възлага по друг начин провеждането на оценката, нотифицирането или наблюдението, посочени в параграф 1 от настоящия член, на орган, който не е правителствена структура, този орган е правен субект и спазва mutatis mutandis изискванията, установени с член 37. Освен това този орган трябва да разполага с механизми за покриване на отговорността, произтичаща от неговата дейност.

4. Нотифициращият орган поема пълна отговорност за задачите, изпълнявани от органа, посочен в параграф 3.

Изисквания, свързани с нотифициращите органи

1. Нотифициращият орган се създава по такъв начин, че да няма конфликт на интереси с органите за оценяване на съответствието.

2. Нотифициращият орган се организира и работи така, че да запази обективността и безпристрастността на дейността си.

3. Нотифициращият орган се организира по такъв начин, че всяко решение, свързано с нотифицирането на органа за оценяване на съответствието, да се взема от компетентни лица, различни от тези, които са извършили оценката.

4. Нотифициращият орган не предлага и не извършва дейности, осъществявани от органите за оценяване на съответствието, или консултантски услуги с търговска цел или на конкурентен принцип.

5. Нотифициращият орган запазва поверителността на получената от него информация.

6. Нотифициращият орган разполага с достатъчен на брой компетентен персонал за правилното изпълнение на своите задачи.

Задължение за предоставяне на информация относно нотифициращите органи

1. Държавите членки информират Комисията за своите процедури за оценка и нотифициране на органите за оценяване на съответствието и за наблюдение на нотифицираните органи, както и за всякакви промени във връзка с това.

2. Комисията прави информацията, посочена в параграф 1, обществено достояние.

Изисквания, свързани с нотифицираните органи

1. За целите на нотифицирането органите за оценяване на съответствието отговарят на изискванията, определени в параграфи 2—12.

2. Органът за оценяване на съответствието се създава съгласно националното право и има юридическа правосубектност.

3. Органът за оценяване на съответствието е трета страна, независима от организацията или от продукта с цифрови елементи, които оценява.

Орган, който принадлежи към стопанска асоциация и/или професионална федерация, представляващи предприятия, участващи в проектирането, разработването, производството, доставката, сглобяването, използването или поддръжката на продукти с цифрови елементи, които този орган оценява, може да се счита за такъв орган — трета страна, при условие че са доказани неговата независимост и липсата на конфликт на интереси.

4. Органът за оценяване на съответствието, неговите ръководители и персонал, отговорен за изпълнение на задачите по оценяване на съответствието, не могат да бъдат проектант, програмист, производител, снабдител, вносител, дистрибутор, лице, което монтира, купувач, собственик, ползвател или структура по поддръжка на продуктите с цифрови елементи, които се оценяват, нито упълномощени представители на някое от тези лица. Това не изключва използването на оценявани продукти, които са необходими за дейностите на органа за оценяване на съответствието или използването на такива продукти за лични цели.

Органът за оценяване на съответствието, неговото висше ръководство и персоналът, отговорен за изпълнение на задачите по оценяване на съответствието, не вземат пряко участие в проектирането, разработването, производството, вноса, разпространението, продажбата, монтирането, използването или поддръжката на продуктите с цифрови елементи, които оценяват, нито представляват лицата, ангажирани в тези дейности. Те нямат право да участват в никаква дейност, която може да е в противоречие с тяхната независима преценка или почтено поведение по отношение на дейностите по оценяване на съответствието, за които са нотифицирани. Това се прилага по-конкретно към консултантските услуги.

Органите за оценяване на съответствието гарантират, че дейностите на техните поделения или подизпълнители не влияят върху поверителността, обективността или безпристрастността на техните дейности по оценяване на съответствието.

5. Органите за оценяване на съответствието и техният персонал осъществяват дейностите по оценяване на съответствието с най-висока степен на почтено професионално поведение и необходимата техническа компетентност в определената област и са напълно освободени от всякакъв натиск и облаги, най-вече финансови, които биха могли да повлияят на тяхната преценка или на резултатите от техните дейности по оценяване на съответствието, особено по отношение на лица или групи лица, заинтересовани от резултатите от тези дейности.

6. Органът за оценяване на съответствието e в състояние да осъществява всички задачи по оценяване на съответствието, посочени в приложение VIII и по отношение на които органът е бил нотифициран, независимо дали тези задачи се изпълняват от самия орган за оценяване на съответствието или от негово име и на негова отговорност.

По всяко време и за всяка процедура за оценяване на съответствието, и за всеки вид или категория продукти с цифрови елементи, за които органът за оценяване на съответствието е нотифициран, той разполага с необходимите:

Органът за оценяване на съответствието разполага със средствата, необходими за изпълнение по подходящ начин на техническите и административните задачи, свързани с дейностите по оценяване на съответствието, както и с достъп до необходимото оборудване или съоръжения.

7. Персоналът, отговорен за провеждането на дейностите по оценяване на съответствието, разполага със следното:

8. Осигурява се безпристрастността на органите за оценяване на съответствието, на тяхното висше ръководство и на персонала, отговорен за оценяването.

Възнаграждението на ръководителите и на персонала, отговорен за оценките, на органа за оценяване на съответствието не зависи от броя на извършените оценки или от резултатите от тях.

9. Органите за оценяване на съответствието сключват застраховка за покриване на отговорността им, освен ако отговорността се поема от тяхната държава членка съгласно националното право или държавата членка е пряко отговорна за оценяване на съответствието.

10. Персоналът на органа за оценяване на съответствието спазва задължение за служебна тайна по отношение на информацията, получена при изпълнение на неговите задачи, съгласно приложение VIII или съгласно разпоредба от националното право по прилагането му, освен по отношение на органите за надзор на пазара на държавата членка, в която осъществява дейността си. Правата на собственост се защитават. Органът за оценяване на съответствието разполага с документирани процедури, гарантиращи спазването на настоящия параграф.

11. Органите за оценяване на съответствието участват във или гарантират, че персоналът, отговорен за оценките, е информиран за съответните дейности по стандартизация и дейностите на координационната група на нотифицираните органи, създадена съгласно член 51, и прилагат като общи насоки административните решения и документи, приети в резултат от работата на тази група.

12. Органите за оценяване на съответствието извършват дейностите си съгласно набор от последователни, справедливи, пропорционални и разумни условия, като избягват създаването на ненужна тежест за икономическите оператори, по-специално като вземат предвид интересите на микропредприятията и малките и средните предприятия във връзка с таксите.

Презумпция за съответствие на нотифицираните органи

Когато органът за оценяване на съответствието доказва своето съответствие с критериите, определени в съответните хармонизирани стандарти или части от тях, данните за които са били публикувани в Официален вестник на Европейския съюз, се приема, че той отговаря на изискванията, установени в член 39, доколкото приложимите хармонизирани стандарти обхващат тези изисквания.

Поделения и възлагане на подизпълнители от страна на нотифицираните органи

1. В случаите, в които нотифициран орган възлага на подизпълнители конкретни задачи, свързани с оценяване на съответствието, или използва поделенията си, той гарантира, че подизпълнителят или поделението отговаря на изискванията, определени в член 39, и надлежно информира нотифициращия орган.

2. Нотифицираните органи носят пълна отговорност за дейността, извършена от подизпълнители или поделения, независимо от мястото им на установяване.

3. Дейностите могат да бъдат възлагани на подизпълнители или изпълнявани от поделения само със съгласието на производителя.

4. Нотифицираните органи съхраняват на разположение на нотифициращия орган съответните документи относно оценката на квалификацията на подизпълнителя или на поделението и работата, извършена от тях съгласно настоящия регламент.

Заявление за нотифициране

1. Органът за оценяване на съответствието подава заявление за нотифициране до нотифициращия орган на държавата членка, в която е установен.

2. Това заявление се придружава от описание на дейностите по оценяване на съответствието, процедурата или процедурите за оценяване на съответствието и продукта или продуктите с цифрови елементи, за които органът заявява компетентност, както и — когато е приложимо, от сертификат за акредитация, издаден от националния орган по акредитация и удостоверяващ, че органът за оценяване на съответствието отговаря на изискванията, предвидени в член 39.

3. Когато органът за оценяване на съответствието не може да предостави сертификат за акредитация, той представя пред нотифициращия орган всички документи, необходими за проверката, признаването и редовното наблюдение на неговото съответствие с изискванията, посочени в член 39.

Процедура по нотифициране

1. Нотифициращите органи нотифицират само органи за оценяване на съответствието, които отговарят на изискванията, установени в член 39.

2. Нотифициращият орган нотифицира Комисията и другите държави членки, като използва информационната система за нотифицираните и определените организации по Новия подход, разработена и управлявана от Комисията.

3. Нотифицирането включва всички подробности за дейностите по оценяване на съответствието, модула или модулите за оценяване на съответствието и съответния продукт или продукти с цифрови елементи, както и съответното удостоверение за компетентност.

4. Когато нотифицирането не се основава на сертификат за акредитация, посочен в член 42, параграф 2, нотифициращият орган предоставя на Комисията и на другите държави членки документите, които удостоверяват компетентността на органа за оценяване на съответствието и съществуващите правила, гарантиращи, че органът ще бъде редовно наблюдаван и ще продължи да отговаря на изискванията, установени в член 39.

5. Съответният орган може да изпълнява дейностите на нотифициран орган само ако от Комисията или от другите държави членки не са повдигнати възражения в срок от две седмици от нотифицирането — в случай че е използван сертификат за акредитация, или в срок от два месеца от нотифицирането — в случай че не е използвана акредитация.

За целите на настоящия регламент само такъв орган се счита за нотифициран орган

6. Комисията и другите държави членки се уведомяват за всякакви последващи промени, свързани с нотификацията.

Идентификационни номера и списъци на нотифицираните органи

1. Комисията определя идентификационен номер на нотифицирания орган.

Тя определя само един такъв номер дори когато органът е нотифициран съгласно няколко правни акта на Съюза.

2. Комисията прави обществено достояние списъка на нотифицираните съгласно настоящия регламент органи, включително определените им идентификационни номера и дейностите, за които те са били нотифицирани.

Комисията прави необходимото за актуализирането на този списък.

Промени в нотификациите

1. Когато нотифициращият орган е констатирал или е бил информиран, че даден нотифициран орган вече не отговаря на изискванията, установени в член 39, или че не изпълнява задълженията си, нотифициращият орган ограничава, спира действието или оттегля нотификацията, според случая, в зависимост от сериозността на неспазването на изискванията или на неизпълнението на задълженията. Съответно той незабавно информира за това Комисията и другите държави членки.

2. В случай на ограничение на обхвата, спиране на действието или отмяна на нотификацията или когато нотифицираният орган е прекратил дейността си, нотифициращата държава членка предприема съответните стъпки, за да гарантира, че досиетата на този орган или ще бъдат обработени от друг нотифициран орган, или ще бъдат запазени на разположение на отговорните нотифициращи органи и органи за надзор на пазара, по тяхно искане.

Оспорване на компетентността на нотифицирани органи

1. Комисията разследва всички случаи, в които има съмнения или когато пред нея са изразени съмнения относно компетентността на нотифициран орган да изпълнява или относно непрекъснатото изпълнение от страна на нотифициран орган на изискванията и възложените му отговорности.

2. Нотифициращата държава членка предоставя на Комисията при поискване цялата информация, свързана с основанията за нотификацията или за запазването на компетентността на съответния орган.

3. Комисията гарантира, че всяка чувствителна информация, получена в хода на разследването, се третира като поверителна.

4. Когато Комисията констатира, че нотифицираният орган не отговаря или престане да отговаря на изискванията за нотифицирането му, тя информира нотифициращата държава членка за това и отправя искане държавата членка да предприеме необходимите корективни мерки, включително, ако е необходимо, отмяна на нотификацията.

Задължения на нотифицираните органи при осъществяване на дейността им

1. Нотифицираните органи осъществяват оценяване на съответствието съгласно процедурите за оценяване на съответствието, предвидени в член 32 и приложение VIII.

2. Оценяването на съответствието се осъществява по пропорционален начин, като се избягва ненужната тежест за икономическите оператори. Органите за оценяване на съответствието осъществяват своите дейности, като надлежно отчитат размера на предприятията, по-специално по отношение на микропредприятията и малките и средните предприятия, сектора, в който те осъществяват дейност, тяхната структура, степента им на сложност и нивото на киберриска, свързан с продуктите с цифрови елементи и съответната технология и масовия или серийния характер на производството.

3. Въпреки това нотифицираните органи спазват степента на взискателност и равнището на защита, необходими за съответствието на продуктите с цифрови елементи с настоящия регламент.

4. Когато нотифицираният орган прецени, че определен производител не е изпълнил изискванията, установени в приложение I или в съответстващите им хармонизирани стандарти или в общите спецификации, посочени в член 27, той изисква от този производител да предприеме подходящите корективни мерки и не издава сертификат за съответствие.

5. Когато в процеса на наблюдение на съответствието след издаването на сертификата нотифицираният орган установи, че даден продукт с цифрови елементи вече не отговаря на посочените в настоящия регламент изисквания, той изисква от производителя да предприеме подходящи корективни мерки и спира временно действието или отнема сертификата, ако това се налага.

6. Когато не са предприети корективни мерки или те не дадат необходимия резултат, нотифицираният орган ограничава, спира действието или отнема всякакви сертификати, в зависимост от случая.

Обжалване на решения на нотифицираните органи

Държавите членки гарантират наличието на процедура за обжалване на решенията на нотифицираните органи.

Задължения на нотифицираните органи за предоставяне на информация

1. Нотифицираният орган информира нотифициращите органи за:

2. Нотифицираните органи предоставят на другите органи, нотифицирани съгласно настоящия регламент, осъществяващи подобни дейности по оценяване на съответствието, чийто предмет са същите продукти с цифрови елементи, съответна информация по проблеми, свързани с отрицателни и при поискване, положителни резултати от оценяване на съответствието.

Обмен на опит

Комисията създава организация за обмена на опит между националните органи на държавите членки, отговорни за политиката по нотификация.

Координация на нотифицираните органи

1. Комисията гарантира създаването и правилното функциониране на подходяща координация и сътрудничество между нотифицираните органи под формата на междусекторна група от нотифицирани органи.

2. Държавите членки осигуряват участието на нотифицираните от тях органи в работата на такава група пряко или чрез определени представители.

Надзор на пазара и контрол на продуктите с цифрови елементи, които се въвеждат на пазара на Съюза

1. Регламент (ЕС) 2019/1020 се прилага за продукти с цифрови елементи, които попадат в обхвата на настоящия регламент.

2. Всяка държава членка определя един или повече органи за надзор на пазара с цел да се гарантира ефективното прилагане на настоящия регламент. Държавите членки могат да определят съществуващ или нов орган, който да действа като орган за надзор на пазара за целите на настоящия регламент.

3. Органите за надзор на пазара, определени съгласно параграф 2 от настоящия член, отговарят също така за извършването на дейности по надзор на пазара във връзка със задълженията на попечителите на софтуер с отворен код, определени в член 24. Когато орган за надзор на пазара установи, че даден попечител на софтуер с отворен код не спазва задълженията, определени в посочения член, той изисква от попечителя на софтуер с отворен код да гарантира, че са предприети всички подходящи коригиращи действия. Попечителите на софтуер с отворен код гарантират, че са предприети всички подходящи коригиращи действия по отношение на задълженията им съгласно настоящия регламент.

4. Когато е приложимо, органите за надзор на пазара си сътрудничат с националните органи за сертифициране в областта на киберсигурността, определени по силата на член 58 от Регламент (ЕС) 2019/881, и редовно обменят информация. По отношение на надзора на изпълнението на задълженията за докладване по член 14 от настоящия регламент определените органи за надзор на пазара си сътрудничат и редовно обменят информация с определените за координатори ЕРИКС и с ENISA.

5. Органите за надзор на пазара могат да поискат от определения за координатор ЕРИКС или от ENISA да предостави технически съвети по въпроси, свързани с изпълнението и правоприлагането на настоящия регламент. Когато провеждат разследване по член 54, органите за надзор на пазара могат да поискат от определения за координатор ЕРИКС или от ENISA да предостави анализ в подкрепа на оценки на съответствието на продуктите с цифрови елементи.

6. Когато е приложимо, органите за надзор на пазара си сътрудничат с други органи за надзор на пазара, определени въз основа на законодателство на Съюза за хармонизация, различно от настоящия регламент, и редовно обменят информация.

7. Органите за надзор на пазара си сътрудничат по целесъобразност с органите, които упражняват надзор върху правото на Съюза в областта на защитата на личните данни. Това сътрудничество включва информиране на тези органи за всички констатации, които са от значение за изпълнението на техните правомощия, включително при издаването на насоки и съвети съгласно параграф 10, ако тези насоки и съвети се отнасят до обработването на лични данни.

Органите, които упражняват надзор върху правото на Съюза в областта на защитата на личните данни, имат правомощието да изискват и получават достъп до всяка документация, създадена или поддържана съгласно настоящия регламент, когато достъпът до тази документация е необходим за осъществяването на задачите им. Те информират определените органи за надзор на пазара на съответната държава членка за всяко такова искане.

8. Държавите членки гарантират, че на определените органи за надзор на пазара се предоставят подходящи финансови и технически ресурси, включително, когато е целесъобразно, средства за автоматизация на обработката, както и човешки ресурси с необходимите умения в областта на киберсигурността за изпълнение на задачите им съгласно настоящия регламент.

9. Комисията насърчава и улеснява обмена на опит между определените органи за надзор на пазара.

10. Органите за надзор на пазара могат да предоставят насоки и съвети на икономическите оператори относно прилагането на настоящия регламент с подкрепата на Комисията и когато е целесъобразно, ЕРИКС и ENISA.

11. Органите за надзор на пазара информират потребителите за това къде да подават жалби, които биха могли да посочат несъответствие с настоящия регламент, в съответствие с член 11 от Регламент (ЕС) 2019/1020, и предоставят на потребителите информация за това къде и как да получат достъп до механизми за улесняване на докладването на уязвимости, инциденти и киберзаплахи, които могат да засегнат продукти с цифрови елементи.

12. Когато е целесъобразно, органите за надзор на пазара улесняват сътрудничеството със съответните заинтересовани страни, включително научни, научноизследователски и потребителски организации.

13. Органите за надзор на пазара докладват на Комисията на годишна база резултатите от съответните дейности по надзор на пазара. Определените органи за надзор на пазара докладват незабавно на Комисията и на съответните национални органи за защита на конкуренцията всяка информация, установена в хода на дейностите по надзор на пазара, която може да представлява потенциален интерес за прилагането на правото на Съюза в областта на конкуренцията.

14. По отношение на продуктите с цифрови елементи, които попадат в обхвата на настоящия регламент, класифицирани като високорискови системи с ИИ по смисъла на член 6 от Регламент (ЕС) 2024/1689, органите за надзор на пазара, определени за целите на посочения регламент, са органите, които отговарят за дейностите по надзор на пазара, изисквани съгласно настоящия регламент. Органите за надзор на пазара, определени за целите на Регламент (ЕС) 2024/1689, си сътрудничат по целесъобразност с органите за надзор на пазара, определени за целите на настоящия регламент, а по отношение на надзора на изпълнението на задълженията за докладване съгласно член 14 от настоящия регламент — с определените за координатори ЕРИКС и с ENISA. Органите за надзор на пазара, определени в съответствие с Регламент (ЕС) 2024/1689, информират по-специално органите за надзор на пазара, определени в съответствие с настоящия регламент, за всички констатации, които са от значение за изпълнението на техните задачи във връзка с прилагането на настоящия регламент.

15. ADCO групата се създава за еднакво прилагане на настоящия регламент в съответствие с член 30, параграф 2 от Регламент (ЕС) 2019/1020. ADCO групата е съставена от представители на определените органи за надзор на пазара и ако е целесъобразно, от представители на единните служби за връзка. ADCO групата разглежда и конкретни въпроси, свързани с дейностите по надзор на пазара във връзка със задълженията, наложени на попечителите на софтуер с отворен код.

16. Органите за надзор на пазара наблюдават как производителите са приложили критериите, посочени в член 13, параграф 8, когато определят периода на поддръжка на своите продукти с цифрови елементи.

ADCO групата публикува в публично достъпна и лесна за ползване форма съответните статистически данни за категориите продукти с цифрови елементи, включително средните периоди на поддръжка, определени от производителя съгласно член 13, параграф 8, и предоставя насоки, които включват ориентировъчни периоди на поддръжка за категориите продукти с цифрови елементи.

Когато данните сочат неподходящи периоди на поддръжка за конкретни категории продукти с цифрови елементи, ADCO групата може да отправи препоръки към органите за надзор на пазара да съсредоточат дейностите си върху такива категории продукти с цифрови елементи.

Достъп до данни и документи

Когато това е необходимо за оценяване на съответствието на продуктите с цифрови елементи и на процесите, въведени от техните производители, със съществените изисквания за киберсигурност, определени в приложение I, на органите за надзор на пазара се предоставя, при мотивирано искане, достъп на език, който е лесноразбираем за тях, до данните, необходими за оценяване на проектирането, разработването, производството и отстраняването на уязвимостите на такива продукти, включително до свързаната с тях вътрешна документация на съответния икономически оператор.

Процедура на национално равнище по отношение на продукти с цифрови елементи, представляващи значителен киберриск

1. Когато органът за надзор на пазара на дадена държава членка има достатъчно основание да счита, че даден продукт с цифрови елементи, включително отстраняването на уязвимости, представлява значителен киберриск, той извършва без неоправдано забавяне и когато е целесъобразно, в сътрудничество със съответните ЕРИКС, оценка на съответния продукт с цифрови елементи по отношение на съответствието му с всички изисквания, установени в настоящия регламент. Съответните икономически оператори оказват съдействие на органа за надзор на пазара при необходимост.

Когато в хода на тази оценка органът за надзор на пазара открие, че за продукта с цифрови елементи не са спазени изискванията, определени в настоящия регламент, той без забавяне изисква от съответния икономически оператор да предприеме необходимите корективни действия, за да приведе продукта с цифрови елементи в съответствие с тези изисквания или да го изтегли от пазара, или да го изземе в определен от органа за надзор на пазара разумен срок, съобразен с естеството на киберриска.

Органът за надзор на пазара надлежно информира съответния нотифициран орган. За корективните действия се прилага член 18 от Регламент (ЕС) 2019/1020.

2. При определяне на значимостта на киберриск, посочен в параграф 1 от настоящия член, органите за надзор на пазара вземат предвид и нетехническите рискови фактори, по-специално тези, установени в резултат на координирани оценки на риска за сигурността на критичните вериги на доставки на равнището на Съюза, извършени в съответствие с член 22 от Директива (ЕС) 2022/2555. Когато орган за надзор на пазара има достатъчно основание да счита, че даден продукт с цифрови елементи представлява значителен киберриск с оглед на нетехнически рискови фактори, той информира компетентните органи, определени или създадени съгласно член 8 от Директива (ЕС) 2022/2555, и при необходимост си сътрудничи с тези органи.

3. Когато органът за надзор на пазара счита, че несъответствието не е ограничено само до националната му територия, той информира Комисията и другите държави членки за резултатите от оценката и за действията, които той е изискал да бъдат предприети от икономическия оператор.

4. Икономическият оператор гарантира, че са предприети всички подходящи корективни действия по отношение на всички съответни продукти с цифрови елементи, които той предоставя на пазара в целия Съюз.

5. Когато икономическият оператор не предприеме подходящи корективни действия в посочения в параграф 1, втора алинея срок, органът за надзор на пазара предприема всички подходящи временни мерки, за да забрани или ограничи предоставянето на продукта с цифрови елементи на националния пазар, да изтегли продукта от този пазар или да го изземе.

Този орган незабавно уведомява Комисията и другите държави членки за тези мерки.

6. Информацията, посочена в параграф 5, включва всички налични подробни данни, по-специално данните, необходими за идентифицирането на несъответстващия продукт с цифрови елементи, произхода на този продукт с цифрови елементи, естеството на предполагаемото несъответствие и съпътстващия риск, естеството и продължителността на предприетите на национално равнище мерки, както и аргументите, изтъкнати от съответния икономически оператор. По-специално органите за надзор на пазара посочват дали несъответствието се дължи на една или няколко от следните причини:

7. Органите за надзор на пазара на държавите членки, различни от органа за надзор на пазара на държавата членка, започнала процедурата, без забавяне информират Комисията и другите държави членки за всички приети мерки и за всяка допълнителна информация, с която разполагат за несъответствието на съответния продукт с цифрови елементи, и в случай на несъгласие с нотифицираната национална мярка — за своите възражения.

8. Когато в срок от три месеца от получаването на уведомлението, посочено в параграф 5 от настоящия член, не е повдигнато възражение нито от държава членка, нито от Комисията във връзка с временна мярка, предприета от държава членка, тази мярка се счита за обоснована. Това не засяга процедурните права на съответния икономически оператор в съответствие с член 18 от Регламент (ЕС) 2019/1020.

9. Органите за надзор на пазара на всички държави членки гарантират, че без забавяне се вземат подходящите ограничителни мерки по отношение на въпросния продукт с цифрови елементи, като например изтеглянето на този продукт от пазарите им.

Предпазна процедура на Съюза

1. Когато в срок от три месеца след получаване на уведомлението по член 54, параграф 5 държава членка е повдигнала възражения срещу мярка, предприета от друга държава членка, или когато Комисията счита, че мярката противоречи на правото на Съюза, Комисията без забавяне започва консултации със съответната държава членка и съответния(те) икономически оператор(и) и извършва оценка на националната мярка. Въз основа на резултатите от тази оценка Комисията решава в срок от девет месеца от уведомлението, посочено в член 54, параграф 5, дали националната мярка е оправдана или не и уведомява съответната държава членка за това решение.

2. Ако бъде преценено, че националната мярка е оправдана, всички държави членки предприемат необходимите мерки да осигурят изтеглянето от своя пазар на несъответстващия продукт с цифрови елементи и информират Комисията за това. Ако бъде преценено, че националната мярка не е оправдана, съответната държава членка я оттегля.

3. Когато се прецени, че националната мярка е оправдана и несъответствието на продукта с цифрови елементи се дължи на недостатъци в хармонизираните стандарти, Комисията прилага процедурата, предвидена в член 11 от Регламент (ЕС) № 1025/2012.

4. Когато се прецени, че националната мярка е оправдана и несъответствието на продукта с цифрови елементи се дължи на недостатъци в европейска схема за сертифициране на киберсигурността, посочена в член 27, Комисията преценява дали да измени или отмени даден делегиран акт, приет съгласно член 27, параграф 9, който определя презумпцията за съответствие по отношение на тази схема за сертифициране.

5. Когато националната мярка се счита за оправдана и несъответствието на продукта с цифрови елементи се дължи на недостатъци в общите спецификации, посочени в член 27, Комисията преценява дали да измени или отмени даден акт за изпълнение, приет съгласно член 27, параграф 2, с който се определят тези общи спецификации.

Процедура на равнището на Съюза по отношение на продукти с цифрови елементи, представляващи значителен киберриск

1. Когато Комисията има достатъчно основание да счита, включително въз основа на информация, предоставена от ENISA, че продукт с цифрови елементи, който представлява значителен киберриск, не отговаря на изискванията, установени в настоящия регламент, тя информира съответните органи за надзор на пазара. Когато органите за надзор на пазара извършват оценка на продукта с цифрови елементи, който може да представлява значителен киберриск по отношение на съответствието си с изискванията, определени в настоящия регламент, се прилагат процедурите, посочени в членове 54 и 55.

2. Когато Комисията има достатъчно основание да счита, че даден продукт с цифрови елементи представлява значителен киберриск с оглед на нетехнически рискови фактори, тя информира съответните органи за надзор на пазара и когато е целесъобразно, компетентните органи, определени или създадени съгласно член 8 от Директива (ЕС) 2022/2555, и при необходимост си сътрудничи с тези органи. Комисията разглежда също така значението на идентифицираните рискове за този продукт с цифрови елементи с оглед на своите задачи по отношение на координираните на равнището на Съюза оценки на риска за сигурността на критичните вериги на доставки, предвидени в член 22 от Директива (ЕС) 2022/2555, и при необходимост се консултира с групата за сътрудничество, създадена съгласно член 14 от Директива (ЕС) 2022/2555, и ENISA.

3. При обстоятелства, които оправдават незабавна намеса за запазване на правилното функциониране на вътрешния пазар, и когато Комисията има достатъчно основания да счита, че продуктът с цифрови елементи, посочен в параграф 1, продължава да не отговаря на изискванията, установени в настоящия регламент, и съответните органи за надзор на пазара не са предприели ефективни мерки, Комисията извършва оценка на съответствието и може да поиска от ENISA да предостави анализ в подкрепа на оценката. Комисията надлежно информира съответните органи за надзор на пазара. Съответните икономически оператори си сътрудничат с ENISA при необходимост.

4. Въз основа на оценката, посочена в параграф 3, Комисията може да реши, че е необходима корективна или ограничителна мярка на равнището на Съюза. За тази цел тя незабавно се консултира със съответните държави членки и със съответния(те) икономически оператор(и).

5. Въз основа на консултацията, посочена в параграф 4 от настоящия член, Комисията може да приеме актове за изпълнение, за да предвиди корективни или ограничителни мерки на равнището на Съюза, включително изискващи засегнатите продукти с цифрови елементи да бъдат изтеглени от пазара или иззети, в разумен срок, съобразен с естеството на риска. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 62, параграф 2.

6. Комисията незабавно съобщава актовете за изпълнение, посочени в параграф 5, на съответния(те) икономически оператор(и). Държавите членки изпълняват тези актове за изпълнение без забавяне — и уведомяват Комисията за това.

7. Параграфи 3—6 се прилагат за срока на извънредната ситуация, която е оправдала намесата на Комисията, при условие че съответният продукт с цифрови елементи не бъде приведен в съответствие с настоящия регламент.

Съответстващи продукти с цифрови елементи, които представляват значителен киберриск

1. Органът за надзор на пазара на държава членка изисква от икономическия оператор да предприеме всички подходящи мерки, когато след извършване на оценката съгласно член 54 установи, че въпреки че даден продукт с цифрови елементи и въведените от производителя процеси са в съответствие с настоящия регламент, те представляват значителен киберриск, както и риск за:

Мерките, посочени в първа алинея, може да включват мерки, с които да се гарантира, че съответният продукт с цифрови елементи и въведените от производителя процеси вече не представляват съответните рискове, когато се предоставят на пазара, съответният продукт с цифрови елементи се изтегля от пазара или се изземва, и са съизмерими с естеството на тези рискове.

2. Производителят или други съответни икономически оператори гарантират, че се предприемат корективни действия по отношение на въпросните продукти с цифрови елементи, които те са предоставили на пазара в целия Съюз, в рамките на срока, определен от органа за надзор на пазара на държавата членка, посочен в параграф 1.

3. Държавата членка незабавно информира Комисията и другите държави членки за предприетите по параграф 1 мерки. Тази информация включва всички налични подробни данни, по-специално данните, необходими за идентифицирането на съответните продукти с цифрови елементи, произхода и веригата на доставка на тези продукти с цифрови елементи, естеството на съпътстващия риск и естеството и продължителността на взетите на национално равнище мерки.

4. Комисията без забавяне започва консултации с държавите членки и съответния икономически оператор и оценява предприетата национална мярка. Въз основа на резултатите от тази оценка Комисията взема решение дали мярката е оправдана или не и когато е необходимо, предлага подходящи мерки.

5. Комисията адресира посоченото в параграф 4 решение до държавите членки.

6. Когато Комисията има достатъчно основание да счита, включително въз основа на информация, предоставена от ENISA, че даден продукт с цифрови елементи, въпреки че е в съответствие с настоящия регламент, представлява рисковете, посочени в параграф 1 от настоящия член, тя уведомява и може да поиска от съответния орган или органи за надзор на пазара да извършат оценка и да следват процедурите, посочени в член 54 и в параграфи 1, 2 и 3 от настоящия член.

7. При обстоятелства, които оправдават незабавна намеса за запазване на правилното функциониране на вътрешния пазар, и когато Комисията има достатъчно основания да счита, че продуктът с цифрови елементи, посочен в параграф 6, продължава да носи рисковете, посочени в параграф 1, и съответните национални органи за надзор на пазара не са предприели ефективни мерки, Комисията извършва оценка на рисковете, свързани с този продукт с цифрови елементи и може да изиска от ENISA да предостави анализ в подкрепа на тази оценка, и информира съответните органи за надзор на пазара за това. Съответните икономически оператори си сътрудничат с ENISA при необходимост.

8. Въз основа на оценката, посочена в параграф 7, Комисията може да определи, че е необходима корективна или ограничителна мярка на равнището на Съюза. За тази цел тя незабавно се консултира със съответните държави членки и със съответния(те) икономически оператор(и).

9. Въз основа на консултацията, посочена в параграф 8 от настоящия член, Комисията може да приеме актове за изпълнение, за да вземе решение за корективни или ограничителни мерки на равнището на Съюза, включително изискващи засегнатите продукти с цифрови елементи да бъдат изтеглени от пазара или иззети, в разумен срок, съобразен с естеството на риска. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 62, параграф 2.

10. Комисията незабавно съобщава актовете за изпълнение, посочени в параграф 9, на съответния(те) икономически оператор(и). Държавите членки изпълняват тези актове за изпълнение без забавяне и уведомяват Комисията за това.

11. Параграфи 6—10 се прилагат за срока на извънредната ситуация, която е оправдала намесата на Комисията, и докато съответният продукт с цифрови елементи продължава да носи рисковете, посочени в параграф 1.

Формално несъответствие

1. Когато органът за надзор на пазара на дадена държава членка направи някоя от следните констатации, той изисква от съответния производител да прекрати въпросното несъответствие:

2. Когато несъответствието, посочено в параграф 1, продължи, съответната държава членка предприема всички подходящи мерки да ограничи или да забрани предоставянето на продукта с цифрови елементи на пазара, или да осигури неговото изземване или изтегляне от пазара.

Съвместни дейности на органите за надзор на пазара

1. Органите за надзор на пазара могат да се договорят с други съответни органи да извършват съвместни дейности, насочени към гарантиране на киберсигурността и защитата на потребителите по отношение на конкретни продукти с цифрови елементи, пуснати на пазара или предоставени на пазара, по-специално продукти с цифрови елементи, за които често се установява, че представляват киберрискове.

2. Комисията или ENISA предлагат съвместни дейности за проверка на съответствието с настоящия регламент, които да се провеждат от органите за надзор на пазара въз основа на признаци или информация за потенциално несъответствие в няколко държави членки на продукти с цифрови елементи, които попадат в обхвата на настоящия регламент, с изискванията, определени в настоящия регламент.

3. Органите за надзор на пазара и когато е приложимо, Комисията гарантират, че споразумението за извършване на съвместни дейности не води до нелоялна конкуренция между икономическите оператори и не засяга по отрицателен начин обективността, независимостта и безпристрастността на страните по споразумението.

4. Органът за надзор на пазара може да използва всяка информация, получена в резултат на съвместните дейности, извършени като част от предприето от него разследване.

5. Съответният орган за надзор на пазара и когато е приложимо, Комисията правят споразумението за съвместни дейности, включително имената на участващите страни, достъпно за обществеността.

Мащабни проверки

1. Органите за надзор на пазара провеждат едновременни координирани действия за контрол („мащабни проверки“) на конкретни продукти или категории продукти с цифрови елементи, за да проверят съответствието с настоящия регламент или да открият нарушения на настоящия регламент. Тези мащабни проверки може да включват проверки на продукти с цифрови елементи, придобити под прикрита самоличност.

2. Освен когато участващите органи за надзор на пазара са се договорили за друго, мащабните проверки се координират от Комисията. Координаторът на мащабната проверка, когато е целесъобразно, оповестява публично общите резултати.

3. Когато при изпълнението на своите задачи, включително въз основа на уведомленията, получени съгласно член 14, параграфи 1 и 3, ENISA определи категории продукти с цифрови елементи, за които може да се организират мащабни проверки, тя представя предложение за такава проверка на координатора, посочен в параграф 2 от настоящия член, което се разглежда от органите за надзор на пазара.

4. Когато провеждат мащабни проверки, участващите органи за надзор на пазара могат да използват правомощията за разследване, предвидени в членове 52—58, и всички други правомощия, предоставени им от националното право.

5. Органите за надзор на пазара могат да канят служители на Комисията и други придружаващи ги лица, упълномощени от Комисията, да участват в мащабните проверки.

Упражняване на делегирането

1. Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

2. Правомощието да приема делегирани актове, посочено в член 2, параграф 5, втора алинея, член 7, параграф 3, член 8, параграфи 1 и 2, член 13, параграф 8, четвърта алинея, член 14, параграф 9, член 25, член 27, параграф 9, член 28, параграф 5 и член 31, параграф 5 се предоставя на Комисията за срок от пет години, считано от 10 декември 2024 г. Комисията изготвя доклад относно делегирането на правомощия не по-късно от девет месеца преди изтичането на петгодишния срок. Делегирането на правомощия се продължава мълчаливо за срокове с еднаква продължителност, освен ако Европейският парламент или Съветът не възразят срещу подобно продължаване не по-късно от три месеца преди изтичането на всеки срок.

3. Делегирането на правомощия, посочено в член 2, параграф 5, втора алинея, член 7, параграф 3, член 8, параграфи 1 и 2, член 13, параграф 8, четвърта алинея, член 14, параграф 9, член 25, член 27, параграф 9, член 28, параграф 5 и член 31, параграф 5, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява посоченото в него делегиране на правомощия. Оттеглянето поражда действие в деня след публикуването на решението в Официален вестник на Европейския съюз или на по-късна дата, посочена в решението. То не засяга действителността на делегираните актове, които вече са в сила.

4. Преди приемането на делегиран акт Комисията се консултира с експерти, определени от всяка държава членка в съответствие с принципите, залегнали в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество.

5. Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и на Съвета.

6. Делегиран акт, приет съгласно член 2, параграф 5, втора алинея, член 7, параграф 3, член 8, параграфи 1 и 2, член 13, параграф 8, четвърта алинея, член 14, параграф 9, член 25, член 27, параграф 9, член 28, параграф 5 или член 31, параграф 5, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от два месеца след нотифицирането на същия акт на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Посоченият срок може да се удължи с два месеца по инициатива на Европейския парламент или на Съвета.

Процедура на комитет

1. Комисията се подпомага от комитет. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2. При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

3. Когато становището на комитета трябва да бъде получено по писмена процедура, тази процедура се прекратява без резултат, ако в рамките на срока за даване на становище председателят на комитета вземе такова решение или член на комитета отправи такова искане.

Поверителност

1. Всички страни, участващи в прилагането на настоящия регламент, зачитат поверителността на информацията и данните, получавани при изпълнение на техните задачи и дейности, така че да защитават по-специално:

2. Без да се засяга параграф 1, информацията, обменена на поверителна основа между самите органи за надзор на пазара и между органите за надзор на пазара и Комисията, не се разкрива без предварителното съгласие на предоставилия тази информация орган за надзор на пазара.

3. Параграфи 1 и 2 не засягат правата и задълженията на Комисията, държавите членки и нотифицираните органи по отношение на обмена на информация и разпространяването на предупреждения, нито задълженията на засегнатите лица за представяне на информация съгласно наказателното право на държавите членки.

4. Комисията и държавите членки могат при необходимост да обменят чувствителна информация със съответните органи на трети държави, с които са сключили двустранни или многостранни споразумения, като гарантират адекватно равнище на защита.

Санкции

1. Държавите членки установяват система от санкции, приложими при нарушение на настоящия регламент, и вземат всички мерки, необходими за осигуряване на прилагането им. Предвидените санкции трябва да бъдат ефективни, пропорционални и възпиращи. Държавите членки незабавно нотифицират на Комисията тези разпоредби и мерки и я нотифицират незабавно за всяко последващо изменение, което ги засяга.

2. Неспазването на съществените изисквания за киберсигурност, определени в приложение I, и неизпълнението на задълженията, установени в членове 13 и 14, се наказват с административни глоби в размер до 15 000 000 EUR или, ако нарушителят е дружество, до 2,5 % от общия му годишен световен оборот за предходната финансова година, в зависимост от това коя от двете суми е по-висока.

3. Неизпълнението на задълженията, посочени в членове 18—23, член 28, член 30, параграфи 1—4, член 31, параграфи 1—4, член 32, параграфи 1, 2 и 3, член 33, параграф 5, и членове 39, 41, 47, 49 и 53, се наказва с административна глоба в размер до 10 000 000 EUR или, ако нарушителят е дружество, до 2 % от общия му годишен световен оборот за предходната финансова година, в зависимост от това коя от двете суми е по-висока.

4. Предоставянето на неправилна, непълна или подвеждаща информация в отговор на искане от нотифицираните органи и органите за надзор на пазара се наказва с административна глоба в размер до 5 000 000 EUR или, ако нарушителят е дружество, до 1 % от общия му годишен световен оборот за предходната финансова година, в зависимост от това коя от двете суми е по-висока.

5. При вземането на решение относно размера на административната глоба във всеки отделен случай се вземат предвид всички обстоятелства от значение за конкретната ситуация и се обръща надлежно внимание на следното:

6. Органите за надзор на пазара, които налагат административни глоби, съобщават за това на органите за надзор на пазара на други държави членки чрез информационната и комуникационна система, посочена в член 34 от Регламент (ЕС) 2019/1020.

7. Всяка държава членка определя правила за това дали и до каква степен могат да бъдат налагани административни глоби на публични органи и публични структури, установени в тази държава членка.

8. В зависимост от правната система на държавите членки правилата относно административните глоби могат да се прилагат по такъв начин, че глобите да се налагат от компетентните национални съдилища или други органи в съответствие с компетентностите, определени на национално равнище в тези държави членки. Прилагането на тези правила в тези държави членки има равностоен ефект.

9. В зависимост от обстоятелствата във всеки отделен случай, административните глоби могат да бъдат наложени в допълнение към други корективни или ограничителни мерки, приложени от органите за надзор на пазара за същото нарушение.

10. Чрез дерогация от параграфи 3—9 административните глоби, посочени в тези параграфи, не се прилагат за:

Представителни искове

Директива (ЕС) 2020/1828 се прилага по отношение на представителните искове, подадени за нарушения от страна на икономически оператори на разпоредбите на настоящия регламент, които засягат или могат да засегнат колективните интереси на потребителите.

Изменение на Регламент (ЕС) 2019/1020

В приложение I към Регламент (ЕС) 2019/1020 се добавя следната точка:

„72.

Регламент (ЕС) 2024/2847 на Европейския парламент и на Съвета (*1).

Изменение на Директива (ЕС) 2020/1828

В приложение I към Директива (ЕС) 2020/1828 се добавя следната точка:

„69)

Регламент (ЕС) 2024/2847 на Европейския парламент и на Съвета (*2).

Изменение на Регламент (ЕС) № 168/2013

В част В1, в таблицата, от Приложение II към Регламент (ЕС) № 168/2013 на Европейския парламент и на Съвета (38) се добавя следното вписване:

„

“

Преходни разпоредби

1. Сертификатите за „ЕС изследване на типа“ и решенията за одобрение, издадени по отношение на изискванията за киберсигурност за продукти с цифрови елементи, които са предмет на законодателство на Съюза за хармонизация, различно от настоящия регламент, остават валидни до 11 юни 2028 г., освен ако срокът им на валидност изтича преди тази дата или ако е предвидено друго в друго подобно законодателство на Съюза за хармонизация, в който случай те остават валидни, както е посочено в това законодателство.

2. Продукти с цифрови елементи, които са пуснати на пазара преди 11 декември 2027 г., подлежат на изискванията, установени в настоящия регламент, само ако от тази дата посочените продукти са предмет на съществено изменение.

3. Като изключение от параграф 2 от настоящия член, задълженията по член 14 се прилагат за всички продукти с цифрови елементи, които попадат в обхвата на настоящия регламент и които са били пуснати на пазара преди 11 декември 2027 г.

Оценка и преглед

1. В срок до 11 декември 2030 г. и на всеки четири години след това, Комисията представя на Европейския парламент и на Съвета доклад относно оценката и прегледа на настоящия регламент. Тези доклади се публикуват.

2. В срок до 11 септември 2028 г. Комисията, след консултация с ENISA и мрежата на ЕРИКС, представя на Европейския парламент и на Съвета доклад, в който се оценява ефективността на единната платформа за докладване, посочена в член 16, както и въздействието от прилагането на основанията, свързани с киберсигурността, посочени в член 16, параграф 2, от страна на определените за координатори ЕРИКС, върху ефективността на единната платформа за докладване по отношение на навременното разпространение на получените уведомления до други съответни ЕРИКС.

Влизане в сила и прилагане

1. Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2. Настоящият регламент се прилага от 11 декември 2027 г.

Член 14 обаче се прилага от 11 септември 2026 г., а глава IV (членове 35—51) се прилага от 11 юни 2026 г.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Страсбург на 23 октомври 2024 година.