Η Πράξη για την Κυβερνοανθεκτικότητα

Αντικείμενο

Ο παρών κανονισμός καθορίζει:

Πεδίο εφαρμογής

1. Ο παρών κανονισμός εφαρμόζεται σε προϊόντα με ψηφιακά στοιχεία που διατίθενται στην αγορά των οποίων ο προβλεπόμενος σκοπός ή η ευλόγως προβλέψιμη χρήση περιλαμβάνει άμεση ή έμμεση λογική ή φυσική σύνδεση δεδομένων με συσκευή ή δίκτυο.

2. Ο παρών κανονισμός δεν εφαρμόζεται σε προϊόντα με ψηφιακά στοιχεία στα οποία εφαρμόζονται οι ακόλουθες νομικές πράξεις της Ένωσης:

3. Ο παρών κανονισμός δεν εφαρμόζεται σε προϊόντα με ψηφιακά στοιχεία που έχουν πιστοποιηθεί σύμφωνα με τον κανονισμό (ΕΕ) 2018/1139.

4. Ο παρών κανονισμός δεν εφαρμόζεται σε εξοπλισμό που εμπίπτει στο πεδίο εφαρμογής της οδηγίας 2014/90/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (36).

5. Η εφαρμογή του παρόντος κανονισμού σε προϊόντα με ψηφιακά στοιχεία που καλύπτονται από άλλους ενωσιακούς κανόνες οι οποίοι καθορίζουν απαιτήσεις για την αντιμετώπιση του συνόλου ή μέρους των κινδύνων που καλύπτονται από τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I μπορεί να περιοριστεί ή να αποκλειστεί, όταν:

Ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61, προκειμένου να συμπληρώσει τον παρόντα κανονισμό προσδιορίζοντας αν ο εν λόγω περιορισμός ή αποκλεισμός είναι αναγκαίος, τα σχετικά προϊόντα και τους σχετικούς κανόνες, καθώς και το πεδίο εφαρμογής του περιορισμού, κατά περίπτωση.

6. Ο παρών κανονισμός δεν εφαρμόζεται στα ανταλλακτικά που διατίθενται στην αγορά για την αντικατάσταση πανομοιότυπων δομοστοιχείων σε προϊόντα με ψηφιακά στοιχεία και τα οποία κατασκευάζονται σύμφωνα με τις ίδιες προδιαγραφές με τα δομοστοιχεία τα οποία πρόκειται να αντικαταστήσουν.

7. Ο παρών κανονισμός δεν εφαρμόζεται σε προϊόντα με ψηφιακά στοιχεία που αναπτύσσονται ή τροποποιούνται αποκλειστικά για σκοπούς εθνικής ασφάλειας ή άμυνας ή σε προϊόντα ειδικά σχεδιασμένα για την επεξεργασία διαβαθμισμένων πληροφοριών.

8. Οι υποχρεώσεις που προβλέπονται στον παρόντα κανονισμό δεν συνεπάγονται την παροχή πληροφοριών, η γνωστοποίηση των οποίων θα ήταν αντίθετη προς τα ουσιώδη συμφέροντα εθνικής ασφάλειας, δημόσιας ασφάλειας ή άμυνας των κρατών μελών.

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:

Ελεύθερη κυκλοφορία

1. Τα κράτη μέλη δεν εμποδίζουν, όσον αφορά τα ζητήματα που καλύπτονται από τον παρόντα κανονισμό, τη διάθεση στην αγορά προϊόντων με ψηφιακά στοιχεία που συμμορφώνονται με τον παρόντα κανονισμό.

2. Σε εμπορικές εκθέσεις, επιδείξεις ή παρόμοιες εκδηλώσεις, τα κράτη μέλη δεν εμποδίζουν την παρουσίαση ή τη χρήση προϊόντος με ψηφιακά στοιχεία που δεν συμμορφώνεται με τον παρόντα κανονισμό, συμπεριλαμβανομένων των πρωτοτύπων του, υπό την προϋπόθεση ότι το προϊόν παρουσιάζεται με ευδιάκριτο σήμα που υποδεικνύει σαφώς ότι δεν συμμορφώνεται με τον παρόντα κανονισμό και ότι δεν πρόκειται να διατεθεί στην αγορά έως ότου συμμορφωθεί με τον παρόντα κανονισμό.

3. Τα κράτη μέλη δεν εμποδίζουν τη δωρεάν διάθεση στην αγορά ημιτελούς λογισμικού που δεν συμμορφώνεται με τον παρόντα κανονισμό, υπό την προϋπόθεση ότι το λογισμικό διατίθεται μόνο για περιορισμένο χρονικό διάστημα που απαιτείται για σκοπούς διεξαγωγής δοκιμών και με ευδιάκριτο σήμα που υποδεικνύει σαφώς ότι το λογισμικό δεν συμμορφώνεται με τον παρόντα κανονισμό και ότι δεν θα είναι διαθέσιμο στην αγορά για άλλους σκοπούς πέραν της δοκιμής.

4. Η παράγραφος 3 δεν εφαρμόζεται σε κατασκευαστικά στοιχεία ασφαλείας που αναφέρονται σε ενωσιακή νομοθεσία εναρμόνισης πέραν του παρόντος κανονισμού.

Προμήθεια ή χρήση προϊόντων με ψηφιακά στοιχεία

1. Ο παρών κανονισμός δεν εμποδίζει τα κράτη μέλη να υποβάλλουν προϊόντα με ψηφιακά στοιχεία σε πρόσθετες απαιτήσεις κυβερνοασφάλειας για την προμήθεια ή τη χρήση των εν λόγω προϊόντων για συγκεκριμένους σκοπούς, μεταξύ άλλων όταν τα εν λόγω προϊόντα αγοράζονται ή χρησιμοποιούνται για σκοπούς εθνικής ασφάλειας ή άμυνας, υπό την προϋπόθεση ότι οι εν λόγω απαιτήσεις συνάδουν με τις υποχρεώσεις των κρατών μελών που ορίζονται στο δίκαιο της Ένωσης και είναι αναγκαίες και αναλογικές για την επίτευξη των εν λόγω σκοπών.

2. Με την επιφύλαξη των οδηγιών 2014/24/ΕΕ και 2014/25/ΕΕ, κατά την προμήθεια προϊόντων με ψηφιακά στοιχεία που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού, τα κράτη μέλη διασφαλίζουν ότι κατά τη διαδικασία προμήθειας λαμβάνεται υπόψη η συμμόρφωση με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I του παρόντος κανονισμού, συμπεριλαμβανομένης της ικανότητας των κατασκευαστών να χειρίζονται αποτελεσματικά τις ευπάθειες.

Απαιτήσεις για προϊόντα με ψηφιακά στοιχεία

Τα προϊόντα με ψηφιακά στοιχεία καθίστανται διαθέσιμα στην αγορά μόνον εφόσον:

Σημαντικά προϊόντα με ψηφιακά στοιχεία

1. Τα προϊόντα με ψηφιακά στοιχεία που έχουν τη βασική λειτουργικότητα μιας κατηγορίας προϊόντων που ορίζεται στο παράρτημα III θεωρούνται σημαντικά προϊόντα με ψηφιακά στοιχεία και υπόκεινται στις διαδικασίες αξιολόγησης της συμμόρφωσης που αναφέρονται στο άρθρο 32 παράγραφοι 2 και 3. Η ενσωμάτωση ενός προϊόντος με ψηφιακά στοιχεία που έχει τη βασική λειτουργικότητα μιας κατηγορίας προϊόντων που ορίζεται στο παράρτημα III δεν συνεπάγεται από μόνη της ότι το συνολικό προϊόν στο οποίο αυτό ενσωματώνεται, υπόκειται στις διαδικασίες αξιολόγησης της συμμόρφωσης που αναφέρονται στο άρθρο 32 παράγραφοι 2 και 3.

2. Οι κατηγορίες προϊόντων με ψηφιακά στοιχεία που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου και υποδιαιρούνται σε κλάσεις Ι και ΙΙ όπως ορίζονται στο παράρτημα III, πληρούν τουλάχιστον ένα από τα ακόλουθα κριτήρια:

3. Ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61 προκειμένου να τροποποιεί το παράρτημα III συμπεριλαμβάνοντας στον κατάλογο νέα κατηγορία εντός κάθε κλάσης των κατηγοριών προϊόντων με ψηφιακά στοιχεία και προσδιορίζοντας τον ορισμό της, καθώς και μεταφέροντας μια κατηγορία προϊόντων από τη μία κλάση στην άλλη ή αφαιρώντας υπάρχουσα κατηγορία από τον εν λόγω κατάλογο. Κατά την αξιολόγηση της ανάγκης τροποποίησης του καταλόγου που παρατίθεται στο παράρτημα III, η Επιτροπή λαμβάνει υπόψη τις λειτουργικότητες που σχετίζονται με την κυβερνοασφάλεια ή τη λειτουργία και το επίπεδο κινδύνου για την κυβερνοασφάλεια που ενέχουν τα προϊόντα με ψηφιακά στοιχεία, όπως ορίζεται βάσει των κριτηρίων που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου.

Οι κατ’ εξουσιοδότηση πράξεις που αναφέρονται στο πρώτο εδάφιο της παρούσας παραγράφου προβλέπουν, κατά περίπτωση, ελάχιστη μεταβατική περίοδο 12 μηνών, ιδίως όταν μια νέα κατηγορία σημαντικών προϊόντων με ψηφιακά στοιχεία προστίθεται στην κλάση I ή II ή μεταφέρεται από την κλάση I στην κλάση II, όπως ορίζεται στο παράρτημα III, προτού αρχίσουν να εφαρμόζονται οι σχετικές διαδικασίες αξιολόγησης της συμμόρφωσης όπως αναφέρονται στο άρθρο 32 παράγραφοι 2 και 3, εκτός εάν δικαιολογείται συντομότερη μεταβατική περίοδος για επιτακτικούς λόγους επείγουσας ανάγκης.

4. Έως τις 11 Δεκεμβρίου 2025, η Επιτροπή εκδίδει εκτελεστική πράξη για τον καθορισμό της τεχνικής περιγραφής των κατηγοριών προϊόντων με ψηφιακά στοιχεία στις κλάσεις I και II όπως ορίζονται στο παράρτημα III, και της τεχνικής περιγραφής των κατηγοριών προϊόντων με ψηφιακά στοιχεία όπως ορίζονται στο παράρτημα IV. Η εν λόγω εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 62 παράγραφος 2.

Κρίσιμα προϊόντα με ψηφιακά στοιχεία

1. Ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61, προκειμένου να συμπληρώνει τον παρόντα κανονισμό, προσδιορίζοντας τα προϊόντα με ψηφιακά στοιχεία που έχουν τη βασική λειτουργικότητα μιας κατηγορίας προϊόντων που ορίζεται στο παράρτημα IV του παρόντος κανονισμού τα οποία απαιτείται να λαμβάνουν ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας σε επίπεδο διασφάλισης τουλάχιστον «σημαντικό» στο πλαίσιο ευρωπαϊκού καθεστώτος πιστοποίησης της κυβερνοασφάλειας που εγκρίνεται σύμφωνα με τον κανονισμό (ΕΕ) 2019/881, ώστε να αποδεικνύεται η συμμόρφωση με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I του παρόντος κανονισμού ή σε μέρη αυτού, υπό την προϋπόθεση ότι ένα ευρωπαϊκό καθεστώς πιστοποίησης της κυβερνοασφάλειας που καλύπτει τις εν λόγω κατηγορίες προϊόντων με ψηφιακά στοιχεία έχει εγκριθεί σύμφωνα με τον κανονισμό (ΕΕ) 2019/881 και είναι διαθέσιμο στους κατασκευαστές. Οι εν λόγω κατ’ εξουσιοδότηση πράξεις προσδιορίζουν το απαιτούμενο επίπεδο διασφάλισης που είναι αναλογικό προς το επίπεδο κινδύνου κυβερνοασφάλειας που συνδέεται με τα προϊόντα με ψηφιακά στοιχεία, και λαμβάνουν υπόψη τον προβλεπόμενο σκοπό τους, συμπεριλαμβανομένης της κρίσιμης εξάρτησής από αυτά βασικών οντοτήτων όπως αναφέρονται στο άρθρο 3 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555.

Πριν από την έκδοση των εν λόγω κατ’ εξουσιοδότηση πράξεων, η Επιτροπή διενεργεί εκτίμηση του δυνητικού αντικτύπου των προβλεπόμενων μέτρων στην αγορά και διεξάγει διαβουλεύσεις με τα σχετικά ενδιαφερόμενα μέρη, συμπεριλαμβανομένης της ευρωπαϊκής ομάδας πιστοποίησης της κυβερνοασφάλειας που θεσπίζεται βάσει του κανονισμού (ΕΕ) 2019/881. Η αξιολόγηση λαμβάνει υπόψη το επίπεδο ετοιμότητας και ικανότητας των κρατών μελών για την εφαρμογή του σχετικού ευρωπαϊκού καθεστώτος πιστοποίησης της κυβερνοασφάλειας. Όταν δεν έχουν εκδοθεί οι κατ’ εξουσιοδότηση πράξεις που αναφέρονται στο πρώτο εδάφιο της παρούσας παραγράφου, τα προϊόντα με ψηφιακά στοιχεία που έχουν τη βασική λειτουργικότητα κατηγορίας προϊόντων όπως ορίζεται στο παράρτημα IV υπόκεινται στις διαδικασίες αξιολόγησης της συμμόρφωσης που αναφέρονται στο άρθρο 32 παράγραφος 3.

Οι κατ’ εξουσιοδότηση πράξεις που αναφέρονται στο πρώτο εδάφιο προβλέπουν ελάχιστη μεταβατική περίοδο έξι μηνών, εκτός εάν δικαιολογείται βραχύτερη μεταβατική περίοδος για επιτακτικούς λόγους επείγουσας ανάγκης.

2. Ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61 για την τροποποίηση του παραρτήματος IV με την προσθήκη ή την αφαίρεση κατηγοριών κρίσιμων προϊόντων με ψηφιακά στοιχεία. Κατά τον καθορισμό των εν λόγω κατηγοριών κρίσιμων προϊόντων με ψηφιακά στοιχεία και του απαιτούμενου επιπέδου διασφάλισης, σύμφωνα με την παράγραφο 1 του παρόντος άρθρου, η Επιτροπή λαμβάνει υπόψη τα κριτήρια που αναφέρονται στο άρθρο 7 παράγραφος 2 και διασφαλίζει ότι οι κατηγορίες προϊόντων με ψηφιακά στοιχεία πληρούν τουλάχιστον ένα από τα ακόλουθα κριτήρια:

Πριν από την έκδοση των εν λόγω κατ’ εξουσιοδότηση πράξεων, η Επιτροπή διενεργεί αξιολόγηση του τύπου που αναφέρεται στην παράγραφο 1.

Οι κατ’ εξουσιοδότηση πράξεις που αναφέρονται στο πρώτο εδάφιο προβλέπουν ελάχιστη μεταβατική περίοδο έξι μηνών, εκτός εάν δικαιολογείται βραχύτερη μεταβατική περίοδος για επιτακτικούς λόγους επείγουσας ανάγκης.

Διαβουλεύσεις με τα ενδιαφερόμενα μέρη

1. Κατά την κατάρτιση μέτρων για την εφαρμογή του παρόντος κανονισμού, η Επιτροπή διαβουλεύεται με τα σχετικά ενδιαφερόμενα μέρη και λαμβάνει υπόψη τις απόψεις τους, όπως οι αρμόδιες αρχές των κρατών μελών, οι επιχειρήσεις του ιδιωτικού τομέα, συμπεριλαμβανομένων των πολύ μικρών και των μικρών και μεσαίων επιχειρήσεων, η κοινότητα λογισμικού ανοικτού κώδικα, οι ενώσεις καταναλωτών, η ακαδημαϊκή κοινότητα και οι σχετικοί οργανισμοί και φορείς της Ένωσης, καθώς και οι ομάδες εμπειρογνωμόνων που έχουν συσταθεί σε επίπεδο Ένωσης. Ειδικότερα, η Επιτροπή διαβουλεύεται, κατά περίπτωση, με δομημένο τρόπο με τα εν λόγω ενδιαφερόμενα μέρη και ζητεί τις απόψεις τους κατά:

2. Η Επιτροπή διοργανώνει τακτικές διαβουλεύσεις και ενημερωτικές συναντήσεις, τουλάχιστον μία φορά ετησίως, για να συγκεντρώσει τις απόψεις των ενδιαφερόμενων μερών που αναφέρονται στην παράγραφο 1 σχετικά με την εφαρμογή του παρόντος κανονισμού.

Ενίσχυση των δεξιοτήτων σε ένα ψηφιακό περιβάλλον κυβερνοανθεκτικότητας

Για τους σκοπούς του παρόντος κανονισμού και προκειμένου να ανταποκριθούν στις ανάγκες των επαγγελματιών προς υποστήριξη της εφαρμογής του παρόντος κανονισμού, τα κράτη μέλη, με την υποστήριξη, κατά περίπτωση, της Επιτροπής, του Ευρωπαϊκού Κέντρου Αρμοδιότητας για Θέματα Κυβερνοασφάλειας και του ENISA, με πλήρη σεβασμό προς την αρμοδιότητα των κρατών μελών στον τομέα της εκπαίδευσης, προωθούν μέτρα και στρατηγικές που αποσκοπούν:

Γενική ασφάλεια των προϊόντων

Κατά παρέκκλιση από το άρθρο 2 παράγραφος 1 τρίτο εδάφιο στοιχείο β) του κανονισμού (ΕΕ) 2023/988, το κεφάλαιο III τμήμα 1, τα κεφάλαια V και VII και τα κεφάλαια IX έως XI του εν λόγω κανονισμού εφαρμόζονται σε προϊόντα με ψηφιακά στοιχεία όσον αφορά τις πτυχές και τους κινδύνους ή τις κατηγορίες κινδύνων που δεν καλύπτονται από τον παρόντα κανονισμό, όταν τα εν λόγω προϊόντα δεν υπόκεινται σε ειδικές απαιτήσεις ασφαλείας που προβλέπονται σε άλλη «ενωσιακή νομοθεσία εναρμόνισης» όπως ορίζεται στο άρθρο 3 σημείο 27) του κανονισμού (ΕΕ) 2023/988.

Συστήματα ΤΝ υψηλού κινδύνου

1. Με την επιφύλαξη των απαιτήσεων σε σχέση με την ακρίβεια και τη στιβαρότητα που ορίζονται στο άρθρο 15 του κανονισμού (ΕΕ) 2024/1689, τα προϊόντα με ψηφιακά στοιχεία που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού και τα οποία ταξινομούνται ως συστήματα ΤΝ υψηλού κινδύνου σύμφωνα με το άρθρο 6 του εν λόγω κανονισμού, θεωρείται ότι συμμορφώνονται με τις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο άρθρο 15 του εν λόγω κανονισμού όταν:

2. Για τα προϊόντα με ψηφιακά στοιχεία και τις απαιτήσεις κυβερνοασφάλειας που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, εφαρμόζεται η σχετική διαδικασία αξιολόγησης της συμμόρφωσης που προβλέπεται στο άρθρο 43 του κανονισμού (ΕΕ) 2024/1689. Για τους σκοπούς της εν λόγω αξιολόγησης, οι κοινοποιημένοι οργανισμοί που είναι αρμόδιοι να ελέγχουν τη συμμόρφωση των συστημάτων ΤΝ υψηλού κινδύνου δυνάμει του κανονισμού (ΕΕ) 2024/1689 είναι επίσης αρμόδιοι να ελέγχουν τη συμμόρφωση συστημάτων ΤΝ υψηλού κινδύνου που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού με τις απαιτήσεις που ορίζονται στο παράρτημα I του παρόντος κανονισμού, υπό την προϋπόθεση ότι η συμμόρφωση των εν λόγω κοινοποιημένων οργανισμών με τις απαιτήσεις που ορίζονται στο άρθρο 39 του παρόντος κανονισμού έχει αξιολογηθεί στο πλαίσιο της διαδικασίας κοινοποίησης δυνάμει του κανονισμού (ΕΕ) 2024/1689.

3. Κατά παρέκκλιση από την παράγραφο 2 του παρόντος άρθρου, σημαντικά προϊόντα με ψηφιακά στοιχεία που απαριθμούνται στο παράρτημα III του παρόντος κανονισμού, τα οποία υπόκεινται στις διαδικασίες αξιολόγησης της συμμόρφωσης που αναφέρονται στο άρθρο 32 παράγραφος 2 στοιχεία α) και β) και στο άρθρο 32 παράγραφος 3 του παρόντος κανονισμού και κρίσιμα προϊόντα με ψηφιακά στοιχεία που απαριθμούνται στο παράρτημα IV του παρόντος κανονισμού, τα οποία απαιτείται να λάβουν ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας σύμφωνα με το άρθρο 8 παράγραφος 1 του παρόντος κανονισμού ή, ελλείψει αυτού, τα οποία υπόκεινται στις διαδικασίες αξιολόγησης της συμμόρφωσης που αναφέρονται στο άρθρο 32 παράγραφος 3 του παρόντος κανονισμού, και τα οποία ταξινομούνται ως συστήματα ΤΝ υψηλού κινδύνου σύμφωνα με το άρθρο 6 του κανονισμού (ΕΕ) 2024/1689, και στα οποία εφαρμόζεται η διαδικασία αξιολόγησης της συμμόρφωσης βάσει εσωτερικού ελέγχου όπως αναφέρεται στο παράρτημα VI του κανονισμού (ΕΕ) 2024/1689, υπόκεινται στις διαδικασίες αξιολόγησης της συμμόρφωσης που ορίζονται στον παρόντα κανονισμό, στον βαθμό που αφορούν τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας του παρόντος κανονισμού.

4. Οι κατασκευαστές προϊόντων με ψηφιακά στοιχεία όπως αναφέρονται στην παράγραφο 1 του παρόντος άρθρου μπορούν να συμμετέχουν στα ρυθμιστικά δοκιμαστήρια ΤΝ που αναφέρονται στο άρθρο 57 του κανονισμού (ΕΕ) 2024/1689.

Υποχρεώσεις των κατασκευαστών

1. Κατά τη διάθεση προϊόντος με ψηφιακά στοιχεία στην αγορά, οι κατασκευαστές εξασφαλίζουν ότι αυτό έχει σχεδιαστεί, αναπτυχθεί και κατασκευαστεί σύμφωνα με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I μέρος I.

2. Για τον σκοπό της συμμόρφωσης με την παράγραφο 1, οι κατασκευαστές διενεργούν εκτίμηση των κινδύνων που σχετίζονται με προϊόν με ψηφιακά στοιχεία όσον αφορά την κυβερνοασφάλεια και λαμβάνουν υπόψη το αποτέλεσμα της εν λόγω αξιολόγησης κατά τα στάδια προγραμματισμού, σχεδιασμού, ανάπτυξης, παραγωγής, παράδοσης και συντήρησης του προϊόντος με ψηφιακά στοιχεία, με σκοπό την ελαχιστοποίηση των κινδύνων για την κυβερνοασφάλεια, την πρόληψη περιστατικών και την ελαχιστοποίηση των επιπτώσεών τους, μεταξύ άλλων στην υγεία και την ασφάλεια των χρηστών.

3. Η εκτίμηση κινδύνων κυβερνοασφάλειας τεκμηριώνεται και επικαιροποιείται, κατά περίπτωση, κατά τη διάρκεια περιόδου υποστήριξης που καθορίζεται σύμφωνα με την παράγραφο 8 του παρόντος άρθρου. Η εν λόγω εκτίμηση κινδύνων κυβερνοασφάλειας περιλαμβάνει τουλάχιστον ανάλυση των κινδύνων κυβερνοασφάλειας με βάση τον προβλεπόμενο σκοπό και την ευλόγως προβλέψιμη χρήση, καθώς και τους όρους χρήσης, του προϊόντος με ψηφιακά στοιχεία, όπως το επιχειρησιακό περιβάλλον ή τα περιουσιακά στοιχεία που πρέπει να προστατευθούν, λαμβανομένου υπόψη του χρόνου που αναμένεται να χρησιμοποιηθεί το προϊόν. Στην εκτίμηση κινδύνων κυβερνοασφάλειας αναφέρεται κατά πόσον και, εάν ναι, με ποιον τρόπο, οι απαιτήσεις ασφάλειας που ορίζονται στο παράρτημα I μέρος I σημείο 2, εφαρμόζονται στο σχετικό προϊόν με ψηφιακά στοιχεία και πώς εφαρμόζονται οι εν λόγω απαιτήσεις, όπως τεκμηριώνεται από την εκτίμηση κινδύνων κυβερνοασφάλειας. Αναφέρεται επίσης ο τρόπος με τον οποίο ο κατασκευαστής εφαρμόζει το παράρτημα I μέρος I σημείο 1 και τις απαιτήσεις χειρισμού ευπαθειών που ορίζονται στο παράρτημα I μέρος II.

4. Όταν ο κατασκευαστής θέτει προϊόν με ψηφιακά στοιχεία σε κυκλοφορία στην αγορά, περιλαμβάνει την εκτίμηση κινδύνων κυβερνοασφάλειας που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου στον τεχνικό φάκελο που απαιτείται σύμφωνα με το άρθρο 31 και το παράρτημα VII. Για τα προϊόντα με ψηφιακά στοιχεία όπως αναφέρονται στο άρθρο 12, τα οποία υπόκεινται και σε άλλες νομικές πράξεις της Ένωσης, η εκτίμηση κινδύνων κυβερνοασφάλειας μπορεί να αποτελεί μέρος της εκτίμησης κινδύνου που απαιτείται από τις εν λόγω νομικές πράξεις της Ένωσης. Όταν ορισμένες ουσιώδεις απαιτήσεις κυβερνοασφάλειας δεν εφαρμόζονται στο προϊόν με ψηφιακά στοιχεία, ο κατασκευαστής περιλαμβάνει σαφή σχετική αιτιολόγηση στον εν λόγω τεχνικό φάκελο.

5. Για τους σκοπούς της συμμόρφωσης με την παράγραφο 1, οι κατασκευαστές επιδεικνύουν τη δέουσα επιμέλεια κατά την ενσωμάτωση δομοστοιχείων που προέρχονται από τρίτους, ώστε τα εν λόγω δομοστοιχεία να μη θέτουν σε κίνδυνο την κυβερνοασφάλεια του προϊόντος με ψηφιακά στοιχεία, μεταξύ άλλων όταν ενσωματώνουν δομοστοιχεία ελεύθερου λογισμικού ανοικτού κώδικα που δεν έχουν καταστεί διαθέσιμα στην αγορά στο πλαίσιο εμπορικής δραστηριότητας.

6. Οι κατασκευαστές, μόλις εντοπίσουν μια ευπάθεια σε δομοστοιχείο, μεταξύ άλλων σε δομοστοιχείο ανοικτού κώδικα, το οποίο είναι ενσωματωμένο στο προϊόν με ψηφιακά στοιχεία, αναφέρουν την ευπάθεια στο πρόσωπο ή την οντότητα που κατασκευάζει ή συντηρεί το δομοστοιχείο, και αντιμετωπίζουν και αίρουν την ευπάθεια σύμφωνα με τις απαιτήσεις χειρισμού ευπαθειών που ορίζονται στο παράρτημα I μέρος II. Όταν οι κατασκευαστές έχουν αναπτύξει τροποποίηση λογισμικού ή υλισμικού για την αντιμετώπιση της ευπάθειας του εν λόγω δομοστοιχείου, κοινοποιούν τον σχετικό κώδικα ή την τεκμηρίωση στο πρόσωπο ή την οντότητα που κατασκευάζει ή συντηρεί το δομοστοιχείο, κατά περίπτωση σε μηχαναγνώσιμο μορφότυπο.

7. Οι κατασκευαστές τεκμηριώνουν συστηματικά, κατά τρόπο αναλογικό προς τη φύση και τους κινδύνους για την κυβερνοασφάλεια, τις σχετικές πτυχές κυβερνοασφάλειας που αφορούν τα προϊόντα με ψηφιακά στοιχεία, συμπεριλαμβανομένων των ευπαθειών που υποπίπτουν στην αντίληψή τους και τυχόν σχετικές πληροφορίες που παρέχονται από τρίτους, και, κατά περίπτωση, επικαιροποιούν την εκτίμηση κινδύνων κυβερνοασφάλειας των προϊόντων.

8. Οι κατασκευαστές εξασφαλίζουν, όταν θέτουν προϊόν με ψηφιακά στοιχεία σε κυκλοφορία στην αγορά, και για την περίοδο υποστήριξης, ότι οι ευπάθειες του εν λόγω προϊόντος, συμπεριλαμβανομένων των δομοστοιχείων του, αντιμετωπίζονται αποτελεσματικά και σύμφωνα με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I μέρος II.

Οι κατασκευαστές καθορίζουν την περίοδο υποστήριξης κατά τρόπο ώστε αυτή να αντικατοπτρίζει το χρονικό διάστημα κατά το οποίο αναμένεται να χρησιμοποιηθεί το προϊόν, λαμβάνοντας υπόψη, ιδίως, τις εύλογες προσδοκίες των χρηστών, τη φύση του προϊόντος, συμπεριλαμβανομένου του προβλεπόμενου σκοπού του, καθώς και τη σχετική ενωσιακή νομοθεσία που καθορίζει τη διάρκεια ζωής των προϊόντων με ψηφιακά στοιχεία. Κατά τον καθορισμό της περιόδου υποστήριξης, οι κατασκευαστές μπορούν επίσης να λαμβάνουν υπόψη τις περιόδους υποστήριξης προϊόντων με ψηφιακά στοιχεία που προσφέρουν παρόμοια λειτουργικότητα και έχουν τεθεί σε κυκλοφορία στην αγορά από άλλους κατασκευαστές, τη διαθεσιμότητα του περιβάλλοντος λειτουργίας, τις περιόδους υποστήριξης των ενσωματωμένων δομοστοιχείων που παρέχουν βασικές λειτουργίες και προέρχονται από τρίτους, καθώς και τη σχετική καθοδήγηση που παρέχεται από την ειδική ομάδα διοικητικής συνεργασίας (ΕΟΔΚ) που συγκροτείται σύμφωνα με το άρθρο 52 παράγραφος 15 και την Επιτροπή. Τα ζητήματα που πρέπει να λαμβάνονται υπόψη για τον καθορισμό της περιόδου υποστήριξης εξετάζονται κατά τρόπο που διασφαλίζει την αναλογικότητα.

Με την επιφύλαξη του δεύτερου εδαφίου, η περίοδος υποστήριξης είναι τουλάχιστον πέντε έτη. Όταν το προϊόν με ψηφιακά στοιχεία αναμένεται να χρησιμοποιηθεί για λιγότερο από πέντε έτη, η περίοδος υποστήριξης αντιστοιχεί στον αναμενόμενο χρόνο χρήσης.

Λαμβάνοντας υπόψη τις συστάσεις της ΕΟΔΚ, όπως αναφέρονται στο άρθρο 52 παράγραφος 16, η Επιτροπή μπορεί να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61, προκειμένου να συμπληρώσει τον παρόντα κανονισμό προσδιορίζοντας την ελάχιστη περίοδο υποστήριξης για συγκεκριμένες κατηγορίες προϊόντων για τις οποίες τα δεδομένα εποπτείας της αγοράς δείχνουν ότι οι περίοδοι υποστήριξης είναι ανεπαρκείς.

Οι κατασκευαστές περιλαμβάνουν στον τεχνικό φάκελο, όπως ορίζεται στο παράρτημα VII, τις πληροφορίες που ελήφθησαν υπόψη για τον καθορισμό της περιόδου υποστήριξης ενός προϊόντος με ψηφιακά στοιχεία.

Οι κατασκευαστές διαθέτουν κατάλληλες πολιτικές και διαδικασίες, συμπεριλαμβανομένων συντονισμένων πολιτικών γνωστοποίησης ευπαθειών, όπως αναφέρονται στο παράρτημα I μέρος II σημείο 5, για την επεξεργασία και την αποκατάσταση πιθανών ευπαθειών του προϊόντος με ψηφιακά στοιχεία που αναφέρονται από εσωτερικές ή εξωτερικές πηγές.

9. Οι κατασκευαστές διασφαλίζουν ότι κάθε ενημέρωση ασφαλείας, όπως αναφέρεται στο παράρτημα I μέρος II σημείο 8, η οποία έχει καταστεί διαθέσιμη στους χρήστες κατά τη διάρκεια της περιόδου υποστήριξης, παραμένει διαθέσιμη μετά την έκδοσή της για τουλάχιστον 10 έτη ή για το υπόλοιπο της περιόδου υποστήριξης, ανάλογα με το ποιο διάστημα είναι μεγαλύτερο.

10. Όταν ένας κατασκευαστής έχει θέσει σε κυκλοφορία στην αγορά μεταγενέστερες ουσιωδώς τροποποιημένες εκδόσεις προϊόντος λογισμικού, ο εν λόγω κατασκευαστής μπορεί να διασφαλίσει τη συμμόρφωση με την ουσιώδη απαίτηση κυβερνοασφάλειας που ορίζεται στο παράρτημα I μέρος II σημείο 2, μόνο για την έκδοση που έθεσε τελευταία σε κυκλοφορία στην αγορά ο εν λόγω κατασκευαστής, υπό την προϋπόθεση ότι οι χρήστες των εκδόσεων που είχαν τεθεί προηγουμένως σε κυκλοφορία στην αγορά, έχουν πρόσβαση στην τελευταία έκδοση που τέθηκε σε κυκλοφορία στην αγορά δωρεάν και δεν επιβαρύνονται με πρόσθετες δαπάνες για την προσαρμογή του περιβάλλοντος υλισμικού και λογισμικού στο οποίο χρησιμοποιούν την αρχική έκδοση του εν λόγω προϊόντος.

11. Οι κατασκευαστές μπορούν να διατηρούν δημόσια αρχεία λογισμικού που ενισχύουν την πρόσβαση των χρηστών σε ιστορικές εκδόσεις. Στις περιπτώσεις αυτές, οι χρήστες ενημερώνονται σαφώς και με εύκολα προσβάσιμο τρόπο σχετικά με τους κινδύνους που συνδέονται με τη χρήση μη υποστηριζόμενου λογισμικού.

12. Πριν από τη διάθεση προϊόντος με ψηφιακά στοιχεία στην αγορά, οι κατασκευαστές καταρτίζουν τον τεχνικό φάκελο που αναφέρεται στο άρθρο 31.

Διενεργούν τις επιλεγμένες διαδικασίες αξιολόγησης της συμμόρφωσης όπως αναφέρονται στο άρθρο 32 ή αναθέτουν τη διενέργειά τους σε τρίτους.

Όταν η συμμόρφωση του προϊόντος με ψηφιακά στοιχεία με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που καθορίζονται στο παράρτημα I μέρος I, και των διαδικασιών που εφαρμόζει ο κατασκευαστής με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο τμήμα 2 του παραρτήματος I μέρος II, αποδεικνύεται με την εν λόγω διαδικασία αξιολόγησης της συμμόρφωσης, οι κατασκευαστές καταρτίζουν τη δήλωση συμμόρφωσης ΕΕ σύμφωνα με το άρθρο 28 και τοποθετούν τη σήμανση CE σύμφωνα με το άρθρο 30.

13. Οι κατασκευαστές διατηρούν τον τεχνικό φάκελο και τη δήλωση συμμόρφωσης ΕΕ στη διάθεση των αρχών εποπτείας της αγοράς τουλάχιστον επί δέκα έτη αφότου το προϊόν με ψηφιακά στοιχεία τεθεί σε κυκλοφορία στην αγορά ή για την περίοδο υποστήριξης, ανάλογα με το ποιο διάστημα είναι μεγαλύτερο.

14. Οι κατασκευαστές διασφαλίζουν ότι εφαρμόζονται διαδικασίες ώστε τα προϊόντα με ψηφιακά στοιχεία που αποτελούν μέρος σειράς παραγωγής να συμμορφώνονται διαρκώς με τον παρόντα κανονισμό. Οι κατασκευαστές λαμβάνουν δεόντως υπόψη τις αλλαγές στη διαδικασία ανάπτυξης και παραγωγής ή στον σχεδιασμό ή τα χαρακτηριστικά του προϊόντος με ψηφιακά στοιχεία, καθώς και τις αλλαγές στα εναρμονισμένα πρότυπα, στα ευρωπαϊκά καθεστώτα πιστοποίησης της κυβερνοασφάλειας ή στις κοινές προδιαγραφές όπως αναφέρονται στο άρθρο 27 και με βάση τις οποίες δηλώνεται η συμμόρφωση του προϊόντος με ψηφιακά στοιχεία ή με την εφαρμογή των οποίων επαληθεύεται η συμμόρφωσή του.

15. Οι κατασκευαστές διασφαλίζουν ότι τα προϊόντα τους με ψηφιακά στοιχεία φέρουν αριθμό τύπου, παρτίδας ή σειράς ή άλλο στοιχείο που επιτρέπει την ταυτοποίησή τους ή, όταν αυτό δεν είναι δυνατό, ότι οι εν λόγω πληροφορίες αναγράφονται στη συσκευασία τους ή σε έγγραφο που συνοδεύει το προϊόν με ψηφιακά στοιχεία.

16. Οι κατασκευαστές αναγράφουν το όνομα, την καταχωρισμένη εμπορική επωνυμία ή το καταχωρισμένο εμπορικό σήμα του κατασκευαστή, και την ταχυδρομική διεύθυνση, τη διεύθυνση ηλεκτρονικού ταχυδρομείου ή άλλα ψηφιακά στοιχεία επικοινωνίας, καθώς και, κατά περίπτωση, τον ιστότοπο μέσω του οποίου μπορεί να υπάρξει επικοινωνία με τον κατασκευαστή, στο προϊόν με ψηφιακά στοιχεία, στη συσκευασία του ή σε έγγραφο που συνοδεύει το προϊόν με ψηφιακά στοιχεία. Οι πληροφορίες αυτές περιλαμβάνονται επίσης στις πληροφορίες και τις οδηγίες προς τον χρήστη που ορίζονται στο παράρτημα II. Τα στοιχεία επικοινωνίας παρέχονται σε γλώσσα εύκολα κατανοητή από τους χρήστες και τις αρχές εποπτείας της αγοράς.

17. Για τους σκοπούς του παρόντος κανονισμού, οι κατασκευαστές ορίζουν ενιαίο σημείο επαφής που επιτρέπει στους χρήστες να επικοινωνούν απευθείας και γρήγορα μαζί τους, μεταξύ άλλων προκειμένου να διευκολύνεται η αναφορά ευπαθειών του προϊόντος με ψηφιακά στοιχεία.

Οι κατασκευαστές εξασφαλίζουν ότι το ενιαίο σημείο επαφής μπορεί να αναγνωριστεί εύκολα από τους χρήστες. Περιλαμβάνουν επίσης το ενιαίο σημείο επαφής στις πληροφορίες και τις οδηγίες προς τον χρήστη που ορίζονται στο παράρτημα II.

Το ενιαίο σημείο επαφής επιτρέπει στους χρήστες να επιλέγουν τα μέσα επικοινωνίας που προτιμούν και δεν περιορίζει τα μέσα αυτά σε αυτοματοποιημένα εργαλεία.

18. Οι κατασκευαστές διασφαλίζουν ότι τα προϊόντα με ψηφιακά στοιχεία συνοδεύονται από τις πληροφορίες και τις οδηγίες προς τον χρήστη που ορίζονται στο παράρτημα II, σε έντυπη ή ηλεκτρονική μορφή. Οι εν λόγω πληροφορίες και οδηγίες παρέχονται σε γλώσσα εύκολα κατανοητή από τους χρήστες και τις αρχές εποπτείας της αγοράς. Είναι σαφείς, κατανοητές, εύληπτες και ευανάγνωστες. Επιτρέπουν την ασφαλή εγκατάσταση, λειτουργία και χρήση των προϊόντων με ψηφιακά στοιχεία. Οι κατασκευαστές διατηρούν τις πληροφορίες και τις οδηγίες προς τον χρήστη που ορίζονται στο παράρτημα II στη διάθεση των χρηστών και των αρχών εποπτείας της αγοράς τουλάχιστον επί δέκα έτη αφότου το προϊόν με ψηφιακά στοιχεία τεθεί σε κυκλοφορία στην αγορά ή για την περίοδο υποστήριξης, ανάλογα με το ποιο διάστημα είναι μεγαλύτερο. Όταν οι εν λόγω πληροφορίες και οδηγίες παρέχονται διαδικτυακά, οι κατασκευαστές εξασφαλίζουν ότι είναι προσβάσιμες, εύχρηστες και διαθέσιμες διαδικτυακά επί τουλάχιστον δέκα έτη αφότου το προϊόν με ψηφιακά στοιχεία τεθεί σε κυκλοφορία στην αγορά ή για την περίοδο υποστήριξης, ανάλογα με το ποιο διάστημα είναι μεγαλύτερο.

19. Οι κατασκευαστές διασφαλίζουν ότι η ημερομηνία λήξης της περιόδου υποστήριξης που αναφέρεται στην παράγραφο 8, συμπεριλαμβανομένου τουλάχιστον του μήνα και του έτους, προσδιορίζεται σαφώς και κατανοητά κατά τη στιγμή της αγοράς, με εύκολα προσβάσιμο τρόπο και, κατά περίπτωση, στο προϊόν με ψηφιακά στοιχεία, στη συσκευασία του ή με ψηφιακά μέσα.

Όπου είναι τεχνικά εφικτό λόγω της φύσης του προϊόντος με ψηφιακά στοιχεία, οι κατασκευαστές εμφανίζουν κοινοποίηση προς τους χρήστες με την οποία τους ενημερώνουν ότι το προϊόν τους με ψηφιακά στοιχεία έχει φτάσει στο τέλος της περιόδου υποστήριξής του.

20. Οι κατασκευαστές παρέχουν είτε αντίγραφο της δήλωσης συμμόρφωσης ΕΕ είτε απλουστευμένη δήλωση συμμόρφωσης ΕΕ με το προϊόν με ψηφιακά στοιχεία. Στην περίπτωση που παρέχεται απλουστευμένη δήλωση συμμόρφωσης ΕΕ, αυτή περιλαμβάνει την ακριβή διαδικτυακή διεύθυνση στην οποία διατίθεται πρόσβαση στο πλήρες κείμενο της δήλωσης συμμόρφωσης ΕΕ.

21. Από τη διάθεση στην αγορά και για την περίοδο υποστήριξης, οι κατασκευαστές που γνωρίζουν ή έχουν λόγους να πιστεύουν ότι το προϊόν με ψηφιακά στοιχεία ή οι διαδικασίες που εφαρμόζει ο κατασκευαστής δεν συμμορφώνονται με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I, λαμβάνουν αμέσως τα αναγκαία διορθωτικά μέτρα για να εξασφαλίσουν τη συμμόρφωση του προϊόντος με ψηφιακά στοιχεία ή των διαδικασιών του κατασκευαστή, ή να αποσύρουν ή να ανακαλέσουν το προϊόν, κατά περίπτωση.

22. Οι κατασκευαστές παρέχουν στην αρχή εποπτείας της αγοράς, κατόπιν αιτιολογημένου αιτήματος της εν λόγω αρχής, σε γλώσσα εύκολα κατανοητή από την εν λόγω αρχή, όλες τις πληροφορίες και την τεκμηρίωση που απαιτούνται, σε έντυπη ή ηλεκτρονική μορφή, για να αποδειχθεί η συμμόρφωση του προϊόντος με ψηφιακά στοιχεία και των διαδικασιών που εφαρμόζει ο κατασκευαστής προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I. Οι κατασκευαστές συνεργάζονται με την εν λόγω αρχή, κατόπιν αιτήματός της, για τυχόν μέτρα που λαμβάνονται για την εξάλειψη των κινδύνων που ενέχει το προϊόν με ψηφιακά στοιχεία το οποίο έχουν διαθέσει στην αγορά, όσον αφορά την κυβερνοασφάλεια.

23. Ο κατασκευαστής που παύει τις δραστηριότητές του και, ως εκ τούτου, δεν είναι σε θέση να συμμορφωθεί με τον παρόντα κανονισμό ενημερώνει, πριν από την έναρξη ισχύος της παύσης των δραστηριοτήτων του, τις αρμόδιες αρχές εποπτείας της αγοράς, καθώς και τους χρήστες των σχετικών προϊόντων με ψηφιακά στοιχεία που έχουν τεθεί σε κυκλοφορία στην αγορά, με κάθε διαθέσιμο μέσο και στο μέτρο του δυνατού, σχετικά με την επικείμενη παύση των δραστηριοτήτων του.

24. Η Επιτροπή μπορεί, με εκτελεστικές πράξεις και λαμβάνοντας υπόψη τα ευρωπαϊκά ή διεθνή πρότυπα και βέλτιστες πρακτικές, να καθορίζει τον μορφότυπο και τα στοιχεία του καταλόγου υλικών λογισμικού που αναφέρεται στο παράρτημα I μέρος II σημείο 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 62 παράγραφος 2.

25. Προκειμένου να αξιολογηθεί η εξάρτηση των κρατών μελών και της Ένωσης στο σύνολό της από δομοστοιχεία λογισμικού και ιδίως από δομοστοιχεία που χαρακτηρίζονται ως ελεύθερο λογισμικό ανοικτού κώδικα, η ΕΟΔΚ μπορεί να αποφασίσει να διενεργήσει αξιολόγηση της εξάρτησης σε επίπεδο Ένωσης για συγκεκριμένες κατηγορίες προϊόντων με ψηφιακά στοιχεία. Για τον σκοπό αυτό, οι αρχές εποπτείας της αγοράς μπορούν να ζητήσουν από τους κατασκευαστές των εν λόγω κατηγοριών προϊόντων με ψηφιακά στοιχεία να παράσχουν τους σχετικούς καταλόγους υλικών λογισμικού, όπως αναφέρεται στο παράρτημα I μέρος II σημείο 1. Βάσει των εν λόγω πληροφοριών, οι αρχές εποπτείας της αγοράς μπορούν να παράσχουν στην ΕΟΔΚ ανωνυμοποιημένες και συγκεντρωτικές πληροφορίες σχετικά με τις εξαρτήσεις λογισμικού. Η ΕΟΔΚ υποβάλλει έκθεση σχετικά με τα αποτελέσματα της αξιολόγησης εξάρτησης στην ομάδα συνεργασίας που συγκροτείται σύμφωνα με το άρθρο 14 της οδηγίας (ΕΕ) 2022/2555.

Υποχρεώσεις αναφοράς για τους κατασκευαστές

1. Ο κατασκευαστής κοινοποιεί κάθε ευπάθεια που αποτελεί αντικείμενο ενεργού εκμετάλλευσης και περιέχεται στο προϊόν με ψηφιακά στοιχεία, και η οποία υποπίπτει στην αντίληψή του, ταυτόχρονα στην ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού, σύμφωνα με την παράγραφο 7 του παρόντος άρθρου, και στον ENISA. Ο κατασκευαστής κοινοποιεί την εν λόγω ευπάθεια που αποτελεί αντικείμενο ενεργού εκμετάλλευσης μέσω της ενιαίας πλατφόρμας αναφοράς που δημιουργείται σύμφωνα με το άρθρο 16.

2. Για τους σκοπούς της κοινοποίησης που αναφέρεται στην παράγραφο 1, ο κατασκευαστής υποβάλλει:

3. Ο κατασκευαστής κοινοποιεί κάθε σοβαρό περιστατικό που έχει αντίκτυπο στην ασφάλεια του προϊόντος με ψηφιακά στοιχεία και το οποίο υποπίπτει στην αντίληψή του, ταυτόχρονα στην ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού, σύμφωνα με την παράγραφο 7 του παρόντος άρθρου, και στον ENISA. Ο κατασκευαστής κοινοποιεί το εν λόγω περιστατικό μέσω της ενιαίας πλατφόρμας αναφοράς που δημιουργείται σύμφωνα με το άρθρο 16.

4. Για τους σκοπούς της κοινοποίησης που αναφέρεται στην παράγραφο 3, ο κατασκευαστής υποβάλλει:

5. Για τους σκοπούς της παραγράφου 3, περιστατικό που έχει αντίκτυπο στην ασφάλεια του προϊόντος με ψηφιακά στοιχεία θεωρείται σοβαρό όταν:

6. Όπου είναι αναγκαίο, η ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού και η οποία λαμβάνει πρώτη την κοινοποίηση μπορεί να ζητήσει από τους κατασκευαστές να υποβάλουν ενδιάμεση έκθεση σχετικά με τις οικείες επικαιροποιήσεις της κατάστασης όσον αφορά την ευπάθεια που αποτελεί αντικείμενο ενεργού εκμετάλλευσης ή το σοβαρό περιστατικό που έχει αντίκτυπο στην ασφάλεια του προϊόντος με ψηφιακά στοιχεία.

7. Οι κοινοποιήσεις που αναφέρονται στις παραγράφους 1 και 3 του παρόντος άρθρου υποβάλλονται μέσω της ενιαίας πλατφόρμας αναφοράς που αναφέρεται στο άρθρο 16 με τη χρήση ενός από τα τελικά σημεία ηλεκτρονικής κοινοποίησης που αναφέρονται στο άρθρο 16 παράγραφος 1. Η κοινοποίηση υποβάλλεται μέσω του τελικού σημείου ηλεκτρονικής κοινοποίησης της ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού, του κράτους μέλους στο οποίο οι κατασκευαστές έχουν την κύρια εγκατάστασή τους στην Ένωση, και είναι ταυτόχρονα προσβάσιμη στον ENISA.

Για τους σκοπούς του παρόντος κανονισμού, ένας κατασκευαστής θεωρείται ότι έχει την κύρια εγκατάστασή του στην Ένωση στο κράτος μέλος όπου λαμβάνονται κυρίως οι αποφάσεις σχετικά με την κυβερνοασφάλεια των προϊόντων του με ψηφιακά στοιχεία. Εάν το εν λόγω κράτος μέλος δεν μπορεί να προσδιοριστεί, η κύρια εγκατάσταση θεωρείται ότι βρίσκεται στο κράτος μέλος στο οποίο ο οικείος κατασκευαστής έχει την εγκατάσταση με τον μεγαλύτερο αριθμό εργαζομένων στην Ένωση.

Όταν ένας κατασκευαστής δεν έχει κύρια εγκατάσταση στην Ένωση, υποβάλλει τις κοινοποιήσεις που αναφέρονται στις παραγράφους 1 και 3 χρησιμοποιώντας το τελικό σημείο ηλεκτρονικής κοινοποίησης της ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού στο κράτος μέλος που καθορίζεται σύμφωνα με την ακόλουθη σειρά και με βάση τις πληροφορίες που έχει στη διάθεσή του ο κατασκευαστής:

Όσον αφορά το τρίτο εδάφιο στοιχείο δ), ο κατασκευαστής μπορεί να υποβάλλει κοινοποιήσεις σχετικά με οποιαδήποτε μεταγενέστερη ευπάθεια που αποτελεί αντικείμενο ενεργού εκμετάλλευσης ή οποιοδήποτε μεταγενέστερο σοβαρό περιστατικό που έχει αντίκτυπο στην ασφάλεια του προϊόντος με ψηφιακά στοιχεία στην ίδια ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού και στην οποία υπέβαλε αναφορά την πρώτη φορά.

8. Αφού αντιληφθεί μια ευπάθεια που αποτελεί αντικείμενο ενεργού εκμετάλλευσης ή ένα σοβαρό περιστατικό που έχει αντίκτυπο στην ασφάλεια του προϊόντος με ψηφιακά στοιχεία, ο κατασκευαστής ενημερώνει τους επηρεαζόμενους χρήστες του προϊόντος με ψηφιακά στοιχεία και, κατά περίπτωση, όλους τους χρήστες, σχετικά με την εν λόγω ευπάθεια ή το σοβαρό περιστατικό και, κατά περίπτωση, σχετικά με τυχόν μέτρα μετριασμού του κινδύνου και διορθωτικά μέτρα που μπορούν να λάβουν οι χρήστες για τον μετριασμό των επιπτώσεων της εν λόγω ευπάθειας ή συμβάντος, κατά περίπτωση σε δομημένο και μηχαναγνώσιμο μορφότυπο που μπορεί να υποβληθεί εύκολα σε αυτόματη επεξεργασία. Σε περίπτωση που ο κατασκευαστής δεν ενημερώσει εγκαίρως τους χρήστες του προϊόντος με ψηφιακά στοιχεία, οι κοινοποιημένες ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού μπορούν να παρέχουν τις εν λόγω πληροφορίες στους χρήστες όταν αυτό θεωρείται αναλογικό και αναγκαίο για την πρόληψη ή τον μετριασμό των επιπτώσεων της εν λόγω ευπάθειας ή συμβάντος.

9. Έως τις 11 Δεκεμβρίου 2025, η Επιτροπή εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61 του παρόντος κανονισμού, για τη συμπλήρωση του παρόντος κανονισμού με τον προσδιορισμό των όρων και προϋποθέσεων για την επίκληση λόγων κυβερνοασφάλειας σε σχέση με την καθυστέρηση της διάδοσης των κοινοποιήσεων, όπως αναφέρεται στο άρθρο 16 παράγραφος 2 του παρόντος κανονισμού. Η Επιτροπή συνεργάζεται με το δίκτυο ΟΑΠΑΥ που συγκροτείται σύμφωνα με το άρθρο 15 της οδηγίας (ΕΕ) 2022/2555, και με τον ENISA κατά την κατάρτιση των σχεδίων κατ’ εξουσιοδότηση πράξεων.

10. Η Επιτροπή μπορεί, με εκτελεστικές πράξεις, να προσδιορίσει περαιτέρω τον μορφότυπο και τις διαδικασίες των κοινοποιήσεων που αναφέρονται στο παρόν άρθρο, καθώς και στα άρθρα 15 και 16. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 62 παράγραφος 2. Η Επιτροπή συνεργάζεται με το δίκτυο ΟΑΠΑΥ και τον ENISA κατά την κατάρτιση των εν λόγω σχεδίων εκτελεστικών πράξεων.

Εθελοντική αναφορά

1. Οι κατασκευαστές, καθώς και άλλα φυσικά ή νομικά πρόσωπα, μπορούν να κοινοποιούν κάθε ευπάθεια που περιέχεται σε προϊόν με ψηφιακά στοιχεία, καθώς και κυβερνοαπειλές που θα μπορούσαν να επηρεάσουν το προφίλ κινδύνου ενός προϊόντος με ψηφιακά στοιχεία, σε εθελοντική βάση, σε ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού ή στον ENISA.

2. Οι κατασκευαστές, καθώς και άλλα φυσικά ή νομικά πρόσωπα, μπορούν να κοινοποιούν κάθε περιστατικό που έχει αντίκτυπο στην ασφάλεια του προϊόντος με ψηφιακά στοιχεία, καθώς και παρ’ ολίγον περιστατικά που θα μπορούσαν να έχουν οδηγήσει σε τέτοιο περιστατικό, σε εθελοντική βάση, σε ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού ή στον ENISA.

3. Η ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού ή ο ENISA επεξεργάζεται τις κοινοποιήσεις που αναφέρονται στις παραγράφους 1 και 2 του παρόντος άρθρου σύμφωνα με τη διαδικασία του άρθρου 16.

Η ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού μπορεί να δίνει προτεραιότητα στην επεξεργασία των υποχρεωτικών κοινοποιήσεων έναντι των εθελοντικών κοινοποιήσεων.

4. Όταν ένα φυσικό ή νομικό πρόσωπο άλλο από τον κατασκευαστή κοινοποιεί ευπάθεια που αποτελεί αντικείμενο ενεργού εκμετάλλευσης ή σοβαρό περιστατικό που έχει αντίκτυπο στην ασφάλεια προϊόντος με ψηφιακά στοιχεία σύμφωνα με την παράγραφο 1 ή 2, η ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον κατασκευαστή.

5. Οι ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού, καθώς και ο ENISA διασφαλίζουν την εμπιστευτικότητα και την κατάλληλη προστασία των πληροφοριών που παρέχει το κοινοποιούν φυσικό ή νομικό πρόσωπο. Με την επιφύλαξη της πρόληψης, της διερεύνησης, της διακρίβωσης και της δίωξης ποινικών αδικημάτων, η εθελοντική αναφορά δεν συνεπάγεται την επιβολή πρόσθετων υποχρεώσεων στο κοινοποιούν φυσικό ή νομικό πρόσωπο, τις οποίες δεν θα υπείχε αν δεν είχε υποβάλει την κοινοποίηση.

Σύσταση ενιαίας πλατφόρμας αναφοράς

1. Για τους σκοπούς των κοινοποιήσεων που αναφέρονται στο άρθρο 14 παράγραφοι 1 και 3 και στο άρθρο 15 παράγραφοι 1 και 2 και προκειμένου να απλουστευθούν οι υποχρεώσεις αναφοράς των κατασκευαστών, ο ENISA δημιουργεί ενιαία πλατφόρμα αναφοράς. Ο ENISA διαχειρίζεται και συντηρεί τις καθημερινές λειτουργίες της εν λόγω ενιαίας πλατφόρμας αναφοράς. Η αρχιτεκτονική της ενιαίας πλατφόρμας αναφοράς επιτρέπει στα κράτη μέλη και στον ENISA να δημιουργήσουν τα δικά τους τελικά σημεία ηλεκτρονικής κοινοποίησης.

2. Μετά τη λήψη κοινοποίησης, η ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού και η οποία λαμβάνει πρώτη την κοινοποίηση διαδίδει, χωρίς καθυστέρηση, την κοινοποίηση μέσω της ενιαίας πλατφόρμας αναφοράς στις ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού στην επικράτεια στην οποία ο κατασκευαστής έχει δηλώσει ότι έχει καταστεί διαθέσιμο το προϊόν με ψηφιακά στοιχεία.

Σε εξαιρετικές περιστάσεις και, ιδίως, κατόπιν αιτήματος του κατασκευαστή και υπό το πρίσμα του επιπέδου ευαισθησίας των κοινοποιημένων πληροφοριών, όπως αυτό δηλώνεται από τον κατασκευαστή σύμφωνα με το άρθρο 14 παράγραφος 2 στοιχείο α) του παρόντος κανονισμού, η διάδοση της κοινοποίησης μπορεί να καθυστερήσει για αιτιολογημένους λόγους που σχετίζονται με την κυβερνοασφάλεια για χρονικό διάστημα κατά το οποίο αυτό είναι απολύτως αναγκαίο, μεταξύ άλλων όταν μια ευπάθεια υπόκειται σε διαδικασία συντονισμένης γνωστοποίησης ευπαθειών, όπως αναφέρεται στο άρθρο 12 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555. Όταν μια ΟΑΠΑΥ αποφασίζει να μην προβεί σε κοινοποίηση, ενημερώνει αμέσως τον ENISA σχετικά με την απόφαση αυτή και παρέχει αιτιολόγηση για την άρνηση της κοινοποίησης, καθώς και ένδειξη σχετικά με το πότε θα διαδώσει την κοινοποίηση σύμφωνα με τη διαδικασία διάδοσης που ορίζεται στην παρούσα παράγραφο. Ο ENISA μπορεί να παρέχει στήριξη στην ΟΑΠΑΥ ως προς την επίκληση λόγων κυβερνοασφάλειας σε σχέση με την καθυστέρηση της διάδοσης της κοινοποίησης.

Σε ιδιαίτερα εξαιρετικές περιστάσεις, όταν ο κατασκευαστής αναφέρει στην κοινοποίηση που αναφέρεται στο άρθρο 14 παράγραφος 2 στοιχείο β):

μόνο οι πληροφορίες ότι πραγματοποιήθηκε κοινοποίηση από τον κατασκευαστή, οι γενικές πληροφορίες σχετικά με το προϊόν, οι πληροφορίες σχετικά με τον γενικό χαρακτήρα της εκμετάλλευσης και η πληροφορία ότι έχουν προβληθεί λόγοι ασφαλείας, πρέπει να τίθενται ταυτόχρονα στη διάθεση του ENISA μέχρι να διαδοθεί η πλήρης κοινοποίηση στις οικείες ΟΑΠΑΥ και στον ENISA. Όταν, βάσει των εν λόγω πληροφοριών, ο ENISA θεωρεί ότι υπάρχει συστημικός κίνδυνος που επηρεάζει την ασφάλεια της εσωτερικής αγοράς, συνιστά στην αποδέκτρια ΟΑΠΑΥ να διαδώσει την πλήρη κοινοποίηση στις άλλες ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού, καθώς και στον ίδιο τον ENISA.

3. Αφότου λάβουν κοινοποίηση ευπάθειας που αποτελεί αντικείμενο ενεργού εκμετάλλευσης σε προϊόν με ψηφιακά στοιχεία ή σοβαρού περιστατικού που έχει αντίκτυπο στην ασφάλεια προϊόντος με ψηφιακά στοιχεία, οι ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού παρέχουν στις αρχές εποπτείας της αγοράς των αντίστοιχων κρατών μελών τους τις κοινοποιηθείσες πληροφορίες που είναι απαραίτητες προκειμένου οι αρχές εποπτείας της αγοράς να εκπληρώσουν τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού.

4. Ο ENISA λαμβάνει κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων που απειλούν την ασφάλεια της ενιαίας πλατφόρμας αναφοράς και των πληροφοριών που υποβάλλονται ή διαδίδονται μέσω της ενιαίας πλατφόρμας αναφοράς. Κοινοποιεί χωρίς αδικαιολόγητη καθυστέρηση κάθε περιστατικό ασφαλείας που επηρεάζει την ενιαία πλατφόρμα αναφοράς στο δίκτυο ΟΑΠΑΥ, καθώς και στην Επιτροπή.

5. Ο ENISA, σε συνεργασία με το δίκτυο ΟΑΠΑΥ, παρέχει και εφαρμόζει προδιαγραφές σχετικά με τα τεχνικά, επιχειρησιακά και οργανωτικά μέτρα όσον αφορά τη δημιουργία, τη συντήρηση και την ασφαλή λειτουργία της ενιαίας πλατφόρμας αναφοράς που αναφέρεται στην παράγραφο 1, συμπεριλαμβανομένων τουλάχιστον των ρυθμίσεων ασφάλειας που σχετίζονται με τη δημιουργία, τη λειτουργία και τη συντήρηση της ενιαίας πλατφόρμας αναφοράς, καθώς και των τελικών σημείων ηλεκτρονικής κοινοποίησης που καθορίζονται από τις ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού σε εθνικό επίπεδο και τον ENISA σε επίπεδο Ένωσης, συμπεριλαμβανομένων διαδικαστικών πτυχών ώστε να διασφαλίζεται ότι, όταν δεν διατίθενται διορθωτικά μέτρα ή μέτρα μετριασμού για μια κοινοποιηθείσα ευπάθεια, οι πληροφορίες σχετικά με την εν λόγω ευπάθεια ανταλλάσσονται σύμφωνα με αυστηρά πρωτόκολλα ασφαλείας και με βάση την ανάγκη γνώσης.

6. Όταν μια ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού έχει ενημερωθεί για μια ευπάθεια που αποτελεί αντικείμενο ενεργού εκμετάλλευσης στο πλαίσιο διαδικασίας συντονισμένης γνωστοποίησης ευπαθειών, όπως αναφέρεται στο άρθρο 12 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555, η ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού και η οποία λαμβάνει πρώτη την κοινοποίηση, μπορεί να καθυστερήσει τη διάδοση της σχετικής κοινοποίησης μέσω της ενιαίας πλατφόρμας αναφοράς για αιτιολογημένους λόγους που σχετίζονται με την κυβερνοασφάλεια για χρονικό διάστημα που δεν υπερβαίνει το απολύτως αναγκαίο και έως ότου δοθεί η συγκατάθεση για γνωστοποίηση από τα μέρη που εμπλέκονται στη συντονισμένη γνωστοποίηση ευπαθειών. Η απαίτηση αυτή δεν εμποδίζει τους κατασκευαστές να κοινοποιούν τις εν λόγω ευπάθειες σε εθελοντική βάση σύμφωνα με τη διαδικασία του παρόντος άρθρου.

Άλλες διατάξεις σε σχέση με την αναφορά

1. Ο ENISA υποβάλλει στο ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για τις κυβερνοκρίσεις (EU-CyCLONe) που συγκροτείται δυνάμει του άρθρου 16 της οδηγίας (ΕΕ) 2022/2555 πληροφορίες που κοινοποιούνται σύμφωνα με το άρθρο 14 παράγραφοι 1 και 3 και το άρθρο 15 παράγραφοι 1 και 2 του παρόντος κανονισμού, εάν οι πληροφορίες αυτές είναι σημαντικές για τη συντονισμένη διαχείριση μεγάλης κλίμακας περιστατικών και κρίσεων κυβερνοασφάλειας σε επιχειρησιακό επίπεδο. Για να προσδιοριστεί κατά πόσον είναι σημαντικές οι πληροφορίες αυτές, ο ENISA μπορεί να εξετάζει τεχνικές αναλύσεις που διενεργούνται από το δίκτυο ΟΑΠΑΥ, εφόσον είναι διαθέσιμες.

2. Όταν η ευαισθητοποίηση του κοινού είναι αναγκαία για την πρόληψη ή τον μετριασμό σοβαρού περιστατικού που έχει αντίκτυπο στην ασφάλεια του προϊόντος με ψηφιακά στοιχεία ή για τον χειρισμό εν εξελίξει περιστατικού, ή όταν η γνωστοποίηση του περιστατικού εξυπηρετεί με άλλον τρόπο το δημόσιο συμφέρον, η ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού στο οικείο κράτος μέλος μπορεί, κατόπιν διαβούλευσης με τον οικείο κατασκευαστή και, κατά περίπτωση, σε συνεργασία με τον ENISA, να ενημερώσει το κοινό σχετικά με το περιστατικό ή να απαιτήσει από τον κατασκευαστή να το πράξει.

3. Ο ENISA, με βάση τις κοινοποιήσεις που λαμβάνει σύμφωνα με το άρθρο 14 παράγραφοι 1 και 3 και το άρθρο 15 παράγραφοι 1 και 2 του παρόντος κανονισμού, καταρτίζει, κάθε 24 μήνες, τεχνική έκθεση σχετικά με τις αναδυόμενες τάσεις όσον αφορά τους κινδύνους για την κυβερνοασφάλεια σε προϊόντα με ψηφιακά στοιχεία και την υποβάλλει στην ομάδα συνεργασίας που συγκροτείται δυνάμει του άρθρου 14 της οδηγίας (ΕΕ) 2022/2555. Η πρώτη τέτοια έκθεση υποβάλλεται εντός 24 μηνών από την ημερομηνία εφαρμογής των υποχρεώσεων που ορίζονται στο άρθρο 14 παράγραφοι 1 και 3 του παρόντος κανονισμού. Ο ENISA περιλαμβάνει σχετικές πληροφορίες από τις τεχνικές εκθέσεις του στην έκθεσή του σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.

4. Η κοινοποίηση σύμφωνα με το άρθρο 14 παράγραφοι 1 και 3 ή το άρθρο 15 παράγραφοι 1 και 2 δεν συνεπάγεται από μόνη της αυξημένη ευθύνη του κοινοποιούντος φυσικού ή νομικού προσώπου.

5. Μόλις διατεθεί ενημέρωση ασφαλείας ή άλλης μορφής διορθωτικό μέτρο ή μέτρο μετριασμού, ο ENISA, σε συμφωνία με τον κατασκευαστή του οικείου προϊόντος με ψηφιακά στοιχεία, προσθέτει τη δημοσίως γνωστή ευπάθεια που κοινοποιείται σύμφωνα με το άρθρο 14 παράγραφος 1 ή το άρθρο 15 παράγραφος 1 του παρόντος κανονισμού στην ευρωπαϊκή βάση δεδομένων ευπαθειών που δημιουργείται σύμφωνα με το άρθρο 12 παράγραφος 2 της οδηγίας (ΕΕ) 2022/2555.

6. Οι ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού παρέχουν τεχνική υποστήριξη σε σχέση με τις υποχρεώσεις αναφοράς σύμφωνα με το άρθρο 14 στους κατασκευαστές και ιδίως στους κατασκευαστές που χαρακτηρίζονται ως πολύ μικρές ή μικρές ή μεσαίες επιχειρήσεις.

Εξουσιοδοτημένοι αντιπρόσωποι

1. Ο κατασκευαστής μπορεί να διορίζει, με γραπτή εντολή, εξουσιοδοτημένο αντιπρόσωπο.

2. Οι υποχρεώσεις που ορίζονται στο άρθρο 13 παράγραφοι 1 έως 11, στο άρθρο 13 παράγραφος 12 πρώτο εδάφιο και στο άρθρο 13 παράγραφος 14 δεν αποτελούν μέρος της εντολής του εξουσιοδοτημένου αντιπροσώπου.

3. Ο εξουσιοδοτημένος αντιπρόσωπος ασκεί τα καθήκοντα που προσδιορίζονται στην εντολή την οποία λαμβάνει από τον κατασκευαστή. Ο εξουσιοδοτημένος αντιπρόσωπος παρέχει αντίγραφο της εντολής στις αρχές εποπτείας της αγοράς κατόπιν αιτήματος. Η εντολή επιτρέπει στον εξουσιοδοτημένο αντιπρόσωπο τουλάχιστον τα ακόλουθα:

Υποχρεώσεις των εισαγωγέων

1. Οι εισαγωγείς θέτουν σε κυκλοφορία στην αγορά μόνο προϊόντα με ψηφιακά στοιχεία που συμμορφώνονται προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I μέρος I, και εφόσον οι διαδικασίες που εφαρμόζει ο κατασκευαστής συμμορφώνονται προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I μέρος II.

2. Προτού θέσουν σε κυκλοφορία στην αγορά προϊόν με ψηφιακά στοιχεία, οι εισαγωγείς διασφαλίζουν τα εξής:

Για τους σκοπούς της παρούσας παραγράφου, οι εισαγωγείς πρέπει να είναι σε θέση να προσκομίσουν τα αναγκαία έγγραφα που αποδεικνύουν την εκπλήρωση των απαιτήσεων που ορίζονται στο παρόν άρθρο.

3. Όταν ένας εισαγωγέας θεωρεί ή έχει λόγους να πιστεύει ότι ένα προϊόν με ψηφιακά στοιχεία ή οι διαδικασίες που εφαρμόζει ο κατασκευαστής δεν συμμορφώνονται με τον παρόντα κανονισμό, ο εισαγωγέας δεν θέτει το προϊόν σε κυκλοφορία στην αγορά έως ότου το εν λόγω προϊόν ή οι διαδικασίες που εφαρμόζει ο κατασκευαστής συμμορφωθούν με τον παρόντα κανονισμό. Επιπλέον, όταν το προϊόν με ψηφιακά στοιχεία παρουσιάζει σημαντικό κίνδυνο για την κυβερνοασφάλεια, ο εισαγωγέας ενημερώνει σχετικά τον κατασκευαστή και τις αρχές εποπτείας της αγοράς.

Όταν ένας εισαγωγέας θεωρεί ή έχει λόγους να πιστεύει ότι ένα προϊόν με ψηφιακά στοιχεία μπορεί να παρουσιάζει σημαντικό κίνδυνο κυβερνοασφάλειας λόγω μη τεχνικών παραγόντων κινδύνου, ο εισαγωγέας ενημερώνει σχετικά τις αρχές εποπτείας της αγοράς. Μόλις λάβουν τις εν λόγω πληροφορίες, οι αρχές εποπτείας της αγοράς ακολουθούν τις διαδικασίες που αναφέρονται στο άρθρο 54 παράγραφος 2.

4. Οι εισαγωγείς αναγράφουν το όνομα, την καταχωρισμένη εμπορική επωνυμία ή το καταχωρισμένο εμπορικό σήμα, την ταχυδρομική διεύθυνση, τη διεύθυνση ηλεκτρονικού ταχυδρομείου ή άλλα ψηφιακά στοιχεία επικοινωνίας τους, καθώς και, κατά περίπτωση, τον ιστότοπο μέσω του οποίου μπορεί κανείς να επικοινωνήσει μαζί τους, στο προϊόν με ψηφιακά στοιχεία ή στη συσκευασία του ή σε έγγραφο που συνοδεύει το προϊόν με ψηφιακά στοιχεία. Τα στοιχεία επικοινωνίας παρέχονται σε γλώσσα εύκολα κατανοητή από τους χρήστες και τις αρχές εποπτείας της αγοράς.

5. Οι εισαγωγείς που γνωρίζουν ή έχουν λόγο να πιστεύουν ότι προϊόν με ψηφιακά στοιχεία που έχουν θέσει σε κυκλοφορία στην αγορά δεν συμμορφούται προς τον παρόντα κανονισμό λαμβάνουν αμέσως τα αναγκαία διορθωτικά μέτρα για να εξασφαλίσουν τη συμμόρφωση του προϊόντος με τον παρόντα κανονισμό, ή για να αποσύρουν ή να ανακαλέσουν το προϊόν, κατά περίπτωση.

Αμέσως μόλις αντιληφθούν την ύπαρξη ευπάθειας στο προϊόν με ψηφιακά στοιχεία, οι εισαγωγείς ενημερώνουν τον κατασκευαστή χωρίς αδικαιολόγητη καθυστέρηση σχετικά με την εν λόγω ευπάθεια. Πέραν τούτου, όταν το προϊόν με ψηφιακά στοιχεία ενέχει σημαντικό κίνδυνο για την κυβερνοασφάλεια, οι εισαγωγείς ενημερώνουν αμέσως σχετικά με το θέμα αυτό τις αρχές εποπτείας της αγοράς των κρατών μελών στην αγορά των οποίων κατέστησαν διαθέσιμο το προϊόν με ψηφιακά στοιχεία, και παραθέτουν λεπτομέρειες, συγκεκριμένα, για τη μη συμμόρφωση και τα τυχόν διορθωτικά μέτρα που έλαβαν.

6. Οι εισαγωγείς τηρούν τουλάχιστον επί δέκα έτη αφότου το προϊόν με ψηφιακά στοιχεία τεθεί σε κυκλοφορία στην αγορά ή για την περίοδο υποστήριξης, ανάλογα με το ποιο διάστημα είναι μεγαλύτερο, αντίγραφο της δήλωσης συμμόρφωσης ΕΕ στη διάθεση των αρχών εποπτείας της αγοράς και εξασφαλίζουν ότι ο τεχνικός φάκελος μπορεί να τεθεί στη διάθεση των εν λόγω αρχών, κατόπιν αιτήματός τους.

7. Οι εισαγωγείς παρέχουν στην αρχή εποπτείας της αγοράς, κατόπιν αιτιολογημένου αιτήματος της εν λόγω αρχής, όλες τις πληροφορίες και την τεκμηρίωση, σε έντυπη ή σε ηλεκτρονική μορφή, που απαιτούνται για να αποδειχθεί η συμμόρφωση του προϊόντος με ψηφιακά στοιχεία προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I μέρος I, καθώς και των διαδικασιών που εφαρμόζει ο κατασκευαστής προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I μέρος II, σε γλώσσα εύκολα κατανοητή από την εν λόγω αρχή. Συνεργάζονται με την εν λόγω αρχή, κατόπιν αιτήματος της, όσον αφορά τη λήψη μέτρων για την εξάλειψη των κινδύνων κυβερνοασφάλειας τους οποίους ενέχουν τα προϊόντα με ψηφιακά στοιχεία που έχουν θέσει σε κυκλοφορία στην αγορά.

8. Όταν ο εισαγωγέας προϊόντος με ψηφιακά στοιχεία αντιληφθεί ότι ο κατασκευαστής του εν λόγω προϊόντος έπαυσε τις δραστηριότητές του και, ως εκ τούτου, δεν είναι σε θέση να συμμορφωθεί με τις υποχρεώσεις που ορίζονται στον παρόντα κανονισμό, ενημερώνει τις αρμόδιες αρχές εποπτείας της αγοράς σχετικά με την κατάσταση αυτή, καθώς και τους χρήστες των προϊόντων με ψηφιακά στοιχεία που έχουν τεθεί σε κυκλοφορία στην αγορά, με κάθε διαθέσιμο μέσο και στο μέτρο του δυνατού.

Υποχρεώσεις των διανομέων

1. Όταν οι διανομείς καθιστούν ένα προϊόν με ψηφιακά στοιχεία διαθέσιμο στην αγορά, ενεργούν με τη δέουσα προσοχή σε σχέση με τις απαιτήσεις που ορίζονται στον παρόντα κανονισμό.

2. Προτού καταστήσουν διαθέσιμο ένα προϊόν με ψηφιακά στοιχεία στην αγορά, οι διανομείς επαληθεύουν ότι:

3. Όταν ο διανομέας θεωρεί ή έχει λόγους να πιστεύει, με βάση πληροφορίες που διαθέτει, ότι ένα προϊόν με ψηφιακά στοιχεία ή οι διαδικασίες που εφαρμόζει ο κατασκευαστής δεν συμμορφώνονται με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που καθορίζονται στο παράρτημα I, ο διανομέας δεν διαθέτει στην αγορά το προϊόν με ψηφιακά στοιχεία έως ότου εξασφαλιστεί η συμμόρφωση του εν λόγω προϊόντος ή των διαδικασιών που εφαρμόζει ο κατασκευαστής με τον παρόντα κανονισμό. Επίσης, όταν το προϊόν με ψηφιακά στοιχεία ενέχει σημαντικό κίνδυνο για την κυβερνοασφάλεια, ο διανομέας ενημερώνει σχετικά τον κατασκευαστή καθώς και τις αρχές εποπτείας της αγοράς, χωρίς αδικαιολόγητη καθυστέρηση.

4. Οι διανομείς που γνωρίζουν ή έχουν λόγο να πιστεύουν, με βάση τις πληροφορίες που διαθέτουν, ότι ένα προϊόν με ψηφιακά στοιχεία το οποίο έχουν διαθέσει στην αγορά ή οι διαδικασίες που εφαρμόζει ο κατασκευαστής του δεν συμμορφώνονται με τον παρόντα κανονισμό, διασφαλίζουν ότι λαμβάνονται τα αναγκαία διορθωτικά μέτρα για να εξασφαλίσουν τη συμμόρφωση του εν λόγω προϊόντος με ψηφιακά στοιχεία ή των διαδικασιών που εφαρμόζει ο κατασκευαστής του, ή να αποσύρουν ή να ανακαλέσουν το προϊόν, κατά περίπτωση.

Αμέσως μόλις αντιληφθούν την ύπαρξη ευπάθειας στο προϊόν με ψηφιακά στοιχεία, οι διανομείς ενημερώνουν τον κατασκευαστή χωρίς αδικαιολόγητη καθυστέρηση σχετικά με την εν λόγω ευπάθεια. Πέραν τούτου, όταν το προϊόν με ψηφιακά στοιχεία ενέχει σημαντικό κίνδυνο για την κυβερνοασφάλεια, οι διανομείς ενημερώνουν αμέσως σχετικά με το θέμα αυτό τις αρχές εποπτείας της αγοράς των κρατών μελών στην αγορά των οποίων κατέστησαν διαθέσιμο το προϊόν με ψηφιακά στοιχεία, και παραθέτουν λεπτομέρειες, συγκεκριμένα, για τη μη συμμόρφωση και τα τυχόν διορθωτικά μέτρα που έλαβαν.

5. Οι διανομείς παρέχουν στην αρχή εποπτείας της αγοράς, κατόπιν αιτιολογημένου αιτήματος της εν λόγω αρχής, όλες τις πληροφορίες και την τεκμηρίωση, σε έντυπη ή σε ηλεκτρονική μορφή, που απαιτούνται για να αποδειχθεί η συμμόρφωση του προϊόντος με ψηφιακά στοιχεία, καθώς και των διαδικασιών που εφαρμόζει ο κατασκευαστής του με τον παρόντα κανονισμό, σε γλώσσα εύκολα κατανοητή από την εν λόγω αρχή. Συνεργάζονται με την εν λόγω αρχή, κατόπιν αιτήματος της, όσον αφορά τη λήψη μέτρων για την εξάλειψη των κινδύνων κυβερνοασφάλειας τους οποίους ενέχουν τα προϊόντα με ψηφιακά στοιχεία που έχουν καταστεί διαθέσιμα στην αγορά.

6. Όταν ο διανομέας προϊόντος με ψηφιακά στοιχεία αντιληφθεί, με βάση τις πληροφορίες που διαθέτει, ότι ο κατασκευαστής του εν λόγω προϊόντος έπαυσε τις δραστηριότητές του και, ως εκ τούτου, δεν είναι σε θέση να συμμορφωθεί με τις υποχρεώσεις που ορίζονται στον παρόντα κανονισμό, ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση, τις αρμόδιες αρχές εποπτείας της αγοράς σχετικά με την κατάσταση αυτή, καθώς και τους χρήστες των προϊόντων με ψηφιακά στοιχεία που έχουν τεθεί σε κυκλοφορία στην αγορά, με κάθε διαθέσιμο μέσο και στο μέτρο του δυνατού.

Περιπτώσεις στις οποίες οι υποχρεώσεις των κατασκευαστών εφαρμόζονται στους εισαγωγείς και τους διανομείς

Ένας εισαγωγέας ή διανομέας θεωρείται κατασκευαστής για τους σκοπούς του παρόντος κανονισμού και υπόκειται στα άρθρα 13 και 14 όταν ο εν λόγω εισαγωγέας ή διανομέας διαθέτει στην αγορά προϊόν με ψηφιακά στοιχεία υπό τη δική του επωνυμία ή το δικό του εμπορικό σήμα ή όταν τροποποιεί ουσιωδώς προϊόν με ψηφιακά στοιχεία που έχει ήδη τεθεί σε κυκλοφορία στην αγορά.

Άλλες περιπτώσεις στις οποίες εφαρμόζονται οι υποχρεώσεις των κατασκευαστών

1. Φυσικό ή νομικό πρόσωπο, πέραν του κατασκευαστή, του εισαγωγέα ή του διανομέα, που πραγματοποιεί ουσιαστική τροποποίηση προϊόντος με ψηφιακά στοιχεία και διαθέτει το εν λόγω προϊόν στην αγορά, θεωρείται κατασκευαστής για τους σκοπούς του παρόντος κανονισμού.

2. Το πρόσωπο που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου υπόκειται στις υποχρεώσεις που ορίζονται στα άρθρα 13 και 14, για το μέρος του προϊόντος με ψηφιακά στοιχεία που επηρεάζεται από την ουσιαστική τροποποίηση ή, εάν η ουσιαστική τροποποίηση έχει αντίκτυπο στην κυβερνοασφάλεια του προϊόντος με ψηφιακά στοιχεία στο σύνολό του, για ολόκληρο το προϊόν.

Ταυτοποίηση των οικονομικών φορέων

1. Οι οικονομικοί φορείς παρέχουν, κατόπιν αιτήματος, στις αρχές εποπτείας της αγοράς τις ακόλουθες πληροφορίες:

2. Οι οικονομικοί φορείς είναι σε θέση να παρέχουν τις πληροφορίες που αναφέρονται στην παράγραφο 1 επί 10 έτη αφότου έχουν προμηθευτεί το προϊόν με ψηφιακά στοιχεία και επί 10 έτη αφότου έχουν προμηθεύσει το προϊόν με ψηφιακά στοιχεία.

Υποχρεώσεις υποστηρικτών ελεύθερου λογισμικού ανοικτού κώδικα

1. Οι υποστηρικτές λογισμικού ανοικτού κώδικα θεσπίζουν και τεκμηριώνουν με επαληθεύσιμο τρόπο μια πολιτική κυβερνοασφάλειας προκειμένου να προωθήσουν την ανάπτυξη ενός ασφαλούς προϊόντος με ψηφιακά στοιχεία, καθώς και τον αποτελεσματικό χειρισμό των ευπαθειών από τους φορείς ανάπτυξης του εν λόγω προϊόντος. Η εν λόγω πολιτική προωθεί επίσης την εθελοντική αναφορά ευπαθειών, όπως ορίζεται στο άρθρο 15, από τους φορείς ανάπτυξης του εν λόγω προϊόντος και λαμβάνει υπόψη την ειδική φύση του υποστηρικτή λογισμικού ανοικτού κώδικα και τις νομικές και οργανωτικές ρυθμίσεις στις οποίες αυτός υπόκειται. Η εν λόγω πολιτική περιλαμβάνει, ειδικότερα, πτυχές που σχετίζονται με την τεκμηρίωση, την αντιμετώπιση και τη διόρθωση ευπαθειών και προωθεί την ανταλλαγή πληροφοριών εντός της κοινότητας ανοικτού κώδικα σχετικά με τις ευπάθειες που ανακαλύπτονται.

2. Οι υποστηρικτές λογισμικού ανοικτού κώδικα συνεργάζονται με τις αρχές εποπτείας της αγοράς, κατόπιν αιτήματός τους, με σκοπό τον μετριασμό των κινδύνων κυβερνοασφάλειας που ενέχει ένα προϊόν με ψηφιακά στοιχεία που χαρακτηρίζεται ως ελεύθερο λογισμικό ανοικτού κώδικα.

Κατόπιν αιτιολογημένου αιτήματος αρχής εποπτείας της αγοράς, οι υποστηρικτές λογισμικού ανοικτού κώδικα παρέχουν στην εν λόγω αρχή, σε γλώσσα εύκολα κατανοητή από την εν λόγω αρχή, την τεκμηρίωση που αναφέρεται στην παράγραφο 1, σε έντυπη ή ηλεκτρονική μορφή.

3. Οι υποχρεώσεις που ορίζονται στο άρθρο 14 παράγραφος 1 ισχύουν για τους υποστηρικτές λογισμικού ανοικτού κώδικα στον βαθμό που συμμετέχουν στην ανάπτυξη των προϊόντων με ψηφιακά στοιχεία. Οι υποχρεώσεις που ορίζονται στο άρθρο 14 παράγραφοι 3 και 8 ισχύουν για τους υποστηρικτές λογισμικού ανοικτού κώδικα στον βαθμό που σοβαρά περιστατικά που έχουν αντίκτυπο στην ασφάλεια προϊόντων με ψηφιακά στοιχεία επηρεάζουν τα συστήματα δικτύου και πληροφοριών που παρέχονται από τους υποστηρικτές λογισμικού ανοικτού κώδικα για την ανάπτυξη των εν λόγω προϊόντων.

Πιστοποίηση ασφάλειας για ελεύθερο λογισμικό ανοικτού κώδικα

Προκειμένου να διευκολυνθεί η εκπλήρωση της υποχρέωσης δέουσας επιμέλειας που ορίζεται στο άρθρο 13 παράγραφος 5, ιδίως όσον αφορά τους κατασκευαστές που ενσωματώνουν δομοστοιχεία ελεύθερου λογισμικού ανοικτού κώδικα στα προϊόντα τους με ψηφιακά στοιχεία, ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61 για τη συμπλήρωση του παρόντος κανονισμού με τη θέσπιση εθελοντικών προγραμμάτων πιστοποίησης ασφάλειας που επιτρέπουν στους φορείς ανάπτυξης ή τους χρήστες προϊόντων με ψηφιακά στοιχεία που χαρακτηρίζονται ως ελεύθερο λογισμικό ανοικτού κώδικα, καθώς και σε άλλα τρίτα μέρη, να αξιολογούν τη συμμόρφωση των εν λόγω προϊόντων με όλες ή ορισμένες από τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας ή άλλες υποχρεώσεις που ορίζονται στον παρόντα κανονισμό.

Καθοδήγηση

1. Προκειμένου να διευκολυνθεί η εφαρμογή και να διασφαλιστεί η συνέπεια της εν λόγω εφαρμογής, η Επιτροπή δημοσιεύει καθοδήγηση για να βοηθήσει τους οικονομικούς φορείς στην εφαρμογή του παρόντος κανονισμού, με ιδιαίτερη έμφαση στη διευκόλυνση της συμμόρφωσης των πολύ μικρών και των μικρών και μεσαίων επιχειρήσεων.

2. Όταν προτίθεται να παράσχει καθοδήγηση όπως αναφέρεται στην παράγραφο 1, η Επιτροπή εξετάζει τουλάχιστον τις ακόλουθες πτυχές:

Η Επιτροπή τηρεί επίσης εύκολα προσβάσιμο κατάλογο των κατ’ εξουσιοδότηση και εκτελεστικών πράξεων που εκδίδονται δυνάμει του παρόντος κανονισμού.

3. Κατά την κατάρτιση της καθοδήγησης σύμφωνα με το παρόν άρθρο, η Επιτροπή διαβουλεύεται με σχετικά ενδιαφερόμενα μέρη.

Τεκμήριο συμμόρφωσης

1. Τα προϊόντα με ψηφιακά στοιχεία και οι διαδικασίες που εφαρμόζει ο κατασκευαστής που συμμορφώνονται με εναρμονισμένα πρότυπα ή μέρη τους, τα στοιχεία αναφοράς των οποίων έχουν δημοσιευθεί στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τεκμαίρεται ότι συμμορφώνονται προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I και τις οποίες αφορούν τα εν λόγω πρότυπα ή τα μέρη αυτών.

Η Επιτροπή, σύμφωνα με το άρθρο 10 παράγραφος 1 του κανονισμού (ΕΕ) αριθ. 1025/2012, ζητά από έναν ή περισσότερους ευρωπαϊκούς οργανισμούς τυποποίησης να καταρτίσουν εναρμονισμένα πρότυπα για τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I του παρόντος κανονισμού. Κατά την προετοιμασία των αιτημάτων τυποποίησης για τον παρόντα κανονισμό, η Επιτροπή προσπαθεί να λάβει υπόψη τα υφιστάμενα ευρωπαϊκά και διεθνή πρότυπα κυβερνοασφάλειας που ισχύουν ήδη ή βρίσκονται υπό ανάπτυξη, προκειμένου να απλουστευθεί η ανάπτυξη εναρμονισμένων προτύπων, σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 1025/2012.

2. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις με σκοπό τη θέσπιση κοινών προδιαγραφών που καλύπτουν τεχνικές απαιτήσεις οι οποίες παρέχουν μέσο συμμόρφωσης με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I για προϊόντα με ψηφιακά στοιχεία που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται μόνον όταν πληρούνται οι ακόλουθες προϋποθέσεις:

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 62 παράγραφος 2.

3. Πριν από την κατάρτιση του σχεδίου εκτελεστικής πράξης που αναφέρεται στην παράγραφο 2 του παρόντος άρθρου, η Επιτροπή ενημερώνει την επιτροπή του άρθρου 22 του κανονισμού (ΕΕ) αριθ. 1025/2012 ότι θεωρεί ότι έχουν εκπληρωθεί οι προϋποθέσεις της παραγράφου 2 του παρόντος άρθρου.

4. Κατά την κατάρτιση του σχεδίου εκτελεστικής πράξης που αναφέρεται στην παράγραφο 2, η Επιτροπή λαμβάνει υπόψη τις απόψεις των σχετικών οργανισμών και διαβουλεύεται δεόντως με όλα τα σχετικά ενδιαφερόμενα μέρη.

5. Τα προϊόντα με ψηφιακά στοιχεία και οι διαδικασίες που εφαρμόζει ο κατασκευαστής που συμμορφώνονται με τις κοινές προδιαγραφές που θεσπίζονται με τις εκτελεστικές πράξεις που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου, ή με μέρη αυτών, τεκμαίρεται ότι συμμορφώνονται προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας του παραρτήματος I που καλύπτονται από τις εν λόγω κοινές προδιαγραφές ή από μέρη αυτών.

6. Όταν ένα εναρμονισμένο πρότυπο εκδίδεται από ευρωπαϊκό οργανισμό τυποποίησης και προτείνεται στην Επιτροπή με σκοπό τη δημοσίευση των στοιχείων αναφοράς του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης, η Επιτροπή αξιολογεί το εναρμονισμένο πρότυπο σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 1025/2012. Όταν τα στοιχεία αναφοράς εναρμονισμένου προτύπου δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης, η Επιτροπή καταργεί τις εκτελεστικές πράξεις που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου ή μέρη αυτών που καλύπτουν τις ίδιες ουσιώδεις απαιτήσεις κυβερνοασφάλειας με εκείνες που καλύπτονται από το εν λόγω εναρμονισμένο πρότυπο.

7. Όταν ένα κράτος μέλος θεωρεί ότι μια κοινή προδιαγραφή δεν πληροί πλήρως τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I, ενημερώνει σχετικά την Επιτροπή υποβάλλοντας λεπτομερή εξήγηση. Η Επιτροπή αξιολογεί την εν λόγω λεπτομερή εξήγηση και μπορεί, κατά περίπτωση, να τροποποιήσει την εκτελεστική πράξη με την οποία θεσπίζεται η εν λόγω κοινή προδιαγραφή.

8. Τα προϊόντα με ψηφιακά στοιχεία και οι διαδικασίες που εφαρμόζει ο κατασκευαστής για τα οποία έχει εκδοθεί δήλωση συμμόρφωσης ΕΕ ή πιστοποιητικό στο πλαίσιο ευρωπαϊκού καθεστώτος πιστοποίησης της κυβερνοασφάλειας που έχει εγκριθεί δυνάμει του κανονισμού (ΕΕ) 2019/881 τεκμαίρεται ότι συμμορφώνονται με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I, εφόσον η δήλωση συμμόρφωσης ΕΕ ή το ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας, ή μέρη αυτών, καλύπτουν τις εν λόγω απαιτήσεις.

9. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61 του παρόντος κανονισμού για τη συμπλήρωση του παρόντος κανονισμού με τον προσδιορισμό των ευρωπαϊκών καθεστώτων πιστοποίησης της κυβερνοασφάλειας που θεσπίζονται σύμφωνα με τον κανονισμό (ΕΕ) 2019/881 και τα οποία μπορούν να χρησιμοποιηθούν για την απόδειξη της συμμόρφωσης των προϊόντων με ψηφιακά στοιχεία προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας ή μέρη αυτών, όπως ορίζεται στο παράρτημα I του παρόντος κανονισμού. Επιπλέον, με την έκδοση ευρωπαϊκού πιστοποιητικού κυβερνοασφάλειας που εκδίδεται στο πλαίσιο των εν λόγω καθεστώτων, τουλάχιστον σε «σημαντικό» επίπεδο διασφάλισης, αίρεται η υποχρέωση του κατασκευαστή να διενεργεί αξιολόγηση της συμμόρφωσης από τρίτους για τις αντίστοιχες απαιτήσεις, όπως ορίζεται στο άρθρο 32 παράγραφος 2 στοιχεία α) και β), και στο άρθρο 32 παράγραφος 3 στοιχεία α) και β) του παρόντος κανονισμού.

Δήλωση συμμόρφωσης ΕΕ

1. Η δήλωση συμμόρφωσης ΕΕ καταρτίζεται από τους κατασκευαστές σύμφωνα με το άρθρο 13 παράγραφος 12 και αναφέρει ότι πληρούνται αποδεδειγμένα οι ισχύουσες ουσιώδεις απαιτήσεις κυβερνοασφάλειας του παραρτήματος I.

2. Η δήλωση συμμόρφωσης ΕΕ έχει τη δομή που ορίζει το παράρτημα V και περιλαμβάνει τα στοιχεία που καθορίζονται στις σχετικές διαδικασίες αξιολόγησης της συμμόρφωσης οι οποίες προβλέπονται στο παράρτημα VIII. Η δήλωση αυτή επικαιροποιείται κατά περίπτωση. Καθίσταται διαθέσιμη στις γλώσσες που απαιτεί το κράτος μέλος στην αγορά του οποίου τίθεται σε κυκλοφορία ή διατίθεται το προϊόν με ψηφιακά στοιχεία.

Η απλουστευμένη δήλωση συμμόρφωσης ΕΕ που αναφέρεται στο άρθρο 13 παράγραφος 20 έχει τη δομή που ορίζει το παράρτημα VI. Καθίσταται διαθέσιμη στις γλώσσες που απαιτεί το κράτος μέλος στην αγορά του οποίου τίθεται σε κυκλοφορία ή διατίθεται το προϊόν με ψηφιακά στοιχεία.

3. Όταν ένα προϊόν με ψηφιακά στοιχεία διέπεται από περισσότερες από μία νομικές πράξεις της Ένωσης βάσει των οποίων απαιτείται δήλωση συμμόρφωσης ΕΕ, καταρτίζεται ενιαία δήλωση συμμόρφωσης ΕΕ για όλες τις εν λόγω νομικές πράξεις της Ένωσης. Η δήλωση αυτή περιέχει τα στοιχεία των οικείων νομικών πράξεων της Ένωσης, συμπεριλαμβανομένων των στοιχείων δημοσίευσής τους.

4. Με την κατάρτιση της δήλωσης συμμόρφωσης ΕΕ, ο κατασκευαστής αναλαμβάνει την ευθύνη για τη συμμόρφωση του προϊόντος με ψηφιακά στοιχεία.

5. Ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61 για τη συμπλήρωση του παρόντος κανονισμού, με την προσθήκη στοιχείων στο ελάχιστο περιεχόμενο της δήλωσης συμμόρφωσης ΕΕ που παρατίθεται στο παράρτημα V, ώστε να λαμβάνονται υπόψη οι τεχνολογικές εξελίξεις.

Γενικές αρχές της σήμανσης CE

H σήμανση CE υπόκειται στις γενικές αρχές του άρθρου 30 του κανονισμού (ΕΚ) αριθ. 765/2008.

Κανόνες και όροι για την τοποθέτηση της σήμανσης CE

1. Η σήμανση CE τοποθετείται στο προϊόν με ψηφιακά στοιχεία κατά τρόπο εμφανή, ευανάγνωστο και ανεξίτηλο. Όταν αυτό δεν είναι δυνατό ή δεν δικαιολογείται λόγω της φύσης του προϊόντος με ψηφιακά στοιχεία, τοποθετείται στη συσκευασία και στη δήλωση συμμόρφωσης ΕΕ που αναφέρεται στο άρθρο 28 οι οποίες συνοδεύουν το προϊόν με ψηφιακά στοιχεία. Για προϊόντα με ψηφιακά στοιχεία τα οποία έχουν τη μορφή λογισμικού, η σήμανση CE τοποθετείται είτε στη δήλωση συμμόρφωσης ΕΕ που αναφέρεται στο άρθρο 28 είτε στον ιστότοπο που συνοδεύει το προϊόν λογισμικού. Στην τελευταία περίπτωση, το σχετικό τμήμα στον ιστότοπο είναι εύκολα και άμεσα προσβάσιμο στους καταναλωτές.

2. Λόγω της φύσης του προϊόντος με ψηφιακά στοιχεία, το ύψος της σήμανσης CE που τοποθετείται στο προϊόν μπορεί να είναι μικρότερο από 5 mm, υπό τον όρο ότι αυτή παραμένει ευδιάκριτη και ευανάγνωστη.

3. Η σήμανση CE τοποθετείται προτού το προϊόν με ψηφιακά στοιχεία διατεθεί στην αγορά. Μπορεί να συνοδεύεται από εικονόγραμμα ή άλλο σήμα που υποδεικνύει ειδικό κίνδυνο για την κυβερνοασφάλεια ή ειδική χρήση, όπως ορίζεται στις εκτελεστικές πράξεις που αναφέρονται στην παράγραφο 6.

4. Η σήμανση CE ακολουθείται από τον αριθμό μητρώου του κοινοποιημένου οργανισμού, όταν ο οργανισμός αυτός συμμετέχει στη διαδικασία αξιολόγησης της συμμόρφωσης με βάση την πλήρη διασφάλιση ποιότητας (βάσει της ενότητας Η) που αναφέρεται στο άρθρο 32.

Ο αριθμός μητρώου του κοινοποιημένου οργανισμού τοποθετείται είτε από τον ίδιο τον οργανισμό είτε, σύμφωνα με τις οδηγίες του, από τον κατασκευαστή ή τον εξουσιοδοτημένο αντιπρόσωπο του κατασκευαστή.

5. Τα κράτη μέλη βασίζονται σε υφιστάμενους μηχανισμούς για να εξασφαλίζουν την ορθή εφαρμογή του καθεστώτος που διέπει τη σήμανση CE και λαμβάνουν κατάλληλα μέτρα σε περίπτωση αθέμιτης χρήσης της εν λόγω σήμανσης. Όταν το προϊόν με ψηφιακά στοιχεία διέπεται από ενωσιακή νομοθεσία εναρμόνισης, πέραν του παρόντος κανονισμού, η οποία επίσης προβλέπει την τοποθέτηση της σήμανσης CE, η σήμανση CE δηλώνει ότι το προϊόν πληροί επίσης τις απαιτήσεις αυτής της άλλης ενωσιακής νομοθεσίας εναρμόνισης.

6. Η Επιτροπή μπορεί, με εκτελεστικές πράξεις, να καθορίζει τεχνικές προδιαγραφές για ετικέτες, εικονογράμματα ή άλλα σήματα που σχετίζονται με την ασφάλεια των προϊόντων με ψηφιακά στοιχεία, τις περιόδους υποστήριξής τους και μηχανισμούς για την προώθηση της χρήσης τους, καθώς και για την ενίσχυση της ευαισθητοποίησης του κοινού σχετικά με την ασφάλεια των προϊόντων με ψηφιακά στοιχεία. Κατά την κατάρτιση των σχεδίων εκτελεστικών πράξεων, η Επιτροπή διαβουλεύεται με τα σχετικά ενδιαφερόμενα μέρη και, εάν έχει ήδη θεσπιστεί σύμφωνα με το άρθρο 52 παράγραφος 15, με την ΕΟΔΚ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 62 παράγραφος 2.

Τεχνικός φάκελος

1. Ο τεχνικός φάκελος περιέχει όλα τα σχετικά δεδομένα ή λεπτομέρειες σχετικά με τα μέσα που χρησιμοποιεί ο κατασκευαστής για να εξασφαλίσει ότι το προϊόν με ψηφιακά στοιχεία και οι διαδικασίες που εφαρμόζει ο κατασκευαστής συμμορφώνονται με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που καθορίζονται στο παράρτημα I. Περιέχει τουλάχιστον τα στοιχεία που καθορίζονται στο παράρτημα VII.

2. Ο τεχνικός φάκελος καταρτίζεται προτού το προϊόν με ψηφιακά στοιχεία τεθεί σε κυκλοφορία στην αγορά και επικαιροποιείται συνεχώς, κατά περίπτωση, τουλάχιστον κατά τη διάρκεια της περιόδου υποστήριξης.

3. Για τα προϊόντα με ψηφιακά στοιχεία όπως αναφέρονται στο άρθρο 12, τα οποία διέπονται και από άλλες νομικές πράξεις της Ένωσης που προβλέπουν την κατάρτιση τεχνικού φακέλου, καταρτίζεται ενιαίος τεχνικός φάκελος που περιέχει τις πληροφορίες που αναφέρονται στο παράρτημα VII και τις πληροφορίες που απαιτούνται από τις εν λόγω νομικές πράξεις της Ένωσης.

4. Ο τεχνικός φάκελος και η αλληλογραφία σχετικά με τη διαδικασία αξιολόγησης της συμμόρφωσης συντάσσονται στην επίσημη γλώσσα του κράτους μέλους στο οποίο είναι εγκατεστημένος ο κοινοποιημένος οργανισμός ή σε γλώσσα αποδεκτή από τον εν λόγω οργανισμό.

5. Ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 61 για τη συμπλήρωση του παρόντος κανονισμού με την προσθήκη στοιχείων που πρέπει να περιλαμβάνονται στον τεχνικό φάκελο του παραρτήματος VII, ώστε να λαμβάνονται υπόψη οι τεχνολογικές εξελίξεις, καθώς και οι εξελίξεις που προκύπτουν κατά τη διαδικασία εφαρμογής του παρόντος κανονισμού. Για τον σκοπό αυτό, η Επιτροπή επιδιώκει να διασφαλίσει ότι ο διοικητικός φόρτος για τις πολύ μικρές και τις μικρές και μεσαίες επιχειρήσεις είναι αναλογικός.

Διαδικασίες αξιολόγησης της συμμόρφωσης για προϊόντα με ψηφιακά στοιχεία

1. Ο κατασκευαστής διενεργεί αξιολόγηση της συμμόρφωσης του προϊόντος με ψηφιακά στοιχεία και των διαδικασιών που εφαρμόζει ο κατασκευαστής για να διαπιστώσει αν πληρούνται οι ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I. Ο κατασκευαστής αποδεικνύει τη συμμόρφωση προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας εφαρμόζοντας οποιαδήποτε από τις ακόλουθες διαδικασίες:

2. Όταν, κατά την αξιολόγηση της συμμόρφωσης σημαντικού προϊόντος με ψηφιακά στοιχεία που εμπίπτει στην κλάση Ι που ορίζεται στο παράρτημα III και των διαδικασιών που εφαρμόζει ο κατασκευαστής του προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I, ο κατασκευαστής δεν έχει εφαρμόσει ή έχει εφαρμόσει μόνο εν μέρει εναρμονισμένα πρότυπα, κοινές προδιαγραφές ή ευρωπαϊκά καθεστώτα πιστοποίησης της κυβερνοασφάλειας σε επίπεδο διασφάλισης τουλάχιστον «σημαντικό», όπως αναφέρονται στο άρθρο 27, ή όταν δεν υπάρχουν τα εν λόγω εναρμονισμένα πρότυπα, κοινές προδιαγραφές ή ευρωπαϊκά καθεστώτα πιστοποίησης της κυβερνοασφάλειας, το σχετικό προϊόν με ψηφιακά στοιχεία και οι διαδικασίες που εφαρμόζει ο κατασκευαστής υποβάλλονται, όσον αφορά τις εν λόγω ουσιώδεις απαιτήσεις κυβερνοασφάλειας, σε οποιαδήποτε από τις ακόλουθες διαδικασίες:

3. Όταν το προϊόν είναι σημαντικό προϊόν με ψηφιακά στοιχεία που εμπίπτει στην κλάση ΙΙ, όπως ορίζεται στο παράρτημα III, ο κατασκευαστής αποδεικνύει τη συμμόρφωση προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I εφαρμόζοντας οποιαδήποτε από τις ακόλουθες διαδικασίες:

4. Για τα κρίσιμα προϊόντα με ψηφιακά στοιχεία που απαριθμούνται στο παράρτημα IV, η συμμόρφωση προς τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που καθορίζονται στο παράρτημα I αποδεικνύεται με την εφαρμογή μίας από τις ακόλουθες διαδικασίες:

5. Οι κατασκευαστές προϊόντων με ψηφιακά στοιχεία που χαρακτηρίζονται ως ελεύθερο λογισμικό ανοικτού κώδικα και τα οποία εμπίπτουν στις κατηγορίες που ορίζονται στο παράρτημα III, είναι σε θέση να αποδείξουν τη συμμόρφωση με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I χρησιμοποιώντας μία από τις διαδικασίες που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, υπό την προϋπόθεση ότι ο τεχνικός φάκελος που αναφέρεται στο άρθρο 31 διατίθεται στο κοινό τη στιγμή που τα εν λόγω προϊόντα τίθενται σε κυκλοφορία στην αγορά.

6. Τα ειδικά συμφέροντα και οι ανάγκες των πολύ μικρών και των μικρών και μεσαίων επιχειρήσεων, συμπεριλαμβανομένων των νεοφυών επιχειρήσεων, λαμβάνονται υπόψη κατά τον καθορισμό των τελών για τις διαδικασίες αξιολόγησης της συμμόρφωσης και τα εν λόγω τέλη μειώνονται κατ’ αναλογία προς τα ειδικά συμφέροντα και τις ανάγκες τους.

Μέτρα στήριξης για τις πολύ μικρές και τις μικρές και μεσαίες επιχειρήσεις, συμπεριλαμβανομένων των νεοφυών επιχειρήσεων

1. Τα κράτη μέλη λαμβάνουν, κατά περίπτωση, τα ακόλουθα μέτρα, προσαρμοσμένα στις ανάγκες των πολύ μικρών και των μικρών επιχειρήσεων:

2. Τα κράτη μέλη μπορούν, κατά περίπτωση, να δημιουργούν ρυθμιστικά δοκιμαστήρια κυβερνοανθεκτικότητας. Τα εν λόγω ρυθμιστικά δοκιμαστήρια παρέχουν ελεγχόμενα περιβάλλοντα δοκιμών για καινοτόμα προϊόντα με ψηφιακά στοιχεία, προκειμένου να διευκολύνεται η ανάπτυξη, ο σχεδιασμός, η επικύρωση και η δοκιμή τους με σκοπό τη συμμόρφωση με τον παρόντα κανονισμό για περιορισμένο χρονικό διάστημα πριν από τη θέση σε κυκλοφορία στην αγορά. Η Επιτροπή και, κατά περίπτωση, ο ENISA μπορούν να παρέχουν τεχνική υποστήριξη, συμβουλές και εργαλεία για τη δημιουργία και τη λειτουργία ρυθμιστικών δοκιμαστηρίων. Τα ρυθμιστικά δοκιμαστήρια δημιουργούνται υπό την άμεση εποπτεία, καθοδήγηση και υποστήριξη των αρχών εποπτείας της αγοράς. Τα κράτη μέλη ενημερώνουν την Επιτροπή και τις άλλες αρχές εποπτείας της αγοράς σχετικά με τη δημιουργία ρυθμιστικού δοκιμαστηρίου μέσω της ΕΟΔΚ. Τα ρυθμιστικά δοκιμαστήρια δεν θίγουν τις εποπτικές και διορθωτικές εξουσίες των αρμόδιων αρχών. Τα κράτη μέλη διασφαλίζουν την ανοικτή, δίκαιη και διαφανή πρόσβαση σε ρυθμιστικά δοκιμαστήρια, και ιδίως διευκολύνουν την πρόσβαση των πολύ μικρών και των μικρών επιχειρήσεων, συμπεριλαμβανομένων των νεοφυών επιχειρήσεων.

3. Σύμφωνα με το άρθρο 26, η Επιτροπή παρέχει καθοδήγηση στις πολύ μικρές και τις μικρές και μεσαίες επιχειρήσεις σε σχέση με την εφαρμογή του παρόντος κανονισμού.

4. Η Επιτροπή παρέχει ενημέρωση σχετικά με τη διαθέσιμη χρηματοδοτική στήριξη στο κανονιστικό πλαίσιο των υφιστάμενων προγραμμάτων της Ένωσης, ιδίως προκειμένου να μειωθεί ο οικονομικός φόρτος για τις πολύ μικρές και τις μικρές επιχειρήσεις.

5. Οι πολύ μικρές και οι μικρές επιχειρήσεις μπορούν να παρέχουν όλα τα στοιχεία του τεχνικού φακέλου που καθορίζεται στο παράρτημα VII χρησιμοποιώντας απλουστευμένο μορφότυπο. Για τον σκοπό αυτό, η Επιτροπή προσδιορίζει, μέσω εκτελεστικών πράξεων, το απλουστευμένο έντυπο τεχνικού φακέλου που απευθύνεται στις ανάγκες των πολύ μικρών και των μικρών επιχειρήσεων, συμπεριλαμβανομένου του τρόπου με τον οποίο πρέπει να παρέχονται τα στοιχεία που ορίζονται στο παράρτημα VII. Όταν μια πολύ μικρή ή μικρή επιχείρηση επιλέγει να παράσχει τις πληροφορίες που ορίζονται στο παράρτημα VII με απλουστευμένο τρόπο, χρησιμοποιεί το έντυπο που αναφέρεται στην παρούσα παράγραφο. Οι κοινοποιημένοι οργανισμοί αποδέχονται το έντυπο αυτό για τους σκοπούς της αξιολόγησης της συμμόρφωσης.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 62 παράγραφος 2.

Συμφωνίες αμοιβαίας αναγνώρισης

Λαμβάνοντας υπόψη το επίπεδο τεχνικής ανάπτυξης και την προσέγγιση που ακολουθεί τρίτη χώρα για την αξιολόγηση της συμμόρφωσης, η Ένωση μπορεί να συνάπτει συμφωνίες αμοιβαίας αναγνώρισης με τρίτες χώρες, σύμφωνα με το άρθρο 218 ΣΛΕΕ, με σκοπό την προώθηση και τη διευκόλυνση του διεθνούς εμπορίου.

Κοινοποίηση

1. Τα κράτη μέλη κοινοποιούν στην Επιτροπή και στα άλλα κράτη μέλη τους οργανισμούς που έχουν λάβει έγκριση για τη διενέργεια αξιολογήσεων της συμμόρφωσης σύμφωνα με τον παρόντα κανονισμό.

2. Τα κράτη μέλη επιδιώκουν να διασφαλίσουν, έως τις 11 Δεκεμβρίου 2026, ότι υπάρχει επαρκής αριθμός κοινοποιημένων οργανισμών στην Ένωση για τη διενέργεια αξιολογήσεων της συμμόρφωσης, ώστε να αποφεύγονται τα σημεία συμφόρησης και τα εμπόδια στην είσοδο στην αγορά.

Κοινοποιούσες αρχές

1. Κάθε κράτος μέλος ορίζει μία κοινοποιούσα αρχή η οποία είναι υπεύθυνη για τον καθορισμό και τη διεξαγωγή των αναγκαίων διαδικασιών αξιολόγησης, ορισμού και κοινοποίησης των οργανισμών αξιολόγησης της συμμόρφωσης και για την παρακολούθησή τους, συμπεριλαμβανομένης της συμμόρφωσης με τις διατάξεις του άρθρου 41.

2. Τα κράτη μέλη μπορούν να αποφασίζουν ότι η αξιολόγηση και η παρακολούθηση στις οποίες αναφέρεται η παράγραφος 1 διεξάγονται από εθνικό οργανισμό διαπίστευσης, κατά την έννοια του κανονισμού (ΕΚ) αριθ. 765/2008 και σύμφωνα με αυτόν.

3. Εφόσον η κοινοποιούσα αρχή εκχωρήσει ή αναθέσει με άλλον τρόπο την αξιολόγηση, κοινοποίηση ή παρακολούθηση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου σε οργανισμό που δεν είναι κρατική οντότητα, ο οργανισμός αυτός είναι νομικό πρόσωπο και συμμορφώνεται, κατ’ αναλογία, με το άρθρο 37. Επιπλέον, προβαίνει σε διευθετήσεις ώστε να καλύπτει τις ευθύνες που προκύπτουν από τις δραστηριότητές του.

4. Η κοινοποιούσα αρχή αναλαμβάνει πλήρως την ευθύνη για τα καθήκοντα τα οποία εκτελεί ο οργανισμός που αναφέρεται στην παράγραφο 3.

Απαιτήσεις σχετικά με τις κοινοποιούσες αρχές

1. H κοινοποιούσα αρχή συγκροτείται κατά τρόπο που δεν συνεπάγεται σύγκρουση συμφερόντων με τους οργανισμούς αξιολόγησης της συμμόρφωσης.

2. Η κοινοποιούσα αρχή οργανώνεται και λειτουργεί κατά τρόπο ώστε να διασφαλίζεται η αντικειμενικότητα και η αμεροληψία των δραστηριοτήτων της.

3. Η κοινοποιούσα αρχή οργανώνεται κατά τρόπο ώστε κάθε απόφαση που αφορά την κοινοποίηση ενός οργανισμού αξιολόγησης της συμμόρφωσης να λαμβάνεται από αρμόδια πρόσωπα που είναι άλλα από τα πρόσωπα που διεξήγαγαν την αξιολόγηση.

4. Η κοινοποιούσα αρχή δεν προσφέρει ούτε παρέχει οποιεσδήποτε δραστηριότητες που εκτελούνται από οργανισμούς αξιολόγησης της συμμόρφωσης ή οποιεσδήποτε συμβουλευτικές υπηρεσίες σε εμπορική ή ανταγωνιστική βάση.

5. Η κοινοποιούσα αρχή εξασφαλίζει την εμπιστευτικότητα των πληροφοριών που λαμβάνει.

6. Η κοινοποιούσα αρχή διαθέτει επαρκές αρμόδιο προσωπικό για την ορθή εκτέλεση των καθηκόντων της.

Υποχρέωση ενημέρωσης που υπέχουν οι κοινοποιούσες αρχές

1. Τα κράτη μέλη ενημερώνουν την Επιτροπή σχετικά με τις διαδικασίες που ακολουθούν για την αξιολόγηση και την κοινοποίηση των οργανισμών αξιολόγησης της συμμόρφωσης και για την παρακολούθηση των κοινοποιημένων οργανισμών, καθώς και για τυχόν αλλαγές των διαδικασιών αυτών.

2. Η Επιτροπή δημοσιοποιεί τις πληροφορίες που αναφέρονται στην παράγραφο 1.

Απαιτήσεις που αφορούν τους κοινοποιημένους οργανισμούς

1. Για τους σκοπούς της κοινοποίησης, ο οργανισμός αξιολόγησης της συμμόρφωσης πληροί τις απαιτήσεις των παραγράφων 2 έως 12.

2. Ο οργανισμός αξιολόγησης της συμμόρφωσης ιδρύεται βάσει του εθνικού δικαίου και διαθέτει νομική προσωπικότητα.

3. Ο οργανισμός αξιολόγησης της συμμόρφωσης είναι ανεξάρτητος από τον οργανισμό ή το προϊόν με ψηφιακά στοιχεία που αξιολογεί.

Ένας οργανισμός που ανήκει σε ένωση επιχειρήσεων ή επαγγελματική ομοσπονδία που εκπροσωπεί τις επιχειρήσεις οι οποίες συμμετέχουν στον σχεδιασμό, την ανάπτυξη, παραγωγή, παροχή, συναρμολόγηση, χρήση ή συντήρηση των προϊόντων με ψηφιακά στοιχεία τα οποία αξιολογεί, μπορεί να θεωρείται τέτοιος ανεξάρτητος οργανισμός αξιολόγησης, υπό την προϋπόθεση ότι η ανεξαρτησία του και η απουσία σύγκρουσης συμφερόντων είναι αποδεδειγμένες.

4. Ο οργανισμός αξιολόγησης της συμμόρφωσης, τα διευθυντικά του στελέχη και το προσωπικό που είναι αρμόδιο για την εκτέλεση των καθηκόντων αξιολόγησης της συμμόρφωσης δεν συμπίπτουν με τον σχεδιαστή, προγραμματιστή, κατασκευαστή, προμηθευτή, εισαγωγέα, διανομέα, υπεύθυνο εγκατάστασης, αγοραστή, ιδιοκτήτη, χρήστη ή συντηρητή των προϊόντων με ψηφιακά στοιχεία που αξιολογούν ούτε με τον εξουσιοδοτημένο αντιπρόσωπο των ανωτέρω. Αυτό δεν αποκλείει τη χρήση αξιολογημένων προϊόντων που είναι αναγκαία για τις λειτουργίες του οργανισμού αξιολόγησης της συμμόρφωσης ή τη χρήση των προϊόντων για προσωπικούς σκοπούς.

Ο οργανισμός αξιολόγησης της συμμόρφωσης, τα διευθυντικά του στελέχη και το προσωπικό που είναι αρμόδιο για την εκτέλεση των καθηκόντων αξιολόγησης της συμμόρφωσης δεν εμπλέκονται άμεσα στον σχεδιασμό, την ανάπτυξη, την παραγωγή, την εισαγωγή, τη διανομή, την εμπορία, την εγκατάσταση, τη χρήση ή τη συντήρηση των εν λόγω προϊόντων με ψηφιακά στοιχεία που αξιολογούν, ούτε εκπροσωπούν τα μέρη που εμπλέκονται στις δραστηριότητες αυτές. Δεν αναλαμβάνουν καμία δραστηριότητα που μπορεί να θίξει την ανεξάρτητη κρίση και την ακεραιότητά τους σε σχέση με τις δραστηριότητες αξιολόγησης της συμμόρφωσης για τις οποίες έχουν κοινοποιηθεί. Αυτό ισχύει ιδίως για τις συμβουλευτικές υπηρεσίες.

Ο οργανισμός αξιολόγησης της συμμόρφωσης εξασφαλίζει ότι οι δραστηριότητες των θυγατρικών ή των υπεργολάβων δεν επηρεάζουν την εμπιστευτικότητα, την αντικειμενικότητα και την αμεροληψία των δραστηριοτήτων αξιολόγησης της συμμόρφωσης.

5. Ο οργανισμός αξιολόγησης της συμμόρφωσης και το προσωπικό του εκτελούν τις δραστηριότητες αξιολόγησης της συμμόρφωσης με τη μέγιστη επαγγελματική ακεραιότητα και την απαιτούμενη τεχνική επάρκεια στον συγκεκριμένο τομέα και οφείλουν να είναι απαλλαγμένοι από κάθε πίεση και προτροπή, κυρίως οικονομική, που θα ήταν δυνατόν να επηρεάσει την κρίση τους ή τα αποτελέσματα των δραστηριοτήτων τους αυτών, ιδιαίτερα από πρόσωπα ή ομάδες προσώπων που έχουν συμφέρον από τα αποτελέσματα των ελέγχων.

6. Ο οργανισμός αξιολόγησης της συμμόρφωσης είναι σε θέση να εκτελεί όλα τα καθήκοντα τα σχετικά με την αξιολόγηση της συμμόρφωσης που του έχουν ανατεθεί βάσει των διατάξεων του παραρτήματος VIII και για τα οποία έχει κοινοποιηθεί, ανεξαρτήτως του αν πρόκειται για καθήκοντα που εκτελούνται από τον ίδιο τον οργανισμό αξιολόγησης της συμμόρφωσης ή για λογαριασμό του και υπό την ευθύνη του.

Ανά πάσα στιγμή και για κάθε διαδικασία αξιολόγησης της συμμόρφωσης και για κάθε είδος ή κατηγορία προϊόντων με ψηφιακά στοιχεία για τα οποία είναι κοινοποιημένος, ο οργανισμός αξιολόγησης της συμμόρφωσης έχει στη διάθεσή του:

Ο οργανισμός αξιολόγησης της συμμόρφωσης διαθέτει τα αναγκαία μέσα για την εκτέλεση των τεχνικών και διοικητικών καθηκόντων που συνδέονται με τις δραστηριότητες αξιολόγησης της συμμόρφωσης και έχει πρόσβαση σε όλον τον αναγκαίο εξοπλισμό ή εγκαταστάσεις.

7. Το προσωπικό που είναι αρμόδιο για τη διεξαγωγή των δραστηριοτήτων αξιολόγησης της συμμόρφωσης διαθέτει:

8. Εξασφαλίζεται η αμεροληψία του οργανισμού αξιολόγησης της συμμόρφωσης, των διευθυντικών στελεχών του και του προσωπικού αξιολόγησης.

Οι αμοιβές των διευθυντικών στελεχών και του προσωπικού του οργανισμού αξιολόγησης δεν εξαρτώνται από τον αριθμό των αξιολογήσεων που διενεργούνται ή από τα αποτελέσματα των αξιολογήσεων αυτών.

9. Οι οργανισμοί αξιολόγησης της συμμόρφωσης συνάπτουν ασφάλεια αστικής ευθύνης, εκτός εάν η ευθύνη αυτή καλύπτεται από το οικείο κράτος μέλος βάσει του εθνικού δικαίου, ή εκτός εάν η αξιολόγηση της συμμόρφωσης πραγματοποιείται υπό την άμεση ευθύνη του κράτους μέλους.

10. Το προσωπικό του οργανισμού αξιολόγησης της συμμόρφωσης δεσμεύεται να τηρεί το επαγγελματικό απόρρητο για κάθε πληροφορία που περιέρχεται σε γνώση του κατά την εκτέλεση των καθηκόντων του σύμφωνα με το παράρτημα VIII ή οποιαδήποτε εκτελεστική διάταξη του εθνικού δικαίου, εξαιρουμένης της σχέσης με τις αρχές εποπτείας της αγοράς του κράτους μέλους στο οποίο διεξάγονται οι δραστηριότητες του οργανισμού. Τα δικαιώματα κυριότητας προστατεύονται. Ο οργανισμός αξιολόγησης της συμμόρφωσης διαθέτει τεκμηριωμένες διαδικασίες που εξασφαλίζουν τη συμμόρφωση με την παρούσα παράγραφο.

11. Οι οργανισμοί αξιολόγησης της συμμόρφωσης συμμετέχουν στις σχετικές δραστηριότητες τυποποίησης και στις δραστηριότητες της ομάδας συντονισμού των κοινοποιημένων οργανισμών, η οποία έχει συσταθεί δυνάμει του άρθρου 51, ή εξασφαλίζουν ότι το προσωπικό αξιολόγησης ενημερώνεται για τις δραστηριότητες αυτές, και εφαρμόζει ως γενικές οδηγίες τις διοικητικές αποφάσεις και τα έγγραφα που είναι το αποτέλεσμα των εργασιών της εν λόγω ομάδας.

12. Οι οργανισμοί αξιολόγησης της συμμόρφωσης λειτουργούν σύμφωνα με σειρά συνεπών, δίκαιων, αναλογικών και εύλογων όρων και προϋποθέσεων, αποφεύγοντας τις περιττές επιβαρύνσεις για τους οικονομικούς φορείς και λαμβάνοντας ιδίως υπόψη τα συμφέροντα των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων σε σχέση με τα τέλη.

Τεκμήριο συμμόρφωσης των κοινοποιημένων οργανισμών

Αν ο οργανισμός αξιολόγησης της συμμόρφωσης αποδείξει ότι πληροί τα κριτήρια που ορίζονται στα σχετικά εναρμονισμένα πρότυπα ή σε μέρη αυτών, τα στοιχεία των οποίων έχουν δημοσιευτεί στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης, τότε τεκμαίρεται ότι συμμορφούται προς τις απαιτήσεις του άρθρου 39 εφόσον τα εφαρμοστέα εναρμονισμένα πρότυπα τηρούν τις απαιτήσεις αυτές.

Θυγατρικές και υπεργολάβοι κοινοποιημένων οργανισμών

1. Όταν ο κοινοποιημένος οργανισμός αναθέτει με υπεργολαβία συγκεκριμένα καθήκοντα που συνδέονται με την αξιολόγηση της συμμόρφωσης ή προσφεύγει σε θυγατρική, εξασφαλίζει ότι ο υπεργολάβος ή η θυγατρική πληροί τις απαιτήσεις του άρθρου 39 και ενημερώνει αναλόγως την κοινοποιούσα αρχή.

2. Οι κοινοποιημένοι οργανισμοί αναλαμβάνουν πλήρως την ευθύνη για τα καθήκοντα που εκτελούν οι υπεργολάβοι ή οι θυγατρικές, όπου κι αν είναι εγκατεστημένοι.

3. Οι δραστηριότητες μπορούν να ανατίθενται σε υπεργολάβο ή να διεξάγονται από θυγατρική μόνον εφόσον συμφωνήσει ο κατασκευαστής.

4. Οι κοινοποιημένοι οργανισμοί τηρούν στη διάθεση της κοινοποιούσας αρχής τα έγγραφα σχετικά με την αξιολόγηση των προσόντων του υπεργολάβου ή της θυγατρικής και σχετικά με τις εργασίες που διεξήγαγε ο υπεργολάβος ή η θυγατρική δυνάμει του παρόντος κανονισμού.

Αίτηση κοινοποίησης

1. Ο οργανισμός αξιολόγησης της συμμόρφωσης υποβάλλει αίτηση κοινοποίησης στην κοινοποιούσα αρχή του κράτους μέλους στο οποίο είναι εγκατεστημένος.

2. Η εν λόγω αίτηση συνοδεύεται από περιγραφή των δραστηριοτήτων αξιολόγησης της συμμόρφωσης, της διαδικασίας ή των διαδικασιών αξιολόγησης της συμμόρφωσης και του προϊόντος ή των προϊόντων με ψηφιακά στοιχεία για τα οποία ο οργανισμός δηλώνει ότι είναι αρμόδιος, καθώς και, κατά περίπτωση, από πιστοποιητικό διαπίστευσης το οποίο έχει εκδοθεί από εθνικό οργανισμό διαπίστευσης, διά του οποίου πιστοποιείται ότι ο οργανισμός αξιολόγησης της συμμόρφωσης πληροί τις απαιτήσεις του άρθρου 39.

3. Αν ο οργανισμός αξιολόγησης της συμμόρφωσης δεν μπορεί να προσκομίσει πιστοποιητικό διαπίστευσης, τότε παρέχει στην κοινοποιούσα αρχή όλη την τεκμηρίωση που είναι αναγκαία για την επαλήθευση, αναγνώριση και τακτική παρακολούθηση της συμμόρφωσής του με τις απαιτήσεις του άρθρου 39.

Διαδικασία κοινοποίησης

1. Οι κοινοποιούσες αρχές κοινοποιούν μόνο τους οργανισμούς αξιολόγησης της συμμόρφωσης που πληρούν τις απαιτήσεις του άρθρου 39.

2. Η κοινοποιούσα αρχή ενημερώνει την Επιτροπή και τα άλλα κράτη μέλη που χρησιμοποιούν το σύστημα πληροφόρησης των κοινοποιημένων και διαπιστευμένων οργανισμών νέας προσέγγισης που έχει αναπτύξει και διαχειρίζεται η Επιτροπή.

3. Στην κοινοποίηση περιλαμβάνονται όλα τα στοιχεία για τις δραστηριότητες αξιολόγησης της συμμόρφωσης, την ενότητα ή τις ενότητες αξιολόγησης της συμμόρφωσης και το οικείο προϊόν ή τα οικεία προϊόντα με ψηφιακά στοιχεία και τη σχετική βεβαίωση επάρκειας.

4. Όταν η κοινοποίηση δεν βασίζεται σε πιστοποιητικό διαπίστευσης του άρθρου 42 παράγραφος 2, η κοινοποιούσα αρχή παρέχει στην Επιτροπή και στα άλλα κράτη μέλη την τεκμηρίωση που πιστοποιεί την επάρκεια του οργανισμού αξιολόγησης της συμμόρφωσης και τις υφιστάμενες ρυθμίσεις για να εξασφαλιστεί ότι ο οργανισμός θα ελέγχεται τακτικά και θα συνεχίσει να πληροί τις απαιτήσεις του άρθρου 39.

5. Ο εν λόγω οργανισμός μπορεί να εκτελεί τις δραστηριότητες κοινοποιημένου οργανισμού μόνον εφόσον δεν έχει διατυπωθεί ένσταση από την Επιτροπή και τα άλλα κράτη μέλη εντός δύο εβδομάδων από την κοινοποίηση εάν χρησιμοποιείται πιστοποιητικό διαπίστευσης ή εντός δύο μηνών από την κοινοποίηση εάν δεν χρησιμοποιείται διαπίστευση.

Μόνο υπό αυτές τις προϋποθέσεις θεωρείται κοινοποιημένος ο οργανισμός για τους σκοπούς του παρόντος κανονισμού.

6. Η Επιτροπή και τα άλλα κράτη μέλη ενημερώνονται για τυχόν επακόλουθες σχετικές αλλαγές στην κοινοποίηση.

Αριθμοί μητρώου και κατάλογοι κοινοποιημένων οργανισμών

1. Η Επιτροπή χορηγεί αριθμό μητρώου σε κάθε κοινοποιημένο οργανισμό.

Χορηγεί έναν μοναδικό αριθμό, ακόμη και αν ο οργανισμός είναι κοινοποιημένος βάσει διαφόρων νομικών πράξεων της Ένωσης.

2. Η Επιτροπή δημοσιοποιεί τον κατάλογο των οργανισμών που κοινοποιούνται βάσει του παρόντος κανονισμού, συμπεριλαμβανομένων των αριθμών μητρώου που τους έχουν χορηγηθεί και των δραστηριοτήτων για τις οποίες έχουν κοινοποιηθεί.

Η Επιτροπή μεριμνά για την ενημέρωση του καταλόγου αυτού.

Αλλαγές στις κοινοποιήσεις

1. Όταν κοινοποιούσα αρχή διαπιστώνει ή πληροφορείται ότι κοινοποιημένος οργανισμός δεν πληροί πλέον τις απαιτήσεις του άρθρου 39, ή ότι αδυνατεί να εκπληρώσει τις υποχρεώσεις του, η κοινοποιούσα αρχή περιορίζει, αναστέλλει ή ανακαλεί την κοινοποίηση, κατά περίπτωση, αναλόγως της σοβαρότητας της μη τήρησης των απαιτήσεων ή της μη εκπλήρωσης των υποχρεώσεων. Ενημερώνει αμέσως σχετικά την Επιτροπή και τα άλλα κράτη μέλη.

2. Στην περίπτωση περιορισμού, αναστολής ή ανάκλησης της κοινοποίησης ή όταν ο κοινοποιημένος οργανισμός παύσει τη δραστηριότητά του, το κοινοποιούν κράτος μέλος προβαίνει στις δέουσες ενέργειες για να εξασφαλίσει ότι τα αρχεία του οργανισμού αυτού είτε τα χειρίζεται άλλος κοινοποιημένος οργανισμός είτε τα καθιστά διαθέσιμα στις αρμόδιες αρχές κοινοποίησης και εποπτείας της αγοράς, κατόπιν αιτήματός τους.

Αμφισβήτηση της επάρκειας κοινοποιημένων οργανισμών

1. Η Επιτροπή ερευνά όλες τις περιπτώσεις κατά τις οποίες έχει αμφιβολίες ή περιέρχονται σε γνώση της εικασίες όσον αφορά την επάρκεια κοινοποιημένου οργανισμού ή την ικανότητα συνεχούς εκπλήρωσης από κοινοποιημένο οργανισμό των απαιτήσεων και των υποχρεώσεων που υπέχει.

2. Το κοινοποιούν κράτος μέλος παρέχει στην Επιτροπή, εάν αυτή το ζητήσει, όλες τις πληροφορίες σχετικά με την αιτιολόγηση της κοινοποίησης ή της διατήρησης της επάρκειας του εν λόγω οργανισμού.

3. Η Επιτροπή διασφαλίζει τον εμπιστευτικό χαρακτήρα όλων των ευαίσθητων πληροφοριών που λαμβάνει στο πλαίσιο των ερευνών της.

4. Όταν η Επιτροπή διαπιστώνει ότι κοινοποιημένος οργανισμός δεν πληροί ή παύει να πληροί τις απαιτήσεις κοινοποίησής του, ενημερώνει το κοινοποιούν κράτος μέλος σχετικά και ζητεί από το τελευταίο να λάβει τα αναγκαία διορθωτικά μέτρα, συμπεριλαμβανομένης της άρσης της κοινοποίησης, εφόσον είναι αναγκαίο.

Λειτουργικές υποχρεώσεις των κοινοποιημένων οργανισμών

1. Οι κοινοποιημένοι οργανισμοί διενεργούν αξιολογήσεις συμμόρφωσης σύμφωνα με τις διαδικασίες αξιολόγησης της συμμόρφωσης που προβλέπονται στο άρθρο 32 και στο παράρτημα VIII.

2. Οι αξιολογήσεις της συμμόρφωσης διενεργούνται κατά τρόπο αναλογικό, ώστε να αποφεύγονται οι περιττές επιβαρύνσεις για τους οικονομικούς φορείς. Οι οργανισμοί αξιολόγησης της συμμόρφωσης ασκούν τις δραστηριότητές τους λαμβάνοντας δεόντως υπόψη το μέγεθος μιας επιχείρησης, ιδίως όσον αφορά τις πολύ μικρές και τις μικρές και μεσαίες επιχειρήσεις, τον τομέα στον οποίο αυτές δραστηριοποιούνται, τη δομή τους, την πολυπλοκότητα και το επίπεδο κινδύνου κυβερνοασφάλειας των εν λόγω προϊόντων με ψηφιακά στοιχεία και της εν λόγω τεχνολογίας και τον μαζικό ή εν σειρά χαρακτήρα της διαδικασίας παραγωγής.

3. Οι κοινοποιημένοι οργανισμοί τηρούν ωστόσο τον βαθμό αυστηρότητας και το επίπεδο προστασίας που απαιτούνται για τη συμμόρφωση του προϊόντος με ψηφιακά στοιχεία με τον παρόντα κανονισμό.

4. Όταν κοινοποιημένος οργανισμός διαπιστώσει ότι οι απαιτήσεις του παραρτήματος I ή των αντίστοιχων εναρμονισμένων προτύπων ή των κοινών προδιαγραφών που αναφέρονται στο άρθρο 27 δεν πληρούνται από τον κατασκευαστή, του ζητεί να λάβει τα ενδεδειγμένα διορθωτικά μέτρα και δεν εκδίδει πιστοποιητικό συμμόρφωσης.

5. Όταν, κατά την παρακολούθηση της συμμόρφωσης μετά την έκδοση πιστοποιητικού, κοινοποιημένος οργανισμός διαπιστώσει ότι κάποιο προϊόν με ψηφιακά στοιχεία δεν συμμορφώνεται πλέον με τις απαιτήσεις που ορίζονται στον παρόντα κανονισμό, τότε απαιτεί από τον κατασκευαστή να λάβει τα απαραίτητα διορθωτικά μέτρα και αναστέλλει ή ανακαλεί το πιστοποιητικό, εφόσον απαιτείται.

6. Εάν δεν ληφθούν διορθωτικά μέτρα ή εάν αυτά δεν έχουν το απαιτούμενο αποτέλεσμα, ο κοινοποιημένος οργανισμός περιορίζει, αναστέλλει ή ανακαλεί τυχόν πιστοποιητικό, κατά περίπτωση.

Προσφυγή κατά αποφάσεων των κοινοποιημένων οργανισμών

Τα κράτη μέλη διασφαλίζουν ότι προβλέπεται διαδικασία προσφυγής κατά των αποφάσεων των κοινοποιημένων οργανισμών.

Υποχρέωση ενημέρωσης που υπέχουν οι κοινοποιημένοι οργανισμοί

1. Οι κοινοποιημένοι οργανισμοί ενημερώνουν την κοινοποιούσα αρχή για τα εξής:

2. Οι κοινοποιημένοι οργανισμοί παρέχουν στους άλλους κοινοποιημένους δυνάμει του παρόντος κανονισμού οργανισμούς, που διεξάγουν παρόμοιες δραστηριότητες αξιολόγησης της συμμόρφωσης και καλύπτουν τα ίδια προϊόντα με ψηφιακά στοιχεία, τις σχετικές πληροφορίες για ζητήματα που αφορούν αρνητικά και, εάν τους ζητηθεί, θετικά αποτελέσματα αξιολόγησης της συμμόρφωσης.

Ανταλλαγή εμπειριών

Η Επιτροπή μεριμνά για την ανταλλαγή εμπειριών μεταξύ των εθνικών αρχών των κρατών μελών που είναι αρμόδιες για την πολιτική κοινοποίησης.

Συντονισμός των κοινοποιημένων οργανισμών

1. Η Επιτροπή διασφαλίζει ότι θεσμοθετείται κατάλληλος συντονισμός και συνεργασία μεταξύ των κοινοποιημένων οργανισμών και ότι αυτά λειτουργούν σωστά με τη μορφή διατομεακής ομάδας των κοινοποιημένων οργανισμών.

2. Τα κράτη μέλη εξασφαλίζουν ότι οι οργανισμοί τους οποίους έχουν κοινοποιήσει συμμετέχουν στις εργασίες της εν λόγω ομάδας, απευθείας ή διά διορισθέντων αντιπροσώπων.

Εποπτεία της αγοράς και έλεγχος των προϊόντων με ψηφιακά στοιχεία στην ενωσιακή αγορά

1. Ο κανονισμός (ΕΕ) 2019/1020 εφαρμόζεται στα προϊόντα με ψηφιακά στοιχεία που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού.

2. Κάθε κράτος μέλος ορίζει μία ή περισσότερες αρχές εποπτείας της αγοράς για τη διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού. Τα κράτη μέλη μπορούν να ορίσουν υφιστάμενη ή νέα αρχή η οποία θα ενεργεί ως αρχή εποπτείας της αγοράς για τον παρόντα κανονισμό.

3. Οι αρχές εποπτείας της αγοράς που ορίζονται σύμφωνα με την παράγραφο 2 του παρόντος άρθρου είναι επίσης υπεύθυνες για τη διεξαγωγή δραστηριοτήτων εποπτείας της αγοράς σε σχέση με τις υποχρεώσεις για τους υποστηρικτές λογισμικού ανοικτού κώδικα που ορίζονται στο άρθρο 24. Όταν μια αρχή εποπτείας της αγοράς διαπιστώνει ότι ένας υποστηρικτής λογισμικού ανοικτού κώδικα δεν συμμορφώνεται με τις υποχρεώσεις που ορίζονται στο εν λόγω άρθρο, απαιτεί από τον υποστηρικτή λογισμικού ανοικτού κώδικα να διασφαλίσει ότι λαμβάνονται όλα τα κατάλληλα διορθωτικά μέτρα. Οι υποστηρικτές λογισμικού ανοικτού κώδικα διασφαλίζουν ότι λαμβάνονται όλα τα κατάλληλα διορθωτικά μέτρα όσον αφορά τις υποχρεώσεις τους βάσει του παρόντος κανονισμού.

4. Κατά περίπτωση, οι αρχές εποπτείας της αγοράς συνεργάζονται με τις εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας σύμφωνα με το άρθρο 58 του κανονισμού (ΕΕ) 2019/881 και ανταλλάσσουν πληροφορίες σε τακτική βάση. Όσον αφορά την εποπτεία της εφαρμογής των υποχρεώσεων αναφοράς σύμφωνα με το άρθρο 14 του παρόντος κανονισμού, οι ορισθείσες αρχές εποπτείας της αγοράς συνεργάζονται και ανταλλάσσουν πληροφορίες σε τακτική βάση με τις ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού και με τον ENISA.

5. Οι αρχές εποπτείας της αγοράς μπορούν να ζητήσουν από μια ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού ή από τον ENISA τεχνικές συμβουλές σε θέματα που σχετίζονται με την εφαρμογή και επιβολή του παρόντος κανονισμού. Κατά τη διενέργεια έρευνας δυνάμει του άρθρου 54, οι αρχές εποπτείας της αγοράς μπορούν να ζητήσουν από τη ΟΑΠΑΥ στην οποία έχουν ανατεθεί καθήκοντα συντονισμού ή από τον ENISA την παροχή ανάλυσης προς στήριξη των αξιολογήσεων της συμμόρφωσης προϊόντων με ψηφιακά στοιχεία.

6. Κατά περίπτωση, οι αρχές εποπτείας της αγοράς συνεργάζονται με άλλες αρχές εποπτείας της αγοράς που ορίζονται βάσει άλλης ενωσιακής νομοθεσίας εναρμόνισης πέραν του παρόντος κανονισμού, και ανταλλάσσουν πληροφορίες σε τακτική βάση.

7. Οι αρχές εποπτείας της αγοράς συνεργάζονται, κατά περίπτωση, με τις αρχές που εποπτεύουν την ενωσιακή νομοθεσία για την προστασία των δεδομένων. Η συνεργασία αυτή περιλαμβάνει την ενημέρωση των εν λόγω αρχών για κάθε εύρημα σχετικά με την εκπλήρωση των αρμοδιοτήτων τους, μεταξύ άλλων κατά την έκδοση καθοδήγησης και συμβουλών σύμφωνα με την παράγραφο 10, εάν η εν λόγω καθοδήγηση και συμβουλές αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Οι αρχές που εποπτεύουν τη νομοθεσία της Ένωσης για την προστασία των δεδομένων έχουν την εξουσία να ζητούν και να έχουν πρόσβαση σε κάθε έγγραφο που δημιουργείται ή διατηρείται δυνάμει του παρόντος κανονισμού, όταν η πρόσβαση στα εν λόγω έγγραφα είναι αναγκαία για την εκπλήρωση των καθηκόντων τους. Ενημερώνουν τις ορισθείσες αρχές εποπτείας της αγοράς του οικείου κράτους μέλους για κάθε σχετικό αίτημα.

8. Τα κράτη μέλη μεριμνούν ώστε οι ορισθείσες αρχές εποπτείας της αγοράς να διαθέτουν επαρκείς οικονομικούς και τεχνικούς πόρους, συμπεριλαμβανομένων, κατά περίπτωση, εργαλείων αυτοματοποίησης της επεξεργασίας, καθώς και ανθρώπινους πόρους με τις αναγκαίες δεξιότητες κυβερνοασφάλειας για την εκπλήρωση των καθηκόντων τους δυνάμει του παρόντος κανονισμού.

9. Η Επιτροπή ενθαρρύνει και διευκολύνει την ανταλλαγή εμπειριών μεταξύ των αρχών εποπτείας της αγοράς που έχουν οριστεί.

10. Οι αρχές εποπτείας της αγοράς μπορούν να παρέχουν καθοδήγηση και συμβουλές στους οικονομικούς φορείς σχετικά με την εφαρμογή του παρόντος κανονισμού, με την υποστήριξη της Επιτροπής και, κατά περίπτωση, των ΟΑΠΑΥ και του ENISA.

11. Οι αρχές εποπτείας της αγοράς ενημερώνουν τους καταναλωτές σχετικά με το πού μπορούν να υποβάλουν καταγγελίες για πιθανή μη συμμόρφωση με τον παρόντα κανονισμό, σύμφωνα με το άρθρο 11 του κανονισμού (ΕΕ) 2019/1020, και παρέχουν πληροφορίες στους καταναλωτές σχετικά με το πού και το πώς μπορούν να αποκτήσουν πρόσβαση σε μηχανισμούς για τη διευκόλυνση της αναφοράς ευπαθειών, περιστατικών και κυβερνοαπειλών που ενδέχεται να επηρεάσουν προϊόντα με ψηφιακά στοιχεία.

12. Οι αρχές εποπτείας της αγοράς διευκολύνουν, κατά περίπτωση, τη συνεργασία με σχετικά ενδιαφερόμενα μέρη, συμπεριλαμβανομένων των επιστημονικών και ερευνητικών οργανώσεων και των οργανώσεων καταναλωτών.

13. Οι αρχές εποπτείας της αγοράς υποβάλλουν ετήσια έκθεση στην Επιτροπή για τα αποτελέσματα των σχετικών δραστηριοτήτων εποπτείας της αγοράς. Οι αρχές εποπτείας της αγοράς αναφέρουν, χωρίς καθυστέρηση, στην Επιτροπή και στις αρμόδιες εθνικές αρχές ανταγωνισμού κάθε πληροφορία που εντοπίζεται στο πλαίσιο των δραστηριοτήτων εποπτείας της αγοράς και η οποία ενδέχεται να παρουσιάζει ενδιαφέρον για την εφαρμογή των κανόνων ανταγωνισμού του ενωσιακού δικαίου περί ανταγωνισμού.

14. Για τα προϊόντα με ψηφιακά στοιχεία που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού και ταξινομούνται ως συστήματα ΤΝ υψηλού κινδύνου σύμφωνα με το άρθρο 6 του κανονισμού (ΕΕ) 2024/1689, οι αρχές εποπτείας της αγοράς που ορίζονται για τους σκοπούς του εν λόγω κανονισμού είναι οι αρχές που είναι αρμόδιες για τις δραστηριότητες εποπτείας της αγοράς που απαιτούνται βάσει του παρόντος κανονισμού. Οι αρχές εποπτείας της αγοράς που ορίζονται σύμφωνα με τον κανονισμό (ΕΕ) 2024/1689 συνεργάζονται, κατά περίπτωση, με τις αρχές εποπτείας της αγοράς που ορίζονται σύμφωνα με τον παρόντα κανονισμό και, όσον αφορά την εποπτεία της εκπλήρωσης των υποχρεώσεων αναφοράς σύμφωνα με το άρθρο 14 του παρόντος κανονισμού, με τις ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού και με τον ENISA. Οι αρχές εποπτείας της αγοράς που ορίζονται σύμφωνα με τον κανονισμό (ΕΕ) 2024/1689 ενημερώνουν ιδίως τις αρχές εποπτείας της αγοράς που ορίζονται σύμφωνα με τον παρόντα κανονισμό για κάθε εύρημα σχετικά με την εκπλήρωση των καθηκόντων τους σε σχέση με την εφαρμογή του παρόντος κανονισμού.

15. Συγκροτείται ειδική ομάδα διοικητικής συνεργασίας (ΕΟΔΚ) για την ομοιόμορφη εφαρμογή του παρόντος κανονισμού, σύμφωνα με το άρθρο 30 παράγραφος 2 του κανονισμού (ΕΕ) 2019/1020. Η ΕΟΔΚ αποτελείται από εκπροσώπους των καθορισμένων αρχών εποπτείας της αγοράς και, κατά περίπτωση, εκπροσώπους των ενιαίων γραφείων σύνδεσης. Η ΕΟΔΚ ασχολείται επίσης με ειδικά θέματα που σχετίζονται με τις δραστηριότητες εποπτείας της αγοράς σε σχέση με τις υποχρεώσεις που επιβάλλονται στους υποστηρικτές λογισμικού ανοικτού κώδικα.

16. Οι αρχές εποπτείας της αγοράς παρακολουθούν τον τρόπο με τον οποίο οι κατασκευαστές έχουν εφαρμόσει τα κριτήρια που αναφέρονται στο άρθρο 13 παράγραφος 8 κατά τον καθορισμό της περιόδου υποστήριξης των προϊόντων τους με ψηφιακά στοιχεία.

Η ΕΟΔΚ δημοσιεύει σε δημόσια προσβάσιμη και φιλική προς τον χρήστη μορφή σχετικές στατιστικές για τις κατηγορίες προϊόντων με ψηφιακά στοιχεία, συμπεριλαμβανομένων των μέσων περιόδων υποστήριξής τους, όπως καθορίζεται από τον κατασκευαστή σύμφωνα με το άρθρο 13 παράγραφος 8, και παρέχει καθοδήγηση που περιλαμβάνει ενδεικτικές περιόδους υποστήριξης για κατηγορίες προϊόντων με ψηφιακά στοιχεία.

Όταν από τα δεδομένα προκύπτει ότι οι περίοδοι υποστήριξης για συγκεκριμένες κατηγορίες προϊόντων με ψηφιακά στοιχεία είναι ανεπαρκείς, η ΕΟΔΚ μπορεί να εκδίδει συστάσεις προς τις αρχές εποπτείας της αγοράς ώστε να εστιάσουν τις δραστηριότητές τους στις εν λόγω κατηγορίες προϊόντων με ψηφιακά στοιχεία.

Πρόσβαση σε δεδομένα και τεκμηρίωση

Όταν είναι αναγκαίο για την αξιολόγηση της συμμόρφωσης των προϊόντων με ψηφιακά στοιχεία και των διαδικασιών που εφαρμόζουν οι κατασκευαστές τους με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που καθορίζονται στο παράρτημα I, οι αρχές εποπτείας της αγοράς, κατόπιν αιτιολογημένου αιτήματος, έχουν πρόσβαση στα δεδομένα, σε γλώσσα εύκολα κατανοητή από αυτές, που απαιτούνται για την αξιολόγηση του σχεδιασμού, της ανάπτυξης, της παραγωγής και του χειρισμού των ευπαθειών των εν λόγω προϊόντων, συμπεριλαμβανομένης της σχετικής εσωτερικής τεκμηρίωσης του σχετικού οικονομικού φορέα.

Διαδικασία σε εθνικό επίπεδο σχετικά με προϊόντα με ψηφιακά στοιχεία που παρουσιάζουν σημαντικό κίνδυνο για την κυβερνοασφάλεια

1. Όταν η αρχή εποπτείας της αγοράς ενός κράτους μέλους έχει επαρκείς λόγους να θεωρεί ότι ένα προϊόν με ψηφιακά στοιχεία, συμπεριλαμβανομένου του χειρισμού των ευπαθειών του, παρουσιάζει σημαντικό κίνδυνο για την κυβερνοασφάλεια, διενεργεί αμελλητί, και αν είναι σκόπιμο σε συνεργασία με τη σχετική ΟΑΠΑΥ, αξιολόγηση του οικείου προϊόντος με ψηφιακά στοιχεία όσον αφορά τη συμμόρφωσή του με όλες τις απαιτήσεις που ορίζονται στον παρόντα κανονισμό. Οι σχετικοί οικονομικοί φορείς συνεργάζονται με την αρχή εποπτείας της αγοράς όπως απαιτείται.

Εάν, κατά την εν λόγω αξιολόγηση, η αρχή εποπτείας της αγοράς διαπιστώσει ότι το προϊόν με ψηφιακά στοιχεία δεν συμμορφώνεται προς τις απαιτήσεις που ορίζονται στον παρόντα κανονισμό, τότε ζητεί αμελλητί από τον σχετικό οικονομικό φορέα να λάβει όλα τα αναγκαία διορθωτικά μέτρα για να θέσει το προϊόν με ψηφιακά στοιχεία σε συμμόρφωση με τις απαιτήσεις ή να το αποσύρει από την αγορά ή να το ανακαλέσει εντός ευλόγου χρονικού διαστήματος, ανάλογου προς τη φύση του κινδύνου για την κυβερνοασφάλεια, το οποίο μπορεί να ορίσει η αρχή εποπτείας της αγοράς.

Η αρχή εποπτείας της αγοράς ενημερώνει σχετικά τον οικείο κοινοποιημένο οργανισμό. Το άρθρο 18 του κανονισμού (ΕΕ) 2019/1020 εφαρμόζεται στα διορθωτικά μέτρα.

2. Κατά τον προσδιορισμό της σημασίας ενός κινδύνου κυβερνοασφάλειας όπως αναφέρεται στην παράγραφο 1 του παρόντος άρθρου, οι αρχές εποπτείας της αγοράς λαμβάνουν επίσης υπόψη μη τεχνικούς παράγοντες κινδύνου, ιδίως εκείνους που καθορίζονται ως αποτέλεσμα συντονισμένων σε επίπεδο Ένωσης εκτιμήσεων κινδύνου για την ασφάλεια κρίσιμων εφοδιαστικών αλυσίδων, που διενεργούνται σύμφωνα με το άρθρο 22 της οδηγίας (ΕΕ) 2022/2555. Όταν η αρχή εποπτείας της αγοράς έχει επαρκείς λόγους να θεωρεί ότι ένα προϊόν με ψηφιακά στοιχεία παρουσιάζει σημαντικό κίνδυνο για την κυβερνοασφάλεια λόγω μη τεχνικών παραγόντων κινδύνου, ενημερώνει τις αρμόδιες αρχές που έχουν οριστεί ή συσταθεί δυνάμει του άρθρου 8 της οδηγίας (ΕΕ) 2022/2555 και συνεργάζεται με τις εν λόγω αρχές όπως απαιτείται.

3. Εάν η αρχή εποπτείας της αγοράς θεωρήσει ότι η μη συμμόρφωση δεν περιορίζεται στην εθνική της επικράτεια, ενημερώνει την Επιτροπή και τα άλλα κράτη μέλη για τα αποτελέσματα της αξιολόγησης και τα μέτρα που ζήτησε να λάβει ο οικονομικός φορέας.

4. Ο οικονομικός φορέας εξασφαλίζει ότι λαμβάνονται όλα τα ενδεικνυόμενα διορθωτικά μέτρα για όλα τα προϊόντα με ψηφιακά στοιχεία που έχει καταστήσει διαθέσιμα στην αγορά σε όλη την Ένωση.

5. Εάν ο οικονομικός φορέας δεν λάβει τα αναγκαία διορθωτικά μέτρα εντός του χρονικού διαστήματος που αναφέρεται στο δεύτερο εδάφιο της παραγράφου 1, η αρχή εποπτείας της αγοράς λαμβάνει όλα τα κατάλληλα προσωρινά μέτρα για να απαγορεύσει ή να περιορίσει τη διαθεσιμότητα του εν λόγω προϊόντος με ψηφιακά στοιχεία στην οικεία εθνική αγορά, να αποσύρει το προϊόν από την αγορά ή να το ανακαλέσει.

Η εν λόγω αρχή ενημερώνει αμελλητί την Επιτροπή και τα άλλα κράτη μέλη για τα μέτρα αυτά.

6. Οι αναφερόμενες στην παράγραφο 5 πληροφορίες περιλαμβάνουν όλες τις διαθέσιμες λεπτομέρειες, ιδίως τα στοιχεία που απαιτούνται για την ταυτοποίηση του μη συμμορφούμενου προϊόντος με ψηφιακά στοιχεία, την καταγωγή του εν λόγω προϊόντος με ψηφιακά στοιχεία, τη φύση της τυχόν μη συμμόρφωσης και του σχετικού κινδύνου, τη φύση και τη διάρκεια των εθνικών μέτρων που ελήφθησαν καθώς και τα επιχειρήματα που προβάλλει ο σχετικός οικονομικός φορέας. Ειδικότερα, η αρχή εποπτείας της αγοράς αναφέρει αν η μη συμμόρφωση οφείλεται σε έναν ή περισσότερους από τους παρακάτω λόγους:

7. Οι αρχές εποπτείας της αγοράς των κρατών μελών πλην της αρχής εποπτείας της αγοράς του κράτους μέλους που κίνησε τη διαδικασία ενημερώνουν αμέσως την Επιτροπή και τα άλλα κράτη μέλη για τα μέτρα που έλαβαν και παρέχουν τυχόν άλλες πρόσθετες πληροφορίες που διαθέτουν όσον αφορά τη μη συμμόρφωση του σχετικού προϊόντος με ψηφιακά στοιχεία και, σε περίπτωση διαφωνίας με το κοινοποιηθέν εθνικό μέτρο, τις τυχόν αντιρρήσεις τους.

8. Εάν εντός τριών μηνών από την παραλαβή της κοινοποίησης που αναφέρεται στην παράγραφο 5 του παρόντος άρθρου, δεν διατυπωθεί αντίρρηση από κράτος μέλος ή από την Επιτροπή σε σχέση με προσωρινό μέτρο που έχει λάβει κράτος μέλος, τότε το μέτρο θεωρείται δικαιολογημένο. Αυτό ισχύει με την επιφύλαξη των διαδικαστικών δικαιωμάτων του ενδιαφερόμενου οικονομικού φορέα σύμφωνα με το άρθρο 18 του κανονισμού (ΕΕ) 2019/1020.

9. Οι αρχές εποπτείας της αγοράς όλων των κρατών μελών εξασφαλίζουν ότι λαμβάνονται αμελλητί τα κατάλληλα περιοριστικά μέτρα όσον αφορά το σχετικό προϊόν με ψηφιακά στοιχεία, όπως η άμεση απόσυρση του προϊόντος αυτού από την αγορά τους.

Ενωσιακή διαδικασία διασφάλισης

1. Αν, εντός τριών μηνών από την παραλαβή της κοινοποίησης του άρθρου 54 παράγραφος 5, ένα κράτος μέλος διατυπώσει αντιρρήσεις για μέτρο που έλαβε άλλο κράτος μέλος ή αν η Επιτροπή κρίνει ότι το μέτρο αντιβαίνει στο δίκαιο της Ένωσης, η Επιτροπή διαβουλεύεται αμελλητί με το οικείο κράτος μέλος και τον οικονομικό φορέα ή τους οικονομικούς φορείς και διενεργεί αξιολόγηση του εθνικού μέτρου. Βάσει των αποτελεσμάτων αυτής της αξιολόγησης, εντός εννέα μηνών από την κοινοποίηση που αναφέρεται στο άρθρο 54 παράγραφος 5 η Επιτροπή αποφασίζει αν το εθνικό μέτρο είναι δικαιολογημένο και κοινοποιεί την απόφαση αυτή στο οικείο κράτος μέλος.

2. Εάν το εθνικό μέτρο θεωρηθεί δικαιολογημένο, όλα τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για να εξασφαλίσουν την απόσυρση του μη συμμορφούμενου προϊόντος με ψηφιακά στοιχεία από τις αγορές τους και ενημερώνουν την Επιτροπή σχετικά. Εάν το εθνικό μέτρο δεν θεωρηθεί δικαιολογημένο, τότε το κράτος μέλος ανακαλεί το μέτρο.

3. Αν το εθνικό μέτρο θεωρηθεί δικαιολογημένο και η μη συμμόρφωση του προϊόντος με ψηφιακά στοιχεία αποδοθεί σε ελλείψεις των εναρμονισμένων προτύπων, η Επιτροπή εφαρμόζει τη διαδικασία που προβλέπεται στο άρθρο 11 του κανονισμού (ΕΕ) αριθ. 1025/2012.

4. Αν το εθνικό μέτρο θεωρηθεί δικαιολογημένο και η μη συμμόρφωση του προϊόντος με ψηφιακά στοιχεία αποδοθεί σε ελλείψεις του ευρωπαϊκού καθεστώτος πιστοποίησης της κυβερνοασφάλειας, όπως αναφέρεται στο άρθρο 27, η Επιτροπή εξετάζει αν θα τροποποιήσει ή θα καταργήσει οποιαδήποτε κατ’ εξουσιοδότηση πράξη που εκδίδεται δυνάμει του άρθρου 27 παράγραφος 9, η οποία προσδιορίζει το τεκμήριο συμμόρφωσης όσον αφορά το εν λόγω καθεστώς πιστοποίησης.

5. Αν το εθνικό μέτρο θεωρηθεί δικαιολογημένο και η μη συμμόρφωση του προϊόντος με ψηφιακά στοιχεία αποδοθεί σε ελλείψεις των κοινών προδιαγραφών, όπως αναφέρεται στο άρθρο 27, η Επιτροπή εξετάζει αν θα τροποποιήσει ή θα καταργήσει οποιαδήποτε εκτελεστική πράξη έχει εκδοθεί δυνάμει του άρθρου 27 παράγραφος 2 για τον καθορισμό των εν λόγω κοινών προδιαγραφών.

Διαδικασία σε ενωσιακό επίπεδο σχετικά με προϊόντα με ψηφιακά στοιχεία που παρουσιάζουν σημαντικό κίνδυνο για την κυβερνοασφάλεια

1. Εάν η Επιτροπή έχει επαρκείς λόγους να πιστεύει, μεταξύ άλλων με βάση τις πληροφορίες που παρέχει ο ENISA, ότι ένα προϊόν με ψηφιακά στοιχεία που παρουσιάζει σημαντικό κίνδυνο για την κυβερνοασφάλεια δεν συμμορφώνεται με τις απαιτήσεις που ορίζονται στον παρόντα κανονισμό, ενημερώνει τις αρμόδιες αρχές εποπτείας της αγοράς. Όταν οι αρχές εποπτείας της αγοράς διενεργούν αξιολόγηση του εν λόγω προϊόντος με ψηφιακά στοιχεία που ενδέχεται να παρουσιάζει σημαντικό κίνδυνο κυβερνοασφάλειας όσον αφορά τη συμμόρφωσή του με τις απαιτήσεις που ορίζονται στον παρόντα κανονισμό, εφαρμόζονται οι διαδικασίες που αναφέρονται στα άρθρα 54 και 55.

2. Όταν η Επιτροπή έχει επαρκείς λόγους να θεωρεί ότι ένα προϊόν με ψηφιακά στοιχεία παρουσιάζει σημαντικό κίνδυνο για την κυβερνοασφάλεια λόγω μη τεχνικών παραγόντων κινδύνου, ενημερώνει τις αρμόδιες αρχές εποπτείας της αγοράς και, κατά περίπτωση, τις αρμόδιες αρχές που έχουν οριστεί ή συσταθεί δυνάμει του άρθρου 8 της οδηγίας (ΕΕ) 2022/2555 και συνεργάζεται με τις εν λόγω αρχές όπως απαιτείται. Η Επιτροπή εξετάζει επίσης τη συνάφεια των εντοπισθέντων κινδύνων για το εν λόγω προϊόν με ψηφιακά στοιχεία υπό το πρίσμα των καθηκόντων της όσον αφορά τις συντονισμένες σε επίπεδο Ένωσης εκτιμήσεις κινδύνου για την ασφάλεια κρίσιμων αλυσίδων εφοδιασμού που προβλέπονται στο άρθρο 22 της οδηγίας (ΕΕ) 2022/2555, και διαβουλεύεται, κατά περίπτωση, με την ομάδα συνεργασίας που έχει συσταθεί σύμφωνα με το άρθρο 14 της οδηγίας (ΕΕ) 2022/2555 και τον ENISA.

3. Σε περιστάσεις που δικαιολογούν άμεση παρέμβαση για τη διατήρηση της ορθής λειτουργίας της εσωτερικής αγοράς και όταν η Επιτροπή έχει επαρκείς λόγους να θεωρεί ότι το προϊόν με ψηφιακά στοιχεία που αναφέρεται στην παράγραφο 1 εξακολουθεί να μη συμμορφώνεται με τις απαιτήσεις του παρόντος κανονισμού και δεν έχουν ληφθεί αποτελεσματικά μέτρα από τις αρμόδιες αρχές εποπτείας της αγοράς, η Επιτροπή διενεργεί αξιολόγηση της συμμόρφωσης και μπορεί να ζητήσει από τον ENISA να παράσχει ανάλυση προς στήριξη της εν λόγω αξιολόγησης. Η Επιτροπή ενημερώνει σχετικά τις αρμόδιες αρχές εποπτείας της αγοράς. Οι σχετικοί οικονομικοί φορείς συνεργάζονται με τον ENISA όπως απαιτείται.

4. Με βάση την αξιολόγηση που αναφέρεται στην παράγραφο 3, η Επιτροπή μπορεί να κρίνει ότι απαιτείται διορθωτικό ή περιοριστικό μέτρο σε επίπεδο Ένωσης. Για τον σκοπό αυτό, προβαίνει αμελλητί σε διαβουλεύσεις με τα ενδιαφερόμενα κράτη μέλη και τον σχετικό οικονομικό φορέα ή τους φορείς.

5. Με βάση τη διαβούλευση που αναφέρεται στην παράγραφο 4 του παρόντος άρθρου, η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις για να προβλέπει τη λήψη διορθωτικών ή περιοριστικών μέτρων σε επίπεδο Ένωσης, συμπεριλαμβανομένης της απαίτησης να αποσυρθούν από την αγορά ή να ανακληθούν τα εν λόγω προϊόντα με ψηφιακά στοιχεία, εντός εύλογου χρονικού διαστήματος, ανάλογου προς τη φύση του κινδύνου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 62 παράγραφος 2.

6. Η Επιτροπή ανακοινώνει αμέσως τις εκτελεστικές πράξεις που αναφέρονται στην παράγραφο 5 στον σχετικό οικονομικό φορέα ή τους φορείς. Τα κράτη μέλη εφαρμόζουν αμελλητί τις εν λόγω εκτελεστικές πράξεις και ενημερώνουν την Επιτροπή σχετικά.

7. Οι παράγραφοι 3 έως 6 εφαρμόζονται καθ’ όλη τη διάρκεια της εξαιρετικής περίπτωσης που αιτιολογεί την παρέμβαση της Επιτροπής, εφόσον δεν εξασφαλίζεται η συμμόρφωση του οικείου προϊόντος με ψηφιακά στοιχεία με τον παρόντα κανονισμό.

Συμμορφούμενα προϊόντα με ψηφιακά στοιχεία που παρουσιάζουν σημαντικό κίνδυνο για την κυβερνοασφάλεια

1. Η αρχή εποπτείας της αγοράς ενός κράτους μέλους απαιτεί από έναν οικονομικό φορέα να λάβει όλα τα κατάλληλα μέτρα όταν, αφού διενεργήσει αξιολόγηση σύμφωνα με το άρθρο 54, διαπιστώσει ότι ένα προϊόν με ψηφιακά στοιχεία και οι διαδικασίες που εφαρμόζει ο κατασκευαστής, μολονότι συμμορφώνονται με τον παρόντα κανονισμό, παρουσιάζουν σημαντικό κίνδυνο για την κυβερνοασφάλεια, καθώς και κίνδυνο για:

Τα μέτρα που αναφέρονται στο πρώτο εδάφιο μπορούν να περιλαμβάνουν μέτρα που διασφαλίζουν ότι το σχετικό προϊόν με ψηφιακά στοιχεία και οι διαδικασίες που εφαρμόζει ο κατασκευαστής δεν παρουσιάζουν πλέον τους σχετικούς κινδύνους όταν αυτό διατίθεται στην αγορά, την απόσυρση από την αγορά του εν λόγω προϊόντος με ψηφιακά στοιχεία ή την ανάκλησή του, και είναι ανάλογα προς τη φύση των εν λόγω κινδύνων.

2. Ο κατασκευαστής ή άλλοι σχετικοί οικονομικοί φορείς εκμετάλλευσης διασφαλίζουν ότι λαμβάνονται διορθωτικά μέτρα όσον αφορά όλα τα σχετικά προϊόντα με ψηφιακά στοιχεία που έχουν καταστήσει διαθέσιμα στην αγορά σε ολόκληρη την Ένωση εντός του χρονοδιαγράμματος που προβλέπεται από την αρχή εποπτείας της αγοράς του κράτους μέλους που αναφέρεται στην παράγραφο 1.

3. Το κράτος μέλος ενημερώνει αμέσως την Επιτροπή και τα άλλα κράτη μέλη για τα μέτρα που λαμβάνονται σύμφωνα με την παράγραφο 1. Οι πληροφορίες αυτές περιλαμβάνουν όλα τα διαθέσιμα στοιχεία, ιδίως τα στοιχεία που είναι αναγκαία για την ταυτοποίηση των προϊόντων με ψηφιακά στοιχεία, την καταγωγή και την αλυσίδα εφοδιασμού των εν λόγω προϊόντων, τη φύση του σχετικού κινδύνου, καθώς και τη φύση και τη διάρκεια των εθνικών μέτρων που ελήφθησαν.

4. Η Επιτροπή διαβουλεύεται αμελλητί με τα κράτη μέλη και τον σχετικό οικονομικό φορέα και διενεργεί αξιολόγηση των εθνικών μέτρων που ελήφθησαν. Βάσει των αποτελεσμάτων αυτής της αξιολόγησης, η Επιτροπή αποφασίζει αν το μέτρο είναι δικαιολογημένο και, εφόσον απαιτείται, προτείνει τα δέοντα μέτρα.

5. Η Επιτροπή κοινοποιεί στα κράτη μέλη την απόφαση που αναφέρεται στην παράγραφο 4.

6. Εάν η Επιτροπή έχει επαρκείς λόγους να πιστεύει, μεταξύ άλλων βασιζόμενη σε πληροφορίες που παρέχει ο ENISA, ότι ένα προϊόν με ψηφιακά στοιχεία, παρότι συμμορφώνεται με τον παρόντα κανονισμό, παρουσιάζει τους κινδύνους που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, ενημερώνει τη σχετική ή τις σχετικές αρχές εποπτείας της αγοράς και μπορεί να τους ζητήσει να διενεργήσουν αξιολόγηση και να ακολουθήσουν τις διαδικασίες που αναφέρονται στο άρθρο 54 και στις παραγράφους 1, 2 και 3 του παρόντος άρθρου.

7. Σε περιστάσεις που δικαιολογούν άμεση παρέμβαση για τη διατήρηση της ορθής λειτουργίας της εσωτερικής αγοράς και όταν η Επιτροπή έχει επαρκείς λόγους να θεωρεί ότι το προϊόν με ψηφιακά στοιχεία που αναφέρεται στην παράγραφο 6 εξακολουθεί να παρουσιάζει τους κινδύνους που αναφέρονται στην παράγραφο 1, και δεν έχουν ληφθεί αποτελεσματικά μέτρα από τις αρμόδιες εθνικές αρχές εποπτείας της αγοράς, η Επιτροπή διενεργεί αξιολόγηση των κινδύνων που παρουσιάζει το εν λόγω προϊόν με ψηφιακά στοιχεία και μπορεί να ζητήσει από τον ENISA να παράσχει ανάλυση προς στήριξη της εν λόγω αξιολόγησης, και ενημερώνει σχετικά τις αρμόδιες αρχές εποπτείας της αγοράς. Οι σχετικοί οικονομικοί φορείς συνεργάζονται με τον ENISA όπως απαιτείται.

8. Με βάση την αξιολόγηση που αναφέρεται στην παράγραφο 7, η Επιτροπή μπορεί να κρίνει ότι απαιτείται διορθωτικό ή περιοριστικό μέτρο σε επίπεδο Ένωσης. Για τον σκοπό αυτό, προβαίνει αμελλητί σε διαβουλεύσεις με τα ενδιαφερόμενα κράτη μέλη και τον σχετικό οικονομικό φορέα ή τους φορείς.

9. Με βάση τη διαβούλευση που αναφέρεται στην παράγραφο 8 του παρόντος άρθρου, η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις για να αποφασίζει σχετικά με τη λήψη διορθωτικών ή περιοριστικών μέτρων σε επίπεδο Ένωσης, συμπεριλαμβανομένης της απαίτησης να αποσυρθούν από την αγορά ή να ανακληθούν τα εν λόγω προϊόντα με ψηφιακά στοιχεία, εντός εύλογου χρονικού διαστήματος, ανάλογου προς τη φύση του κινδύνου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 62 παράγραφος 2.

10. Η Επιτροπή ανακοινώνει αμέσως τις εκτελεστικές πράξεις που αναφέρονται στην παράγραφο 9 στον σχετικό οικονομικό φορέα ή τους φορείς. Τα κράτη μέλη εφαρμόζουν αμελλητί τις εν λόγω εκτελεστικές πράξεις και ενημερώνουν την Επιτροπή σχετικά.

11. Οι παράγραφοι 6 έως 10 εφαρμόζονται καθ’ όλη τη διάρκεια της εξαιρετικής περίπτωσης που αιτιολογεί την παρέμβαση της Επιτροπής και για όσο διάστημα το οικείο προϊόν με ψηφιακά στοιχεία εξακολουθεί να παρουσιάζει τους κινδύνους που αναφέρονται στην παράγραφο 1.

Τυπική μη συμμόρφωση

1. Όταν η αρχή εποπτείας της αγοράς κράτους μέλους προβεί σε μία από τις κατωτέρω διαπιστώσεις, απαιτεί από τον οικείο κατασκευαστή να θέσει τέλος στη μη συμμόρφωση:

2. Εάν η μη συμμόρφωση της παραγράφου 1 εξακολουθήσει να υφίσταται, το οικείο κράτος μέλος λαμβάνει όλα τα δέοντα μέτρα για να περιορίσει ή να απαγορεύσει τη διαθεσιμότητα του προϊόντος με ψηφιακά στοιχεία στην αγορά και να εξασφαλίσει ότι αυτό ανακαλείται ή αποσύρεται από την αγορά.

Κοινές δραστηριότητες των αρχών εποπτείας της αγοράς

1. Οι αρχές εποπτείας της αγοράς μπορούν να συμφωνήσουν με άλλες αρμόδιες αρχές να διεξαγάγουν κοινές δραστηριότητες που αποσκοπούν στη διασφάλιση της κυβερνοασφάλειας και της προστασίας των καταναλωτών όσον αφορά συγκεκριμένα προϊόντα με ψηφιακά στοιχεία που τίθενται σε κυκλοφορία στην αγορά ή διατίθενται στην αγορά, ιδίως προϊόντα με ψηφιακά στοιχεία για τα οποία διαπιστώνεται συχνά ότι ενέχουν κινδύνους για την κυβερνοασφάλεια.

2. Η Επιτροπή ή ο ENISA προτείνουν κοινές δραστηριότητες για τον έλεγχο της συμμόρφωσης με τον παρόντα κανονισμό, οι οποίες θα διεξάγονται από τις αρχές εποπτείας της αγοράς βάσει ενδείξεων ή πληροφοριών για πιθανή μη συμμόρφωση προϊόντων με ψηφιακά στοιχεία που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού σε διάφορα κράτη μέλη, προς τις απαιτήσεις που καθορίζονται στον παρόντα κανονισμό.

3. Οι αρχές εποπτείας της αγοράς και, κατά περίπτωση, η Επιτροπή εξασφαλίζουν ότι η συμφωνία για τη διεξαγωγή κοινών δραστηριοτήτων δεν προκαλεί αθέμιτο ανταγωνισμό μεταξύ οικονομικών φορέων, και δεν επηρεάζει αρνητικά την αντικειμενικότητα, την ανεξαρτησία και την αμεροληψία των μερών της συμφωνίας.

4. Μια αρχή εποπτείας της αγοράς μπορεί να χρησιμοποιήσει κάθε πληροφορία που λαμβάνει ως αποτέλεσμα των κοινών δραστηριοτήτων που εκτελούνται στο πλαίσιο οποιασδήποτε έρευνας την οποία αυτή διεξάγει.

5. Η οικεία αρχή εποπτείας της αγοράς και, κατά περίπτωση, η Επιτροπή, δημοσιοποιούν τη συμφωνία σχετικά με τις κοινές δραστηριότητες, συμπεριλαμβανομένων των ονομάτων των εμπλεκομένων μερών.

Σαρώσεις

1. Οι αρχές εποπτείας της αγοράς διενεργούν ταυτόχρονες, συντονισμένες δράσεις ελέγχου (σαρώσεις) συγκεκριμένων προϊόντων με ψηφιακά στοιχεία ή κατηγοριών αυτών, προκειμένου να ελέγξουν τη συμμόρφωσή τους ή να εντοπίσουν παραβάσεις του παρόντος κανονισμού. Οι σαρώσεις αυτές μπορούν να περιλαμβάνουν επιθεωρήσεις προϊόντων με ψηφιακά στοιχεία που αποκτήθηκαν με καλυμμένη ταυτότητα.

2. Εκτός εάν συμφωνηθεί διαφορετικά από τις εμπλεκόμενες αρχές εποπτείας της αγοράς, τις σαρώσεις συντονίζει η Επιτροπή. Ο συντονιστής της σάρωσης, όταν αυτό αρμόζει, δημοσιοποιεί τα συγκεντρωτικά αποτελέσματα.

3. Όταν, κατά την εκτέλεση των καθηκόντων του, μεταξύ άλλων με βάση τις κοινοποιήσεις που λαμβάνει σύμφωνα με το άρθρο 14 παράγραφοι 1 και 3, ο ENISA εντοπίζει κατηγορίες προϊόντων με ψηφιακά στοιχεία για τις οποίες μπορούν να οργανωθούν σαρώσεις, υποβάλλει πρόταση για σάρωση στον συντονιστή που αναφέρεται στην παράγραφο 2 του παρόντος άρθρου, προς εξέταση από τις αρχές εποπτείας της αγοράς.

4. Όταν διενεργούν σάρωση, οι εμπλεκόμενες αρχές εποπτείας της αγοράς δύνανται να ασκούν τις εξουσίες έρευνας που καθορίζονται στα άρθρα 52 έως 58, καθώς και οποιεσδήποτε άλλες εξουσίες που τους αναθέτει το εθνικό δίκαιο.

5. Οι αρχές εποπτείας της αγοράς αρχές μπορούν να καλούν υπαλλήλους της Επιτροπής, και λοιπό βοηθητικό προσωπικό που έχει εξουσιοδοτηθεί από την Επιτροπή, να συμμετέχουν σε σαρώσεις.

Άσκηση της εξουσιοδότησης

1. Ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις υπό τους όρους του παρόντος άρθρου.

2. Η εξουσία έκδοσης κατ’ εξουσιοδότηση πράξεων που προβλέπεται στο άρθρο 2 παράγραφος 5 δεύτερο εδάφιο, στο άρθρο 7 παράγραφος 3, στο άρθρο 8 παράγραφοι 1 και 2, στο άρθρο 13 παράγραφος 8 τέταρτο εδάφιο, στο άρθρο 14 παράγραφος 9, στο άρθρο 25, στο άρθρο 27 παράγραφος 9, στο άρθρο 28 παράγραφος 5 και στο άρθρο 31 παράγραφος 5 ανατίθεται στην Επιτροπή για πέντε έτη από τις 10 Δεκεμβρίου 2024. Η Επιτροπή υποβάλλει έκθεση σχετικά με τις εξουσίες που της έχουν ανατεθεί το αργότερο εννέα μήνες πριν από τη λήξη της περιόδου των πέντε ετών. Η εξουσιοδότηση ανανεώνεται σιωπηρά για περιόδους ίδιας διάρκειας, εκτός αν το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο προβάλλει αντιρρήσεις το αργότερο τρεις μήνες πριν από τη λήξη της κάθε περιόδου.

3. Η εξουσιοδότηση που προβλέπεται στο άρθρο 2 παράγραφος 5 δεύτερο εδάφιο, στο άρθρο 7 παράγραφος 3, στο άρθρο 8 παράγραφοι 1 και 2, στο άρθρο 13 παράγραφος 8 τέταρτο εδάφιο, στο άρθρο 14 παράγραφος 9, στο άρθρο 25, στο άρθρο 27 παράγραφος 9, στο άρθρο 28 παράγραφος 5 και στο άρθρο 31 παράγραφος 5 μπορεί να ανακληθεί ανά πάσα στιγμή από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Αρχίζει να ισχύει την επομένη της δημοσίευσης της απόφασης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που ορίζεται σε αυτή. Δεν θίγει το κύρος των κατ’ εξουσιοδότηση πράξεων που ισχύουν ήδη.

4. Πριν από την έκδοση μιας κατ’ εξουσιοδότηση πράξης, η Επιτροπή διεξάγει διαβουλεύσεις με εμπειρογνώμονες που ορίζουν τα κράτη μέλη σύμφωνα με τις αρχές της διοργανικής συμφωνίας της 13ης Απριλίου 2016 για τη βελτίωση του νομοθετικού έργου.

5. Μόλις εκδώσει μια κατ’ εξουσιοδότηση πράξη, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

6. Κάθε κατ’ εξουσιοδότηση πράξη που εκδίδεται σύμφωνα με το άρθρο 2 παράγραφος 5 δεύτερο εδάφιο, το άρθρο 7 παράγραφος 3, το άρθρο 8 παράγραφος 1 ή 2, το άρθρο 13 παράγραφος 8 τέταρτο εδάφιο, το άρθρο 14 παράγραφος 9, το άρθρο 25, το άρθρο 27 παράγραφος 9, το άρθρο 28 παράγραφος 5 ή το άρθρο 31 παράγραφος 5 αρχίζει να ισχύει μόνον εφόσον δεν διατυπωθούν αντιρρήσεις είτε από το Ευρωπαϊκό Κοινοβούλιο είτε από το Συμβούλιο εντός προθεσμίας δύο μηνών από την κοινοποίηση της πράξης στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ή εάν, πριν λήξει αυτή η προθεσμία, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν πρόκειται να προβάλουν αντίρρηση. Η προθεσμία αυτή παρατείνεται κατά δύο μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου.

Διαδικασία επιτροπής

1. Η Επιτροπή επικουρείται από επιτροπή. Η εν λόγω επιτροπή αποτελεί επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2. Όταν γίνεται παραπομπή στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.

3. Αν η γνώμη της επιτροπής πρέπει να ληφθεί με γραπτή διαδικασία, η εν λόγω διαδικασία περατώνεται χωρίς αποτέλεσμα εάν, εντός της προθεσμίας για την έκδοση γνώμης, το αποφασίσει ο πρόεδρος της επιτροπής ή το ζητήσει μέλος της επιτροπής.

Εμπιστευτικότητα

1. Όλα τα μέρη που συμμετέχουν στην εφαρμογή του παρόντος κανονισμού τηρούν την εμπιστευτικότητα των πληροφοριών και των δεδομένων που λαμβάνονται κατά την εκτέλεση των καθηκόντων και των δραστηριοτήτων τους κατά τρόπο ώστε να προστατεύονται, ιδίως:

2. Με την επιφύλαξη της παραγράφου 1, οι πληροφορίες που ανταλλάσσονται σε εμπιστευτική βάση μεταξύ των αρχών εποπτείας της αγοράς, αφενός, και μεταξύ των αρχών εποπτείας της αγοράς και της Επιτροπής, αφετέρου, δεν δημοσιοποιούνται χωρίς την προηγούμενη σύμφωνη γνώμη της αρχής εποπτείας της αγοράς από την οποία προέρχονται.

3. Οι παράγραφοι 1 και 2 δεν θίγουν τα δικαιώματα και τις υποχρεώσεις της Επιτροπής, των κρατών μελών και των κοινοποιημένων οργανισμών για την ανταλλαγή πληροφοριών και την κοινοποίηση των προειδοποιήσεων, ούτε τις υποχρεώσεις των ενδιαφερόμενων προσώπων να παρέχουν πληροφορίες βάσει του ποινικού δικαίου των κρατών μελών.

4. Η Επιτροπή και τα κράτη μέλη μπορούν να ανταλλάσσουν, εφόσον είναι αναγκαίο, ευαίσθητες πληροφορίες με τις αρμόδιες αρχές τρίτων χωρών με τις οποίες έχουν συνάψει διμερείς ή πολυμερείς διακανονισμούς για την τήρηση της εμπιστευτικότητας οι οποίοι εγγυώνται επαρκές επίπεδο προστασίας.

Κυρώσεις

1. Τα κράτη μέλη καθορίζουν τους κανόνες για τις κυρώσεις που επιβάλλονται σε περίπτωση παραβιάσεων των διατάξεων του παρόντος κανονισμού και λαμβάνουν τα αναγκαία μέτρα για να διασφαλίσουν την εφαρμογή τους. Οι προβλεπόμενες κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές. Τα κράτη μέλη κοινοποιούν αμελλητί τους εν λόγω κανόνες και τα εν λόγω μέτρα στην Επιτροπή και την ενημερώνουν αμελλητί σχετικά με κάθε μεταγενέστερη τροποποίησή τους.

2. Η μη συμμόρφωση με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που ορίζονται στο παράρτημα I και τις υποχρεώσεις που ορίζονται στα άρθρα 13 και 14 επισύρει διοικητικά πρόστιμα ύψους έως 15 000 000 EUR ή, εάν ο παραβάτης είναι επιχείρηση, έως το 2,5 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της για το προηγούμενο οικονομικό έτος, ανάλογα με το ποιο ποσό είναι υψηλότερο.

3. Η μη συμμόρφωση με τις υποχρεώσεις που ορίζονται στα άρθρα 18 έως 23, στο άρθρο 28, στο άρθρο 30 παράγραφοι 1 έως 4, στο άρθρο 31 παράγραφοι 1 έως 4, στο άρθρο 32 παράγραφοι 1, 2 και 3, στο άρθρο 33 παράγραφος 5, και στα άρθρα 39, 41, 47, 49 και 53 επισύρει διοικητικά πρόστιμα ύψους έως 10 000 000 EUR ή, εάν ο παραβάτης είναι επιχείρηση, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της για το προηγούμενο οικονομικό έτος, ανάλογα με το ποιο ποσό είναι υψηλότερο.

4. Η παροχή ανακριβών, ελλιπών ή παραπλανητικών πληροφοριών σε κοινοποιημένους οργανισμούς και αρχές εποπτείας της αγοράς κατά την απάντηση σε αίτημα επισύρει διοικητικά πρόστιμα ύψους έως 5 000 000 EUR ή, εάν ο παραβάτης είναι επιχείρηση, έως το 1 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της για το προηγούμενο οικονομικό έτος, ανάλογα με το ποιο ποσό είναι υψηλότερο.

5. Κατά τη λήψη απόφασης σχετικά με το ύψος του διοικητικού προστίμου σε κάθε μεμονωμένη περίπτωση, λαμβάνονται υπόψη όλες οι σχετικές περιστάσεις της συγκεκριμένης κατάστασης και λαμβάνονται δεόντως υπόψη τα ακόλουθα:

6. Οι αρχές εποπτείας της αγοράς που επιβάλλουν διοικητικά πρόστιμα κοινοποιούν την εν λόγω επιβολή προστίμων στις αρχές εποπτείας της αγοράς άλλων κρατών μελών μέσω του συστήματος πληροφοριών και επικοινωνίας που αναφέρεται στο άρθρο 34 του κανονισμού (ΕΕ) 2019/1020.

7. Κάθε κράτος μέλος καθορίζει τους κανόνες για το αν και σε ποιο βαθμό μπορούν να επιβάλλονται διοικητικά πρόστιμα σε δημόσιες αρχές και δημόσιους φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος.

8. Ανάλογα με το νομικό σύστημα των κρατών μελών, οι κανόνες για τα διοικητικά πρόστιμα μπορούν να εφαρμόζονται κατά τρόπο ώστε τα πρόστιμα να επιβάλλονται από τα αρμόδια εθνικά δικαστήρια ή από άλλους φορείς, σύμφωνα με τις αρμοδιότητες που καθορίζονται σε εθνικό επίπεδο στα εν λόγω κράτη μέλη. Η εφαρμογή των κανόνων αυτών στα εν λόγω κράτη μέλη έχει ισοδύναμο αποτέλεσμα.

9. Διοικητικά πρόστιμα μπορούν να επιβάλλονται, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιπλέον άλλων διορθωτικών ή περιοριστικών μέτρων που εφαρμόζονται από τις αρχές εποπτείας της αγοράς για την ίδια παράβαση.

10. Κατά παρέκκλιση από τις παραγράφους 3 έως 9, τα διοικητικά πρόστιμα που αναφέρονται στις εν λόγω παραγράφους δεν εφαρμόζονται στα ακόλουθα:

Αντιπροσωπευτικές αγωγές

Η οδηγία (ΕΕ) 2020/1828 εφαρμόζεται στις αντιπροσωπευτικές αγωγές που ασκούνται κατά οικονομικών φορέων όσον αφορά παραβιάσεις διατάξεων του παρόντος κανονισμού που θίγουν ή δύνανται να θίξουν τα συλλογικά συμφέροντα των καταναλωτών.

Τροποποίηση του κανονισμού (ΕΕ) 2019/1020

Στο παράρτημα I του κανονισμού (ΕΕ) 2019/1020, προστίθεται το ακόλουθο σημείο:

«72.

Κανονισμός (ΕΕ) 2024/2847 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*1).

Τροποποίηση της οδηγίας (ΕΕ) 2020/1828

Στο παράρτημα I της οδηγίας (ΕΕ) 2020/1828, προστίθεται το ακόλουθο σημείο:

«69.

Κανονισμός (ΕΕ) 2024/2847 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*2).

Τροποποίηση του κανονισμού (ΕΕ) αριθ. 168/2013

Στον πίνακα του μέρους Γ1 του παραρτήματος II του κανονισμού (ΕΕ) αριθ. 168/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (38), προστίθεται η ακόλουθη εγγραφή:

«

»

Μεταβατικές διατάξεις

1. Τα πιστοποιητικά εξέτασης τύπου ΕΕ και οι αποφάσεις έγκρισης που εκδίδονται σχετικά με τις απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία που υπόκεινται σε άλλη ενωσιακή νομοθεσία εναρμόνισης πέραν του παρόντος κανονισμού παραμένουν σε ισχύ έως τις 11 Ιουνίου 2028, εκτός εάν λήγουν πριν από την εν λόγω ημερομηνία, ή εκτός εάν ορίζεται διαφορετικά στην εν λόγω άλλη ενωσιακή νομοθεσία εναρμόνισης, οπότε εξακολουθούν να ισχύουν όπως αναφέρεται στην εν λόγω νομοθεσία.

2. Τα προϊόντα με ψηφιακά στοιχεία που έχουν τεθεί σε κυκλοφορία στην αγορά πριν από τις 11 Δεκεμβρίου 2027, υπόκεινται στις απαιτήσεις του παρόντος κανονισμού μόνον εάν, από τη συγκεκριμένη ημερομηνία, τα εν λόγω προϊόντα υπόκεινται σε ουσιαστικές τροποποιήσεις.

3. Κατά παρέκκλιση από την παράγραφο 2 του παρόντος άρθρου, οι υποχρεώσεις που ορίζονται στο άρθρο 14 εφαρμόζονται σε όλα τα προϊόντα με ψηφιακά στοιχεία που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού και έχουν τεθεί σε κυκλοφορία στην αγορά πριν από τις 11 Δεκεμβρίου 2027.

Αξιολόγηση και επανεξέταση

1. Έως τις 11 Δεκεμβρίου 2030 και στη συνέχεια ανά τετραετία, η Επιτροπή υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο έκθεση σχετικά με την αξιολόγηση και την επανεξέταση του παρόντος κανονισμού. Οι εκθέσεις αυτές δημοσιοποιούνται.

2. Έως τις 11 Σεπτεμβρίου 2028, η Επιτροπή, κατόπιν διαβούλευσης με τον ENISA και το δίκτυο ΟΑΠΑΥ, υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, αξιολογώντας την αποτελεσματικότητα της ενιαίας πλατφόρμας αναφοράς που ορίζεται στο άρθρο 16, καθώς και τον αντίκτυπο της επίκλησης λόγων κυβερνοασφάλειας που αναφέρεται στο άρθρο 16 παράγραφος 2 από τις ΟΑΠΑΥ στις οποίες έχουν ανατεθεί καθήκοντα συντονισμού, στην αποτελεσματικότητα της ενιαίας πλατφόρμας αναφοράς όσον αφορά την έγκαιρη διάδοση των λαμβανόμενων κοινοποιήσεων σε άλλες σχετικές ΟΑΠΑΥ.

Έναρξη ισχύος και εφαρμογή

1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2. Ο παρών κανονισμός εφαρμόζεται από την 11η Δεκεμβρίου 2027.

Ωστόσο, το άρθρο 14 εφαρμόζεται από την 11η Σεπτεμβρίου 2026 και το κεφάλαιο IV (άρθρα 35 έως 51) εφαρμόζεται από την 11η Ιουνίου 2026.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Στρασβούργο, 23 Οκτωβρίου 2024.