A kiberellenálló-képességi rendelet

Tárgy

Ez a rendelet meghatározza az alábbiakat:

Hatály

(1) Ez a rendelet azokra a forgalmazott, digitális elemeket tartalmazó termékekre alkalmazandó, amelyek rendeltetése vagy észszerűen előrelátható használata magában foglal egy eszközhöz vagy hálózathoz való közvetlen vagy közvetett logikai vagy fizikai adatkapcsolatot.

(2) Ez a rendelet nem alkalmazandó azokra a digitális elemeket tartalmazó termékekre, amelyekre a következő uniós jogi aktusok alkalmazandók:

(3) Ez a rendelet nem alkalmazandó az (EU) 2018/1139 rendelettel összhangban tanúsított, digitális elemeket tartalmazó termékekre.

(4) Ez a rendelet nem alkalmazandó a 2014/90/EU európai parlamenti és tanácsi irányelv (36) hatálya alá tartozó felszerelésekre.

(5) E rendelet alkalmazása az I. mellékletben meghatározott alapvető kiberbiztonsági követelmények hatálya alá tartozó összes vagy néhány kockázatra kiterjedő követelményeket megállapító egyéb uniós szabályok hatálya alá tartozó, digitális elemeket tartalmazó termékek tekintetében korlátozható vagy kizárható, amennyiben:

A Bizottság felhatalmazást kap arra, hogy a 61. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el e rendelet kiegészítése céljából, amelyekben meghatározza, hogy szükség van-e ilyen korlátozásra vagy kizárásra, meghatározza az érintett termékeket és szabályokat, valamint adott esetben a korlátozás hatályát.

(6) Ez a rendelet nem alkalmazandó azokra a tartalék alkatrészekre, amelyeket a digitális elemeket tartalmazó termékek azonos alkotóelemeinek pótlása céljából forgalmaznak, és amelyeket ugyanazoknak az előírásoknak megfelelően gyártanak, mint azokat az alkotóelemeket, amelyek pótlására szolgálnak.

(7) Ez a rendelet nem alkalmazandó a kizárólag nemzetbiztonsági vagy védelmi célokra kifejlesztett vagy módosított, digitális elemeket tartalmazó termékekre, valamint a kifejezetten minősített adatok kezelésére tervezett termékekre.

(8) Az ebben a rendeletben megállapított kötelezettségek nem járhatnak olyan információk rendelkezésre bocsátásával, amelyek nyilvánosságra hozatala ellentétes volna a tagállamok nemzetbiztonságának, közbiztonságának vagy védelmének alapvető érdekeivel.

Fogalommeghatározások

E rendelet alkalmazásában:

Szabad mozgás

(1) Az e rendeletnek megfelelő, digitális elemeket tartalmazó termékek forgalmazását a tagállamok nem akadályozhatják az e rendelet hatálya alá tartozó kérdések tekintetében.

(2) A tagállamok nem akadályozhatják az e rendeletnek nem megfelelő, digitális elemeket tartalmazó termék kereskedelmi vásárokon, kiállításokon, bemutatókon vagy hasonló rendezvényeken történő bemutatását vagy használatát, beleértve annak prototípusait is, feltéve, hogy a terméken feltüntetett, jól látható felirat egyértelműen jelzi, hogy az nem felel meg e rendeletnek, és addig nem forgalmazható, amíg megfelelővé nem válik.

(3) A tagállamok nem akadályozhatják meg az e rendeletnek meg nem felelő befejezetlen szoftverek forgalmazását, feltéve, hogy a szoftvert csak a teszteléshez szükséges korlátozott ideig forgalmazzák, a terméken jól látható felirat egyértelműen jelzi, hogy az nem felel meg e rendeletnek, és a forgalmazása kizárólag tesztelési céllal történik.

(4) A (3) bekezdés nem alkalmazandó az e rendelettől eltérő uniós harmonizációs jogszabályokban említett biztonsági alkotóelemekre.

A digitális elemeket tartalmazó termékek közbeszerzése vagy használata

(1) Ez a rendelet nem akadályozza meg a tagállamokat abban, hogy a digitális elemeket tartalmazó termékeket további kiberbiztonsági követelmények hatálya alá vonják az említett termékek meghatározott célokra történő beszerzése vagy felhasználása tekintetében, beleértve azt az esetet is, amikor e termékeket nemzetbiztonsági vagy védelmi célokra szerzik be vagy használják, feltéve, hogy az ilyen követelmények összhangban vannak a tagállamok uniós jogban meghatározott kötelezettségeivel, és szükségesek és arányosak az említett célok eléréséhez.

(2) A 2014/24/EU és a 2014/25/EU irányelv sérelme nélkül, az e rendelet hatálya alá tartozó, digitális elemeket tartalmazó termékek beszerzése esetén a tagállamok biztosítják, hogy a közbeszerzési eljárás során figyelembe vegyék az e rendelet I. mellékletében meghatározott alapvető kiberbiztonsági követelményeknek való megfelelést, beleértve a gyártóknak a sérülékenységek hatékony kezelésére való képességét is.

A digitális elemeket tartalmazó termékekre vonatkozó követelmények

Digitális elemeket tartalmazó termék csak akkor forgalmazható, ha:

Digitális elemeket tartalmazó fontos termékek

(1) Azok a digitális elemeket tartalmazó termékek, amelyek a III. mellékletben meghatározott termékkategóriák alapvető funkcióival rendelkeznek, digitális elemeket tartalmazó fontos termékeknek minősülnek, és a 32. cikk (2) és (3) bekezdésében említett megfelelőségértékelési eljárások hatálya alá tartoznak. A digitális elemeket tartalmazó, a III. mellékletben meghatározott termékkategóriák alapvető funkcióival rendelkező termék integrálása önmagában nem vonja maga után azt, hogy a termék, amelybe integrálták, a 32. cikk (2) és (3) bekezdésében említett megfelelőségértékelési eljárások hatálya alá tartozzon.

(2) Az e cikk (1) bekezdésében említett, digitális elemeket tartalmazó termékkategóriáknak, amelyek a III. mellékletben meghatározott I. és II. osztályba sorolhatók, meg kell felelniük a következő kritériumok legalább egyikének:

(3) A Bizottság felhatalmazást kap arra, hogy a 61. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el a III. melléklet oly módon történő módosítása céljából, hogy a digitális elemeket tartalmazó termékek kategóriáinak listájára minden egyes osztályon belül új kategóriát vesz fel és pontosítja annak fogalommeghatározását, valamely termékkategóriát valamely osztályból a másikba helyez át, vagy egy meglévő kategóriát eltávolít az említett listáról. A III. mellékletben meghatározott lista módosítása szükségességének értékelésekor a Bizottság az e cikk (2) bekezdésben említett kritériumok által meghatározottaknak megfelelően figyelembe veszi a digitális elemeket tartalmazó termékek által betöltött kiberbiztonsági funkciókat vagy funkciót és a termék által jelentett kiberbiztonsági kockázat szintjét.

Az e bekezdés első albekezdésében említett felhatalmazáson alapuló jogi aktusoknak adott esetben legalább 12 hónapos átmeneti időszakról kell rendelkezniük, különösen abban az esetben, ha a digitális elemeket tartalmazó fontos termékek új kategóriáját veszik fel az I. vagy II. osztályba, vagy helyezik át a III. mellékletben meghatározottak szerint az I. osztályból a II. osztályba a 32. cikk (2) és (3) bekezdésében említett vonatkozó megfelelőségértékelési eljárások alkalmazandóvá válása előtt, kivéve, ha rendkívüli sürgősség okán rövidebb átmeneti időszak indokolt.

(4) A Bizottság 2025. december 11-ig végrehajtási jogi aktust fogad el, amelyben meghatározza a III. mellékletben meghatározott I. és II. osztályba tartozó, digitális elemeket tartalmazó termékek kategóriáinak műszaki leírását, valamint a digitális elemeket tartalmazó termékek IV. mellékletben meghatározott kategóriáinak műszaki leírását. Ezt a végrehajtási jogi aktust a 62. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

Digitális elemeket tartalmazó kritikus fontosságú termékek

(1) A Bizottság felhatalmazást kap arra, hogy a 61. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el e rendelet kiegészítése céljából annak meghatározására vonatkozóan, hogy a digitális elemeket tartalmazó, az e rendelet IV. mellékletében meghatározott termékkategóriák alapvető funkcióival rendelkező termékek közül melyeknek kell legalább „jelentős” megbízhatósági szintű európai kiberbiztonsági tanúsítványt szerezniük az (EU) 2019/881 rendelet alapján elfogadott európai kiberbiztonsági tanúsítási rendszer keretében, hogy igazolják az e rendelet I. mellékletében meghatározott alapvető kiberbiztonsági követelményeknek vagy azok egy részének való megfelelést, feltéve, hogy az (EU) 2019/881 rendelet alapján elfogadásra került a digitális elemeket tartalmazó termékek e kategóriáira vonatkozó európai kiberbiztonsági tanúsítási rendszer, és az a gyártók rendelkezésére áll. E felhatalmazáson alapuló jogi aktusoknak meg kell határozniuk az előírt megbízhatósági szintet, amelynek arányosnak kell lennie a digitális elemeket tartalmazó termékekhez kapcsolódó kiberbiztonsági kockázat szintjével, és figyelembe kell vennie e termékek rendeltetését, beleértve az (EU) 2022/2555 irányelv 3. cikkének (1) bekezdésében említett alapvető szervezetektől való kritikus mértékű függőségüket is.

Az ilyen felhatalmazáson alapuló jogi aktusok elfogadása előtt a Bizottság értékeli a tervezett intézkedések lehetséges piaci hatását, és konzultációkat folytat a releváns érdekelt felekkel, többek között az (EU) 2019/881 rendelettel létrehozott európai kiberbiztonsági tanúsítási csoporttal. Az értékelés során figyelembe kell venni a tagállamoknak a vonatkozó európai kiberbiztonsági tanúsítási rendszer végrehajtására való felkészültségét és kapacitásának szintjét. Amennyiben nem került sor az e bekezdés első albekezdésében említett felhatalmazáson alapuló jogi aktusok elfogadására, a IV. mellékletben meghatározott termékkategóriák alapvető funkcióival rendelkező, digitális elemeket tartalmazó termékekre a 32. cikk (3) bekezdésében említett megfelelőségértékelési eljárásokat kell alkalmazni.

Az első albekezdésben említett felhatalmazáson alapuló jogi aktusokban legalább hat hónapos átmeneti időszakot kell előírni, kivéve, ha rendkívüli sürgősség okán rövidebb átmeneti időszak indokolt.

(2) A Bizottság felhatalmazást kap arra, hogy a 61. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, hogy a IV. mellékletet digitális elemeket tartalmazó kritikus fontosságú termékek kategóriáinak hozzáadásával vagy eltávolításával módosítsa. A digitális elemeket tartalmazó kritikus fontosságú termékek ilyen kategóriáinak és az előírt megbízhatósági szintnek az e cikk (1) bekezdésével összhangban történő meghatározásakor a Bizottság figyelembe veszi a 7. cikk (2) bekezdésében említett kritériumokat és biztosítja, hogy a digitális elemeket tartalmazó termékek kategóriái teljesítik a következő kritériumok legalább egyikét:

Az ilyen felhatalmazáson alapuló jogi aktusok elfogadása előtt a Bizottság elvégzi az (1) bekezdésben említett típusú értékelést.

Az első albekezdésben említett felhatalmazáson alapuló jogi aktusokban legalább hat hónapos átmeneti időszakról kell rendelkezni, kivéve, ha rendkívüli sürgősség okán rövidebb átmeneti időszak indokolt.

Konzultáció érdekelt felekkel

(1) Az e rendelet végrehajtására irányuló intézkedések előkészítése során a Bizottság konzultál a releváns érdekelt felekkel, mint például a releváns tagállami hatóságokkal, a magánszektorbeli vállalkozásokkal, köztük a mikrovállalkozásokkal és a kis- és középvállalkozásokkal, a nyílt forráskódú szoftverekkel foglalkozó közösséggel, a fogyasztói szövetségekkel, a tudományos körökkel, a releváns uniós ügynökségekkel és szervekkel, valamint az uniós szinten létrehozott szakértői csoportokkal, és figyelembe veszi ezek véleményét. Különösen, a Bizottság adott esetben strukturált módon konzultál az említett érdekelt felekkel, és kikéri azok véleményét a következők során:

(2) A Bizottság rendszeres – évente legalább egyszer – konzultációkat és tájékoztató üléseket szervez, hogy összegyűjtse az (1) bekezdésben említett érdekelt felek véleményét e rendelet végrehajtásáról.

Készségfejlesztés kiberreziliens digitális környezetben

E rendelet alkalmazásában és az e rendelet végrehajtását támogató szakemberek igényeinek kielégítése érdekében a tagállamok adott esetben a Bizottság, az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont és az ENISA támogatásával – teljes mértékben tiszteletben tartva a tagállamoknak az oktatás területén fennálló felelősségét – olyan intézkedéseket és stratégiákat mozdítanak elő, amelyek célja:

Általános termékbiztonság

Az (EU) 2023/988 rendelet 2. cikke (1) bekezdése harmadik albekezdésének b) pontjától eltérve, a digitális elemeket tartalmazó termékekre az említett rendelet III. fejezetének 1. szakasza, V. és VII. fejezete, valamint IX., X. ésXI. fejezete alkalmazandó az e rendelet hatálya alá nem tartozó szempontok és kockázatok vagy kockázati kategóriák tekintetében, amennyiben ezekre a termékekre nem vonatkoznak más, az (EU) 2023/988 rendelet 3. cikkének 27. pontjában foglalt fogalommeghatározás szerinti uniós harmonizációs jogszabályokban meghatározott egyedi biztonsági követelmények.

Nagy kockázatú MI-rendszerek

(1) Az (EU) 2024/1689 rendelet 15. cikkében meghatározott, a pontosságra és stabilitásra vonatkozó követelmények sérelme nélkül, az e rendelet hatálya alá tartozó, és az említett rendelet 6. cikke alapján nagy kockázatú MI-rendszerként besorolt, digitális elemeket tartalmazó termékeket úgy kell tekinteni, hogy megfelelnek az említett rendelet 15. cikkében meghatározott, kiberbiztonsággal kapcsolatos követelményeknek, amennyiben:

(2) Az e cikk (1) bekezdésében említett, digitális elemeket tartalmazó termékekre és kiberbiztonsági követelményekre az (EU) 2024/1689 rendelet 43. cikkében előírt vonatkozó megfelelőségértékelési eljárást kell alkalmazni. Az említett értékelés céljából az (EU) 2024/1689 rendelet alapján a nagy kockázatú MI-rendszerek megfelelőségének ellenőrzésére illetékes bejelentett szervezeteket fel kell jogosítani annak ellenőrzésére is, hogy az e rendelet hatálya alá tartozó nagy kockázatú MI-rendszerek megfelelnek-e az e rendelet I. mellékletében meghatározott követelményeknek, feltéve, hogy az említett bejelentett szervezetek e rendelet 39. cikkében meghatározott követelményeknek való megfelelését az (EU) 2024/1689 rendelet szerinti bejelentési eljárás keretében értékelték.

(3) Az e cikk (2) bekezdésétől eltérve, az e rendeletben meghatározott alapvető kiberbiztonsági követelmények tekintetében az e rendeletben előírt megfelelőségértékelési eljárások hatálya alá tartoznak az e rendelet III. mellékletében felsorolt, digitális elemeket tartalmazó azon fontos termékek, amelyekre vonatkoznak az e rendelet 32. cikke (2) bekezdésének a) és b) pontjában és 32. cikke (3) bekezdésében említett megfelelőségértékelési eljárások, valamint az e rendelet IV. mellékletében felsorolt, digitális elemeket tartalmazó azon kritikus fontosságú termékek, amelyekre vonatkozóan e rendelet 8. cikkének (1) bekezdése alapján európai kiberbiztonsági tanúsítványt kell beszerezni, vagy amelyekre – ennek hiányában – vonatkoznak az e rendelet 32. cikkének (3) bekezdésében említett megfelelőségértékelési eljárások, és amelyek az (EU) 2024/1689 rendelet 6. cikke alapján nagy kockázatú MI-rendszernek minősülnek és amelyekre az (EU) 2024/1689 rendelet VI. mellékletében említett, belső ellenőrzésen alapuló megfelelőségértékelési eljárás alkalmazandó.

(4) Az e cikk (1) bekezdésében említett, digitális elemeket tartalmazó termékek gyártói részt vehetnek az (EU) 2024/1689 rendelet 57. cikkében említett MI szabályozói tesztkörnyezetekben.

A gyártók kötelezettségei

(1) A gyártók digitális elemeket tartalmazó termék forgalomba hozatalakor biztosítják, hogy a terméket az I. melléklet I. részében meghatározott alapvető kiberbiztonsági követelményekkel összhangban tervezték, fejlesztették és gyártották.

(2) Az (1) bekezdésnek való megfelelés céljából a gyártóknak el kell végezniük a digitális elemeket tartalmazó termékkel kapcsolatos kiberbiztonsági kockázatok értékelését, és az értékelés eredményét figyelembe kell venniük a digitális elemeket tartalmazó termék tervezési, kialakítási, fejlesztési, gyártási, szállítási és karbantartási szakaszában a kiberbiztonsági kockázatok minimalizálása, az események megelőzése és azok – többek között a felhasználók egészségével és biztonságával kapcsolatos – hatásainak minimalizálása céljából.

(3) A kiberbiztonsági kockázatértékelést megfelelően dokumentálni és frissíteni kell az e cikk (8) bekezdésével összhangban meghatározandó támogatási időszak alatt. Az említett kiberbiztonsági kockázatértékelésnek magában kell foglalnia legalább a kiberbiztonsági kockázatok elemzését a digitális elemeket tartalmazó termék rendeltetése és észszerűen előrelátható használata, valamint használati feltételei, mint például a működési környezet vagy a védendő eszközök alapján, figyelembe véve a termék használatának várható időtartamát. A kiberbiztonsági kockázatértékelésben fel kell tüntetni, hogy az I. melléklet I. részének 2. pontjában meghatározott biztonsági követelmények alkalmazandók-e a digitális elemeket tartalmazó releváns termékre, és ha igen, milyen módon, valamint azt, hogy miként hajtják végre ezeket a követelményeket a kiberbiztonsági kockázatértékelés alapján. Azt is fel kell tüntetni, hogy a gyártó hogyan alkalmazza az I. melléklet I. részének 1. pontját és az I. melléklet II. részében meghatározott, a sérülékenységek kezelésére vonatkozó követelményeket.

(4) Digitális elemeket tartalmazó termék forgalomba hozatalakor a gyártónak bele kell foglalnia az e cikk (3) bekezdésében említett kiberbiztonsági kockázatértékelést a 31. cikk és a VII. melléklet alapján előírt műszaki dokumentációba. A 12. cikkben említett digitális elemeket tartalmazó olyan termékek esetében, amelyek más uniós jogi aktusok hatálya alá is tartoznak, a kiberbiztonsági kockázatértékelés az említett uniós jogi aktusokban előírt kockázatértékelés részét képezheti. Amennyiben bizonyos alapvető kiberbiztonsági követelmények nem alkalmazandók a digitális elemeket tartalmazó termékre, a gyártónak egyértelműen meg kell indokolnia ezt az adott műszaki dokumentációban.

(5) Az (1) bekezdésben meghatározott kötelezettségnek való megfelelés céljából a gyártóknak kellő gondossággal kell eljárniuk, amikor harmadik felektől beszerzett alkotóelemeket integrálnak, hogy ezek az alkotóelemek ne veszélyeztessék a digitális elemeket tartalmazó termék kiberbiztonságát, beleértve azokat az eseteket is, amikor olyan szabad és nyílt forráskódú szoftvereket integrálnak, amelyek nem kerültek forgalmazásra valamely kereskedelmi tevékenység keretében.

(6) A gyártók, amennyiben sérülékenységet fedeznek fel valamely, a digitális elemeket tartalmazó termékbe integrált alkotóelemben, beleértve a nyílt forráskódú alkotóelemet is, bejelentik a sérülékenységet az alkotóelemet gyártó vagy karbantartó személynek vagy szervezetnek, és az I. melléklet II. részében meghatározott, sérülékenység kezelésére vonatkozó követelményekkel összhangban kezelik és orvosolják a sérülékenységet. Amennyiben a gyártók szoftver- vagy hardvermódosítást fejlesztettek ki az adott alkotóelem sérülékenységének kezelésére, a vonatkozó kódot vagy dokumentációt meg kell osztaniuk az alkotóelemet gyártó vagy karbantartó személlyel vagy szervezettel, adott esetben géppel olvasható formátumban.

(7) A gyártónak a termék jellegével és a kiberbiztonsági kockázatokkal arányos módon, szisztematikusan dokumentálnia kell a digitális elemeket tartalmazó termékkel kapcsolatos releváns kiberbiztonsági szempontokat, beleértve a tudomásukra jutott sérülékenységeket és a harmadik felek által szolgáltatott releváns információkat, és adott esetben naprakésszé teszi a termék kiberbiztonsági kockázatértékelését.

(8) A gyártóknak a digitális elemeket tartalmazó termék forgalomba hozatalakor és a támogatási időszak alatt biztosítaniuk kell, hogy a termék és alkotóelemei sérülékenységeit hatékonyan és az I. melléklet II. részében meghatározott alapvető kiberbiztonsági követelményekkel összhangban kezeljék.

A gyártók úgy határozzák meg a támogatási időszakot, hogy az tükrözze annak az időtartamnak a hosszúságát, amely alatt a terméket várhatóan használni fogják, figyelembe véve különösen az észszerű felhasználói elvárásokat, a termék jellegét, beleértve annak rendeltetését is, valamint a digitális elemeket tartalmazó termékek élettartamát meghatározó vonatkozó uniós jogot. A támogatási időszak meghatározásakor a gyártók figyelembe vehetik a más gyártók által forgalomba hozott, hasonló funkciókat kínáló, digitális elemeket tartalmazó termékek támogatási időszakait, a működési környezet elérhetőségét, az alapvető funkciókat nyújtó és harmadik felektől beszerzett integrált alkotóelemek támogatási időszakait, valamint az 52. cikk (15) bekezdése alapján erre a célra létrehozott létrehozott közigazgatási együttműködési csoport(ADCO) és a Bizottság által nyújtott releváns útmutatást. A támogatási időszak meghatározásakor figyelembe veendő szempontokat az arányosságot biztosító módon kell figyelembe venni.

A második albekezdés sérelme nélkül a támogatási időszak legalább öt év. Amennyiben a digitális elemeket tartalmazó terméket várhatóan öt évnél rövidebb ideig használják, a támogatási időszak megfelel a várható használati időnek.

Figyelembe véve az ADCO 52. cikk (16) bekezdésében említett ajánlásait, a Bizottság a 61. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadhat el e rendelet kiegészítése céljából az egyes termékkategóriákra vonatkozó minimális támogatási időszak meghatározásával, amennyiben a piacfelügyeleti adatok nem megfelelő támogatási időszakokra utalnak.

A gyártóknak a VII. mellékletben meghatározott műszaki dokumentációban fel kell tüntetniük a digitális elemeket tartalmazó termék támogatási időszakának meghatározásakor figyelembe vett információkat.

A gyártóknak megfelelő szabályzatokkal és eljárásokkal kell rendelkezniük, beleértve az I. melléklet II. részének 5. pontjában említett sérülékenységek összehangolt közzétételére vonatkozó szabályzatokat is, a digitális elemeket tartalmazó termék belső vagy külső források által bejelentett potenciális sérülékenységeinek kezelése és orvoslása érdekében.

(9) A gyártók biztosítják, hogy az I. melléklet II. részének 8. pontjában említett minden egyes biztonsági frissítés, amelyet a támogatási időszak alatt a felhasználók rendelkezésére bocsátottak, annak kibocsátása után legalább 10 évig vagy a támogatási időszak fennmaradó részében – attól függően, hogy melyik a hosszabb időszak – továbbra is rendelkezésre álljon.

(10) Amennyiben a gyártó egy szoftvertermék egymást követő, lényegesen módosított változatait hozta forgalomba, az említett gyártónak lehetősége van arra, hogy az I. melléklet II. részének 2. pontjában meghatározott alapvető kiberbiztonsági követelménynek való megfelelést csak az általa legutóbb forgalomba hozott változat tekintetében biztosítsa, feltéve, hogy a korábban forgalomba hozott változatok felhasználói díjmentesen hozzáférnek a legutóbb forgalomba hozott változathoz, és nem merülnek fel többletköltségek azon hardver- és szoftverkörnyezet hozzáigazításával kapcsolatban, amelyben az említett termék eredeti változatát használják.

(11) A gyártók nyilvános szoftverarchívumokat tarthatnak fenn, amelyek megkönnyítik a felhasználók korábbi változatokhoz való hozzáférését. Ezekben az esetekben a felhasználókat egyértelműen és könnyen hozzáférhető módon tájékoztatni kell a nem támogatott szoftver használatával kapcsolatos kockázatokról.

(12) A digitális elemeket tartalmazó termék forgalomba hozatala előtt a gyártók kidolgozzák a 31. cikkben említett műszaki dokumentációt.

A gyártók elvégzik vagy elvégeztetik a 32. cikkben említett megfelelőségértékelési eljárások közül kiválasztott eljárást.

Amennyiben az említett megfelelőségértékelési eljárás során bizonyítást nyer, hogy a digitális elemeket tartalmazó termék megfelel az I. melléklet I. részében meghatározott alapvető kiberbiztonsági követelményeknek, valamint a gyártó által bevezetett eljárások megfelelnek az I. melléklet II. részében meghatározott alapvető kiberbiztonsági követelményeknek, a gyártók a 28. cikkel összhangban elkészítik az EU-megfelelőségi nyilatkozatot, és a 30. cikkel összhangban elhelyezik a terméken a CE-jelölést.

(13) A gyártók a digitális elemeket tartalmazó termék forgalomba hozatalát követően legalább 10 évig vagy a támogatási időszak végéig – attól függően, hogy melyik a hosszabb időszak – a piacfelügyeleti hatóságok számára elérhetővé teszik a műszaki dokumentációt és az EU-megfelelőségi nyilatkozatot.

(14) A gyártók biztosítják a sorozatgyártás részét képező, digitális elemeket tartalmazó termékek e rendeletnek való megfelelőségének fenntartását szolgáló eljárások meglétét. A gyártók kellően figyelembe veszik a digitális elemeket tartalmazó termék fejlesztési és gyártási folyamatában, valamint a tervezésében vagy jellemzőiben bekövetkezett változásokat, továbbá azon, a 27. cikkben említett harmonizált szabványokban, európai kiberbiztonsági tanúsítási rendszerekben vagy közös előírásokban bekövetkezett változásokat, amelyekre hivatkozva a digitális elemeket tartalmazó termék megfelelőségét megállapítják, vagy amelyek alkalmazásával a termék megfelelőségét ellenőrzik.

(15) A gyártók biztosítják, hogy a digitális elemeket tartalmazó termékeiken típus-, tétel- vagy sorozatszám, vagy más, az azonosítást lehetővé tevő elem legyen elhelyezve, vagy ha ez nem lehetséges, akkor az említett információ a digitális elemeket tartalmazó termék csomagolásán vagy a terméket kísérő dokumentumban szerepeljen.

(16) A gyártók a digitális elemeket tartalmazó terméken vagy annak csomagolásán vagy a digitális elemeket tartalmazó terméket kísérő dokumentumban feltüntetik a gyártó nevét, bejegyzett kereskedelmi nevét vagy bejegyzett védjegyét, valamint azt a postai címet, e-mail-címet, vagy más digitális elérhetőséget, továbbá adott esetben honlapot, amelyen keresztül a gyártóval kapcsolatba lehet lépni. Ezen információkat a II. mellékletben meghatározott felhasználói tájékoztatásban és használati útmutatóban is fel kell tüntetni. Az elérhetőségi adatokat a felhasználók és a piacfelügyeleti hatóságok számára könnyen érthető nyelven kell megadni.

(17) E rendelet alkalmazásában a gyártók kijelölnek egy egyedüli kapcsolattartó pontot, amely lehetővé teszi a felhasználók számára, hogy közvetlenül és gyorsan kommunikáljanak velük, többek között a digitális elemeket tartalmazó termék sérülékenységeivel kapcsolatos bejelentések megkönnyítése érdekében.

A gyártók biztosítják, hogy az egyedüli kapcsolattartó pont könnyen azonosítható legyen a felhasználók számára. A II. mellékletben meghatározott felhasználói tájékoztatásban és használati útmutatóban is fel kell tüntetniük az egyedüli kapcsolattartó pontot.

Az egyedüli kapcsolattartó pont lehetővé teszi a felhasználók számára, hogy megválasszák az általuk előnyben részesített kommunikációs eszközöket, és ezeket az eszközöket nem korlátozhatja automatizált eszközökre.

(18) A gyártók biztosítják, hogy a digitális elemeket tartalmazó termékekhez papíralapú vagy elektronikus formában mellékeljék a II. mellékletben meghatározott felhasználói tájékoztatást és használati utasítást. Az ilyen információkat és utasításokat a felhasználók és a piacfelügyeleti hatóságok számára könnyen érthető nyelven kell megadni. Egyértelműnek, befogadhatónak, érthetőnek és olvashatónak kell lenniük. Lehetővé kell tenniük a digitális elemeket tartalmazó termékek biztonságos telepítését, működtetését és használatát. A gyártók a digitális elemeket tartalmazó termék forgalomba hozatalát követően legalább 10 évig vagy a támogatási időszak végéig – attól függően, hogy melyik a hosszabb időszak – a felhasználók és a piacfelügyeleti hatóságok számára elérhetővé teszik a II. mellékletben meghatározott felhasználói tájékoztatást és használati útmutatót. Amennyiben az ilyen tájékoztatást és használati útmutatót online bocsátják rendelkezésre, a gyártók biztosítják, hogy ezek a digitális elemeket tartalmazó termék forgalomba hozatalát követően legalább 10 évig vagy a támogatási időszak végéig – attól függően, hogy melyik a hosszabb időszak – hozzáférhetők és felhasználóbarát módon online elérhetők legyenek.

(19) A gyártók biztosítják, hogy a (8) bekezdésben említett támogatási időszak záró időpontját – amely magában foglalja legalább a hónapot és az évet – a vásárlás időpontjában könnyen hozzáférhető módon, valamint adott esetben a digitális elemeket tartalmazó terméken, annak csomagolásán vagy digitális úton egyértelmű és közérthető formában legyen közölve.

Amennyiben a digitális elemeket tartalmazó termék jellegére tekintettel műszakilag megvalósítható, a gyártók értesítést jelenítenek meg a felhasználók számára, amelyben tájékoztatják őket arról, hogy a digitális elemeket tartalmazó termékük elérte a támogatási időszak végét.

(20) A gyártók a digitális elemeket tartalmazó termékhez mellékelik vagy az EU-megfelelőségi nyilatkozat egy példányát, vagy az egyszerűsített EU-megfelelőségi nyilatkozatot. Amennyiben egyszerűsített EU-megfelelőségi nyilatkozatot mellékelnek, annak tartalmaznia kell azt a pontos internetcímet, ahol a teljes EU-megfelelőségi nyilatkozat elérhető.

(21) A forgalomba hozataltól kezdve és a támogatási időszak alatt azok a gyártók, amelyek tudják, vagy okuk van feltételezni, hogy a digitális elemeket tartalmazó termék vagy a gyártó által bevezetett eljárások nem felelnek meg az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek, haladéktalanul meghozzák a szükséges korrekciós intézkedéseket a digitális elemeket tartalmazó termék vagy a gyártó eljárásainak megfelelővé tétele, vagy adott esetben a termék forgalomból történő kivonása vagy visszahívása érdekében.

(22) A gyártók valamely piacfelügyeleti hatóság indokolt kérésére, a hatóság által könnyen érthető nyelven az említett hatóság rendelkezésére bocsátanak minden olyan papíralapú vagy elektronikus formátumban lévő információt és dokumentációt, amely szükséges annak igazolásához, hogy a digitális elemeket tartalmazó termék és a gyártó által bevezetett eljárások megfelelnek az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek. A gyártók az említett hatóság kérésére együttműködnek vele az általuk forgalomba hozott, digitális elemeket tartalmazó termék jelentette kiberbiztonsági kockázatok kiküszöbölése érdekében hozott intézkedések terén.

(23) Az a gyártó, amely beszünteti működését, és ennek következtében nem képes megfelelni e rendeletnek, a működés beszüntetésének bekövetkezése előtt tájékoztatja erről a releváns piacfelügyeleti hatóságokat, valamint bármely rendelkezésre álló eszközzel, a lehetséges mértékben tájékoztatja a forgalomba hozott, digitális elemeket tartalmazó releváns termékek felhasználóit a működés közelgő beszüntetéséről.

(24) A Bizottság végrehajtási jogi aktusok útján, az európai és nemzetközi szabványokat és legjobb gyakorlatokat figyelembe véve meghatározhatja az I. melléklet II. részének 1. pontjában említett szoftveranyagjegyzék formátumát és elemeit. Ezeket a végrehajtási jogi aktusokat a 62. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(25) Annak értékelése érdekében, hogy a tagállamok és az Unió egésze mennyire függ a szoftver-alkotóelemektől és különösen a szabad és nyílt forráskódú szoftvernek minősülő alkotóelemektől, az ADCO dönthet úgy, hogy a digitális elemeket tartalmazó termékek meghatározott kategóriái tekintetében uniós szintű függőségi értékelést végez. E célból a piacfelügyeleti hatóságok felkérhetik a digitális elemeket tartalmazó ilyen termékkategóriák gyártóit, hogy nyújtsák be az I. melléklet II. részének 1. pontjában említett releváns szoftveranyagjegyzékeket. Ezen információk alapján a piacfelügyeleti hatóságok anonimizált és összesített információkat nyújthatnak az ADCO számára a szoftverfüggőségekről. Az ADCO jelentést nyújt be az (EU) 2022/2555 irányelv 14. cikke alapján létrehozott együttműködési csoportnak a függőségi értékelés eredményeiről.

A gyártók jelentéstételi kötelezettségei

(1) A gyártónak – amennyiben ilyen a tudomására jut – a digitális elemeket tartalmazó termékben található bármely aktívan kihasznált sérülékenységről egyidejűleg értesítenie kell az e cikk (7) bekezdésével összhangban koordinátorként kijelölt CSIRT-et és az ENISA-t. A gyártónak a 16. cikk alapján létrehozott egységes jelentéstételi platformon keresztül kell értesítenie az említett aktívan kihasznált sérülékenységről.

(2) Az (1) bekezdésben említett értesítés céljából a gyártó benyújtja a következőket:

(3) A gyártónak – amennyiben ilyen a tudomására jut – a digitális elemeket tartalmazó termék biztonságát érintő súlyos eseményről egyidejűleg értesítenie kell az e cikk (7) bekezdésével összhangban koordinátorként kijelölt CSIRT-et és az ENISA-t. A gyártónak a 16. cikk alapján létrehozott egységes jelentéstételi platformon keresztül kell értesítenie az említett eseményről.

(4) Az (3) bekezdésben említett értesítés céljából a gyártó benyújtja a következőket:

(5) A (3) bekezdés alkalmazásában a digitális elemeket tartalmazó termék biztonságát érintő esemény akkor tekintendő súlyosnak, ha:

(6) Szükség esetén az értesítést elsődlegesen fogadó, koordinátorként kijelölt CSIRT felkérheti a gyártókat, hogy nyújtsanak be időközi jelentést a digitális elemeket tartalmazó termék aktívan kihasznált sérülékenységéről vagy a termék biztonságát érintő súlyos eseményre vonatkozó releváns állapotfrissítésekről.

(7) Az e cikk (1) és (3) bekezdésében említett értesítéseket a 16. cikkben említett egységes jelentéstételi platformon keresztül, a 16. cikk (1) bekezdésében említett elektronikus bejelentési végpontok egyikének használatával kell benyújtani. Az értesítést azon tagállam koordinátorként kijelölt CSIRT-je elektronikus bejelentési végpontjának használatával kell benyújtani, amelyben a gyártók üzleti tevékenységének fő helye található az Unióban, és az értesítésnek egyidejűleg hozzáférhetőnek kell lennie az ENISA számára.

E rendelet alkalmazásában úgy kell tekinteni, hogy a gyártó üzleti tevékenységének fő helye az Unióban abban a tagállamban van, ahol a digitális elemeket tartalmazó termékeinek kiberbiztonságával kapcsolatos döntéseket túlnyomórészt meghozzák. Ha ilyen tagállam nem határozható meg, akkor az üzleti tevékenység fő helyét abban a tagállamban levőnek kell tekinteni, ahol az érintett gyártónak az Unióban a legmagasabb munkavállalói létszámmal rendelkező telephelye van.

Amennyiben nincs olyan tagállam, ami a gyártó üzleti tevékenysége fő helyének tekinthető az Unióban, az (1) és (3) bekezdésben említett értesítéseket azon tagállam koordinátoraként kijelölt CSIRT elektronikus bejelentési végpontjának használatával kell benyújtania, amelyet a következő sorrendben és a gyártó rendelkezésére álló információk alapján határoznak meg:

A harmadik albekezdés d) pontjával összefüggésben a gyártó a digitális elemeket tartalmazó termék bármely későbbi aktívan kihasznált sérülékenységéről vagy a termék biztonságát érintő súlyos későbbi eseményről ugyanahhoz a koordinátorként kijelölt CSIRT-hez nyújthat be értesítéseket, amelyhez az első értesítést benyújtotta.

(8) Miután tudomást szerzett egy, a digitális elemeket tartalmazó termék biztonságát érintő, aktívan kihasznált sérülékenységről vagy súlyos eseményről, a gyártónak adott esetben strukturált és automatikusan könnyen feldolgozható, géppel olvasható formátumban tájékoztatnia kell a digitális elemeket tartalmazó termék érintett felhasználóit és adott esetben az összes felhasználót az említett sérülékenységről vagy eseményről, valamint szükség esetén bárminemű kockázatcsökkentésről és a felhasználók által a sérülékenység vagy esemény hatásának enyhítése érdekében alkalmazható korrekciós intézkedésekről. Amennyiben a gyártó nem tájékoztatja időben a digitális elemeket tartalmazó termék felhasználóit, a koordinátorként kijelölt értesített CSIRT-ek ezeket az információkat a felhasználók rendelkezésére bocsáthatják, ha azt a sérülékenység vagy az esemény hatásának megelőzése vagy enyhítése szempontjából arányosnak és szükségesnek tartják.

(9) A Bizottság 2025. december 11-ig, az e rendelet 61. cikkével összhangban felhatalmazáson alapuló jogi aktusokat fogad el e rendelet kiegészítése céljából, amelyekben meghatározza az e rendelet 16. cikkének (2) bekezdésében említett értesítések terjesztésének késleltetésével kapcsolatos, kiberbiztonsággal összefüggő indokok alkalmazásának feltételeit. A felhatalmazáson alapuló jogi aktusok tervezetének elkészítése során a Bizottság együttműködik az (EU) 2022/2555 irányelv 15. cikke alapján létrehozott CSIRT-hálózattal és az ENISA-val.

(10) A Bizottság végrehajtási jogi aktusok révén részletesebben meghatározhatja az e cikkben, valamint a 15. és 16. cikkben említett értesítések formátumát és eljárásait. Ezeket a végrehajtási jogi aktusokat a 62. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni. A Bizottság e végrehajtási jogi aktusok tervezetének elkészítése során együttműködik a CSIRT-hálózattal és az ENISA-val.

Önkéntes jelentéstétel

(1) A gyártók, valamint más természetes vagy jogi személyek önkéntes alapon bejelenthetnek valamely koordinátorként kijelölt CSIRT-nek vagy az ENISA-nak a digitális elemeket tartalmazó termékben található sérülékenységeket, valamint azokat a kiberfenyegetéseket, amelyek befolyásolhatják a digitális elemeket tartalmazó termék kockázati profilját.

(2) A gyártók, valamint más természetes vagy jogi személyek önkéntes alapon bejelenthetnek valamely koordinátorként kijelölt CSIRT-nek vagy az ENISA-nak bármely olyan eseményt, amely érinti a digitális elemeket tartalmazó termék biztonságát, valamint azokat a majdnem bekövetkezett (near miss) eseményeket, amelyek ilyen eseményt eredményezhettek volna.

(3) A koordinátorként kijelölt CSIRT vagy az ENISA az e cikk (1) és (2) bekezdésében említett értesítéseket a 16. cikkben megállapított eljárással összhangban dolgozza fel.

A koordinátorként kijelölt CSIRT előnyben részesítheti a kötelező bejelentések feldolgozását az önkéntes bejelentésekkel szemben.

(4) Amennyiben a gyártótól eltérő természetes vagy jogi személy az (1) vagy (2) bekezdéssel összhangban aktívan kihasznált sérülékenységről vagy digitális elemeket tartalmazó termék biztonságát érintő súlyos eseményről értesít, a koordinátorként kijelölt CSIRT indokolatlan késedelem nélkül tájékoztatja a gyártót.

(5) A koordinátorként kijelölt CSIRT-ek és az ENISA biztosítják az értesítő természetes vagy jogi személy által nyújtott információk bizalmas kezelését és megfelelő védelmét. A bűncselekmények megelőzésének, kivizsgálásának, felderítésének és büntetőeljárás alá vonásának sérelme nélkül az önkéntes értesítés nem eredményezheti az értesítő természetes vagy jogi személyre nézve olyan további kötelezettségek keletkezését, amelyek nem vonatkoztak volna rá, ha nem nyújtja be az értesítést.

Egységes jelentéstételi platform létrehozása

(1) A 14. cikk (1) és (3) bekezdésében, valamint a 15. cikk (1) és (2) bekezdésében említett értesítések céljára, valamint a gyártók jelentéstételi kötelezettségeinek egyszerűsítése érdekében az ENISA egységes jelentéstételi platformot hoz létre. Az egységes jelentéstételi platform napi működését az ENISA irányítja és tartja fenn. Az egységes jelentéstételi platform architektúrájának lehetővé kell tennie a tagállamok és az ENISA számára, hogy saját elektronikus értesítési végpontokat hozzanak létre.

(2) Az értesítés kézhezvételét követően az értesítést elsődlegesen fogadó, koordinátorként kijelölt CSIRT haladéktalanul továbbítja az értesítést az egységes jelentéstételi platformon keresztül azon koordinátorként kijelölt CSIRT-eknek, amelyek területén a gyártó jelzése szerint a digitális elemeket tartalmazó terméket rendelkezésre bocsátották.

Kivételes körülmények között és különösen a gyártó kérésére, valamint a bejelentett információknak a gyártó által e rendelet 14. cikke (2) bekezdésének a) pontja szerint jelzett érzékenységi szintjére tekintettel az értesítés terjesztése a kiberbiztonsággal összefüggő jogos indokok alapján a feltétlenül szükséges ideig elhalasztható, ideértve azt is, amikor a sérülékenység az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdésében említett összehangolt sérülékenység-közzétételi eljárás hatálya alá tartozik. Amennyiben a CSIRT úgy dönt, hogy visszatart egy értesítést, haladéktalanul tájékoztatnia kell az ENISA-t a döntéséről, és meg kell indokolnia az értesítés visszatartását, valamint jeleznie kell, hogy mikor fogja az e bekezdésben meghatározott terjesztési eljárással összhangban az értesítést továbbítani. Az ENISA támogathatja a CSIRT-et a kiberbiztonsággal összefüggő indokok alkalmazásában az értesítés terjesztésének késleltetésével kapcsolatban.

Különösen kivételes körülmények között, amennyiben a gyártó a 14. cikk (2) bekezdésének b) pontjában említett értesítésben jelzi:

amíg a teljes értesítést nem továbbítják az érintett CSIRT-ek és az ENISA részére, egyidejűleg csak azt az információt közlik az ENISA-val, hogy a gyártó értesítést tett, továbbá tájékoztatják a termékkel kapcsolatos általános információkról, a kihasználás általános jellegéről, és arról, hogy biztonsággal összefüggő indokok merültek fel. Amennyiben ezen információk alapján az ENISA úgy ítéli meg, hogy a belső piac biztonságát érintő rendszerszintű kockázat áll fenn, javasolnia kell a címzett CSIRT-nek, hogy továbbítsa a teljes értesítést a koordinátorként kijelölt többi CSIRT-nek és magának az ENISA-nak.

(3) A digitális elemeket tartalmazó termék aktívan kihasznált sérülékenységéről vagy a digitális elemeket tartalmazó termék biztonságát érintő súlyos eseményről szóló értesítés kézhezvételét követően a koordinátorként kijelölt CSIRT-ek a tagállamuk piacfelügyeleti hatóságai rendelkezésére bocsátják azokat a bejelentett információkat, amelyek a piacfelügyeleti hatóságok számára az e rendelet szerinti kötelezettségeik teljesítéséhez szükségesek.

(4) Az ENISA megfelelő és arányos technikai, operatív és szervezési intézkedéseket hoz az egységes jelentéstételi platform és az egységes jelentéstételi platformon keresztül benyújtott vagy terjesztett információk biztonságát fenyegető kockázatok kezelése érdekében. Indokolatlan késedelem nélkül értesíti a CSIRT-hálózatot és a Bizottságot az egységes jelentéstételi platformot érintő bármely biztonsági eseményről.

(5) Az ENISA a CSIRT-hálózattal együttműködve előírásokat határoz meg és hajt végre – beleértve az eljárási szempontokat is – az (1) bekezdésben említett egységes jelentéstételi platform létrehozásával, karbantartásával és biztonságos üzemeltetésével kapcsolatos technikai, operatív és szervezési intézkedésekre vonatkozóan, ideértve legalább az egységes jelentéstételi platform létrehozásával, üzemeltetésével és karbantartásával kapcsolatos biztonsági szabályokat, valamint a nemzeti szinten a koordinátorként kijelölt CSIRT-ek és uniós szinten az ENISA által létrehozott elektronikus bejelentési végpontokat annak biztosítása érdekében, hogy amennyiben a bejelentett sérülékenységre nincsenek korrekciós vagy enyhítő intézkedések, a sérülékenységre vonatkozó információkat szigorú biztonsági protokolloknak megfelelően és a szükséges ismeret elve alapján osszák meg.

(6) Amennyiben a koordinátorként kijelölt CSIRT-et az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdésében említett összehangolt sérülékenység-közzétételi eljárás részeként aktívan kihasznált sérülékenységről tájékoztatták, az értesítést elsődlegesen fogadó, koordinátorként kijelölt CSIRT késleltetheti a vonatkozó bejelentésnek az egységes jelentéstételi platformon keresztül történő terjesztését a kiberbiztonsággal összefüggő jogos indokok alapján, a feltétlenül szükségesnél nem hosszabb ideig és addig az időpontig, amíg az összehangolt sérülékenység-közzétételi eljárásban érintett felek beleegyezésüket nem adják a közzétételhez. Ez a követelmény nem akadályozza meg a gyártókat abban, hogy önkéntes alapon, az e cikkben meghatározott eljárással összhangban jelentsék be az ilyen sérülékenységet.

A jelentéstétellel összefüggő egyéb rendelkezések

(1) A ENISA elküldheti az e rendelet 14. cikke (1) és (3) bekezdése és 15. cikke (1) és (2) bekezdése szerint bejelentett információkat az (EU) 2022/2555 irányelv 16. cikkével létrehozott Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (EU-CyCLONe) számára, amennyiben ezek az információk relevánsak a nagyszabású kiberbiztonsági események és válságok operatív szintű összehangolt kezelése szempontjából. E relevancia meghatározása céljából az ENISA mérlegelheti a CSIRT-hálózat által végzett műszaki elemzéseket, amennyiben azok rendelkezésre állnak.

(2) Amennyiben a digitális elemeket tartalmazó termék biztonságát érintő súlyos esemény megelőzéséhez vagy enyhítéséhez, vagy egy folyamatban lévő esemény kezeléséhez a nyilvánosság tájékoztatására van szükség, vagy ha az esemény nyilvánosságra hozatala egyéb módon közérdeket szolgál, az érintett tagállam koordinátorként kijelölt CSIRT-je az érintett gyártóval folytatott konzultációt követően és adott esetben az ENISA-val együttműködve tájékoztathatja a nyilvánosságot az eseményről, vagy ennek megtételét megkövetelheti a gyártótól.

(3) Az ENISA az e rendelet 14. cikke (1) és (3) bekezdése és 15. cikke (1) és (2) bekezdése szerint kapott értesítések alapján 24 havonta technikai jelentést készít a digitális elemeket tartalmazó termékek kiberbiztonsági kockázataival kapcsolatban felmerülő tendenciákról, és benyújtja azt az (EU) 2022/2555 irányelv 14. cikke szerint létrehozott említett együttműködési csoportnak. Az első ilyen jelentést a 14. cikk (1) és (3) bekezdésben meghatározott kötelezettségek alkalmazása megkezdésének napjától számított 24 hónapon belül kell benyújtani. Az ENISA a technikai jelentéseiben szereplő releváns információkat belefoglalja az Unió kiberbiztonságának helyzetéről szóló, az (EU) 2022/2555 irányelv 18. cikke szerinti jelentésébe.

(4) A 14. cikk (1) és (3) bekezdésével vagy a 15. cikk (1) és (2) bekezdésével összhangban tett értesítés önmagában nem vonja maga után az értesítő természetes vagy jogi személy fokozott felelősségét.

(5) Miután rendelkezésre áll biztonsági frissítés vagy a korrekciós vagy enyhítő intézkedések más formája, az ENISA az érintett digitális elemeket tartalmazó termék gyártójával egyetértésben felveszi az e rendelet 14. cikkének (1) bekezdése vagy 15. cikkének (1) bekezdése alapján bejelentett, nyilvánosan ismert sérülékenységet az (EU) 2022/2555 irányelv 12. cikkének (2) bekezdése alapján létrehozott európai sérülékenység-adatbázisba.

(6) A koordinátorként kijelölt CSIRT-ek ügyfélszolgálati támogatást nyújtanak a gyártóknak a 14. cikk szerinti jelentéstételi kötelezettségekkel kapcsolatban és különösen azoknak a gyártóknak, amelyek mikrovállalkozásnak vagy kis- vagy középvállalkozásnak minősülnek.

Meghatalmazott képviselők

(1) A gyártó írásbeli megbízással meghatalmazott képviselőt nevezhet ki.

(2) A 13. cikk (1)–(11) bekezdésében, a 13. cikk (12) bekezdésének első albekezdésében, valamint a 13. cikk (14) bekezdésében meghatározott kötelezettségek nem képezik a meghatalmazott képviselő megbízatásának részét.

(3) A meghatalmazott képviselő a gyártótól kapott megbízatásban meghatározott feladatokat látja el. A meghatalmazott képviselő kérésre a piacfelügyeleti hatóságok rendelkezésére bocsátja a meghatalmazás egy példányát. A megbízatásnak legalább a következők elvégzésére kell engedélyt adnia a meghatalmazott képviselő számára:

Az importőrök kötelezettségei

(1) Az importőrök kizárólag olyan digitális elemeket tartalmazó termékeket hozhatnak forgalomba, amelyek megfelelnek az I. melléklet I. részében meghatározott alapvető kiberbiztonsági követelményeknek, és amelyek tekintetében a gyártó által bevezetett eljárások megfelelnek az I. melléklet II. részében meghatározott alapvető kiberbiztonsági követelményeknek.

(2) A digitális elemeket tartalmazó termék forgalomba hozatala előtt az importőrök gondoskodnak arról, hogy:

E bekezdés alkalmazásában az importőröknek képesnek kell lenniük az e cikkben meghatározott követelmények teljesítésének igazolásához szükséges dokumentumok benyújtására.

(3) Amennyiben az importőr úgy ítéli meg, vagy okkal feltételezi, hogy a digitális elemeket tartalmazó termék vagy a gyártó által bevezetett eljárások nem felelnek meg e rendeletnek, az importőr addig nem hozhatja forgalomba a terméket, amíg az adott terméket vagy a gyártó által bevezetett eljárásokat nem tették e rendeletnek megfelelővé. Továbbá, amennyiben a digitális elemeket tartalmazó termék jelentős kiberbiztonsági kockázatot jelent, az importőr erről tájékoztatja a gyártót, valamint a piacfelügyeleti hatóságokat.

Amennyiben az importőrnek oka van feltételezni, hogy valamely digitális elemeket tartalmazó termék – nem technikai kockázati tényezők fényében – jelentős kiberbiztonsági kockázatot jelenthet, tájékoztatja erről a piacfelügyeleti hatóságokat. E tájékoztatás kézhezvételét követően a piacfelügyeleti hatóságok az 54. cikk (2) bekezdésében említett eljárásokat követik.

(4) Az importőr a digitális elemeket tartalmazó terméken vagy annak csomagolásán vagy a digitális elemeket tartalmazó terméket kísérő dokumentumban feltünteti a nevét, bejegyzett kereskedelmi nevét vagy bejegyzett védjegyét, valamint azt a postai címet, e-mail-címet, vagy más digitális elérhetőséget, továbbá adott esetben honlapot, amelyen keresztül kapcsolatba lehet lépni vele. Az elérhetőségi adatokat a felhasználók és a piacfelügyeleti hatóságok számára könnyen érthető nyelven kell megadni.

(5) Azok az importőrök, amelyek tudják vagy okkal feltételezik, hogy az általuk forgalomba hozott digitális elemeket tartalmazó termék nem felel meg e rendeletnek, haladéktalanul meghozzák a szükséges korrekciós intézkedéseket annak biztosítására, hogy a digitális elemeket tartalmazó termék megfeleljen e rendeletnek, vagy adott esetben kivonják a forgalomból vagy visszahívják a terméket.

Az importőrök, amint tudomást szereznek valamely sérülékenységről a digitális elemeket tartalmazó termékben, indokolatlan késedelem nélkül tájékoztatják a gyártót erről a sérülékenységről. Továbbá abban az esetben, ha a digitális elemeket tartalmazó termék jelentős kiberbiztonsági kockázatot jelent, az importőrök erről – különösen a megfelelés hiányának és a meghozott bármely korrekciós intézkedésnek a részleteiről – haladéktalanul tájékoztatják azon tagállamok piacfelügyeleti hatóságait, amelyekben a szóban forgó, digitális elemeket tartalmazó terméket forgalmazták.

(6) Az importőrök a digitális elemeket tartalmazó termék forgalomba hozatalát követően a piacfelügyeleti hatóságok számára legalább 10 évig vagy a támogatási időszak végéig – attól függően, hogy melyik a hosszabb időszak – elérhetővé teszik az EU-megfelelőségi nyilatkozat egy példányát, és biztosítják, hogy a műszaki dokumentáció kérésre e hatóságok rendelkezésére bocsátható legyen.

(7) Az importőrök, valamely piacfelügyeleti hatóság indokolt kérésére, az adott hatóság által könnyen érthető nyelven a rendelkezésére bocsátanak minden olyan papíralapú vagy elektronikus formátumú információt és dokumentációt, amely szükséges annak igazolásához, hogy a digitális elemeket tartalmazó termék megfelel az I. melléklet I. részében meghatározott alapvető kiberbiztonsági követelményeknek, valamint a gyártó által bevezetett eljárások megfelelnek az I. melléklet II. részében meghatározott alapvető kiberbiztonsági követelményeknek. Az importőrök az említett hatóság felkérésére együttműködnek vele az általuk forgalomba hozott, digitális elemeket tartalmazó termék jelentette kiberbiztonsági kockázatok kiküszöbölése érdekében tett intézkedések terén.

(8) Amennyiben a digitális elemeket tartalmazó termék importőre tudomást szerez arról, hogy a termék gyártója beszüntette működését, és ennek következtében nem képes megfelelni az e rendeletben meghatározott kötelezettségeknek, az importőr tájékoztatja a releváns piacfelügyeleti hatóságokat erről a helyzetről, valamint bármely rendelkezésre álló eszközzel és a lehetséges mértékben tájékoztatja a forgalomba hozott, digitális elemeket tartalmazó termékek felhasználóit.

A forgalmazók kötelezettségei

(1) A digitális elemeket tartalmazó termék forgalmazásakor a forgalmazók kellő gondossággal járnak el az e rendeletben meghatározott követelményekkel kapcsolatban.

(2) A digitális elemeket tartalmazó termék forgalmazása előtt a forgalmazók ellenőrzik, hogy:

(3) Amennyiben a forgalmazó a birtokában lévő információk alapján úgy ítéli meg, vagy okkal feltételezi, hogy a digitális elemeket tartalmazó termék vagy a gyártó által bevezetett eljárások nem felelnek meg az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek, a forgalmazó addig nem forgalmazhatja a terméket, amíg az adott terméket vagy a gyártó által bevezetett eljárásokat nem tették e rendeletnek megfelelővé. Továbbá, amennyiben a digitális elemeket tartalmazó termék jelentős kiberbiztonsági kockázatot jelent, a forgalmazó erről indokolatlan késedelem nélkül tájékoztatja a gyártót, valamint a piacfelügyeleti hatóságokat.

(4) Azok a forgalmazók, amelyek a birtokukban lévő információk alapján tudják, vagy okuk van feltételezni, hogy a forgalmazott, digitális elemeket tartalmazó termék vagy annak gyártója által bevezetett eljárások nem felelnek meg e rendeletnek, gondoskodnak arról, hogy meghozzák a szükséges korrekciós intézkedéseket e digitális elemeket tartalmazó termék vagy annak gyártója által bevezetett eljárások megfelelőségének biztosítása, vagy adott esetben a termék forgalomból történő kivonása vagy visszahívása érdekében.

A forgalmazók, amint tudomást szereznek valamely sérülékenységről a digitális elemeket tartalmazó termékben, indokolatlan késedelem nélkül tájékoztatják a gyártót erről a sérülékenységről. Továbbá abban az esetben, ha a digitális elemeket tartalmazó termék jelentős kiberbiztonsági kockázatot jelent, a forgalmazók erről – különösen a megfelelés hiányának és a meghozott bármely korrekciós intézkedésnek a részleteiről – haladéktalanul tájékoztatják azon tagállamok piacfelügyeleti hatóságait, amelyekben a szóban forgó, digitális elemeket tartalmazó terméket forgalmazták.

(5) A forgalmazók, valamely piacfelügyeleti hatóság indokolt kérésére, az adott hatóság által könnyen érthető nyelven a rendelkezésére bocsátanak minden olyan papíralapú vagy elektronikus formátumú információt és dokumentációt, amely szükséges annak igazolásához, hogy a digitális elemeket tartalmazó termék, valamint a gyártó által bevezetett eljárások megfelelnek-e e rendeletnek. A forgalmazók az említett hatóság felkérésére együttműködnek vele az általuk forgalmazott, digitális elemeket tartalmazó termék jelentette kiberbiztonsági kockázatok kiküszöbölése érdekében tett intézkedések terén.

(6) Amennyiben a digitális elemeket tartalmazó termék forgalmazója a birtokában lévő információk alapján tudomást szerez arról, hogy a termék gyártója beszüntette működését, és ennek következtében nem képes megfelelni az e rendeletben meghatározott kötelezettségeknek, a forgalmazó indokolatlan késedelem nélkül tájékoztatja a releváns piacfelügyeleti hatóságokat erről a helyzetről, valamint bármely rendelkezésre álló eszközzel és a lehetséges mértékben tájékoztatja a forgalomba hozott, digitális elemeket tartalmazó termékek felhasználóit.

Esetek, amelyekben a gyártók kötelezettségei az importőrökre és a forgalmazókra vonatkoznak

Egy importőrt vagy forgalmazót e rendelet alkalmazásában gyártónak kell tekinteni, és vonatkozik rá a 13. és 14. cikke ha az importőr vagy a forgalmazó saját neve vagy védjegye alatt hoz forgalomba digitális elemeket tartalmazó terméket, vagy jelentős módosítást hajt végre egy már forgalomba hozott, digitális elemeket tartalmazó terméken.

Egyéb esetek, amikor a gyártók kötelezettségei alkalmazandók

(1) E rendelet alkalmazásában gyártónak kell tekinteni azt a gyártótól, importőrtől vagy forgalmazótól eltérő természetes vagy jogi személyt, aki vagy amely a digitális elemeket tartalmazó terméken lényegi módosítást hajt végre, és az említett terméket forgalmazza.

(2) Az e cikk (1) bekezdésében említett személyre a 13. és 14. cikkben meghatározott kötelezettségek vonatkoznak a digitális elemeket tartalmazó termék azon része tekintetében, amelyet a lényegi módosítás érint, vagy ha a lényegi módosítás hatással van a digitális elemeket tartalmazó termék egészének kiberbiztonságára, a termék egésze tekintetében.

A gazdasági szereplők azonosítása

(1) A gazdasági szereplők kérésre a piacfelügyeleti hatóságok rendelkezésére bocsátják a következő információkat:

(2) A gazdasági szereplőknek a digitális elemeket tartalmazó termék részükre vagy általuk történő szállítását követően 10 évig képesnek kell lenniük az (1) bekezdésben említett információk bemutatására.

A nyílt forráskódú szoftverek támogatóira vonatkozó kötelezettségek

(1) A nyílt forráskódú szoftverek támogatói kiberbiztonsági szakpolitikát vezetnek be és ellenőrizhető módon dokumentálják azt, hogy előmozdítsák a digitális elemeket tartalmazó biztonságos termékek kifejlesztését, valamint az adott termék sérülékenységeinek annak fejlesztői által történő hatékony kezelését. E szakpolitikának elő kell segítenie továbbá, hogy az adott termék fejlesztői a 15. cikkben meghatározottak szerint önkéntesen jelentsék a sérülékenységeket, és figyelembe vegyék a nyílt forráskódú szoftverek támogatójának sajátos jellegét, valamint a rá vonatkozó jogi és szervezési intézkedéseket. E szakpolitikának ki kell terjednie különösen a sérülékenységek dokumentálásával, kezelésével és orvoslásával kapcsolatos szempontokra, és elő kell mozdítania a felfedezett sérülékenységekre vonatkozó információk megosztását a nyílt forráskódú szoftverekkel foglalkozó közösségen belül.

(2) A nyílt forráskódú szoftverek támogatói a piacfelügyeleti hatóságok kérésére együttműködnek velük a szabad és nyílt forráskódú szoftvernek minősülő, digitális elemeket tartalmazó termék által jelentett kiberbiztonsági kockázatok csökkentése érdekében.

A piacfelügyeleti hatóság indokolt kérésére a nyílt forráskódú szoftverek támogatói e hatóság számára könnyen érthető nyelven papíralapú vagy elektronikus formában rendelkezésre bocsátják az (1) bekezdésben említett dokumentációt.

(3) A 14. cikk (1) bekezdésében meghatározott kötelezettségek a nyílt forráskódú szoftverek támogatóira annyiban vonatkoznak, amilyen mértékig bevonódnak a digitális elemeket tartalmazó termékek fejlesztésébe. A 14. cikk (3) és (8) bekezdésében meghatározott kötelezettségek annyiban alkalmazandók a nyílt forráskódú szoftverek támogatóira, amennyiben a digitális elemeket tartalmazó termékek biztonságát érintő súlyos események hatással vannak a nyílt forráskódú szoftverek támogatói által az ilyen termékek fejlesztése céljából biztosított hálózati és információs rendszerekre.

A szabad és nyílt forráskódú szoftver biztonsági tanúsítása

A 13. cikk (5) bekezdésében meghatározott kellő gondossági kötelezettség megkönnyítése érdekében, különösen azon gyártók tekintetében, amelyek szabad és nyílt forráskódú szoftver-alkotóelemeket építenek be a digitális elemeket tartalmazó termékeikbe, a Bizottság felhatalmazást kap arra, hogy a 61. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el e rendelet kiegészítése céljából olyan önkéntes biztonsági tanúsítási programok létrehozása révén, amelyek lehetővé teszik a szabad és nyílt forráskódú szoftvernek minősülő, digitális elemeket tartalmazó termékek fejlesztői vagy felhasználói, valamint más harmadik felek számára annak értékelését, hogy az ilyen termékek megfelelnek-e az e rendeletben meghatározott valamennyi alapvető követelménynek vagy bizonyos alapvető kiberbiztonsági követelményeknek vagy egyéb kötelezettségnek.

Útmutatás

(1) A végrehajtás megkönnyítése és következetességének biztosítása érdekében a Bizottság útmutatást tesz közzé, hogy segítse a gazdasági szereplőket e rendelet alkalmazásában, különös tekintettel a mikrovállalkozások, valamint a kis- és középvállalkozások megfelelésének elősegítésére.

(2) Amennyiben az (1) bekezdésben említett útmutatást kíván nyújtani, a Bizottság legalább a következő szempontokkal foglalkozik:

A Bizottság emellett könnyen hozzáférhető listát vezet az e rendelet alapján elfogadott felhatalmazáson alapuló jogi aktusokról és végrehajtási jogi aktusokról.

(3) Az e cikk szerinti útmutatások elkészítésekor a Bizottság konzultál a releváns érdekelt felekkel.

A megfelelőség vélelme

(1) Azokról a digitális elemeket tartalmazó termékekről és gyártó által bevezetett eljárásokról, amelyek megfelelnek azon harmonizált szabványoknak, illetve azok egy részének, amelyek hivatkozásait közzétették az Európai Unió Hivatalos Lapjában, vélelmezni kell, hogy megfelelnek az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek, amelyekre az említett szabványok vagy azok részei vonatkoznak.

A Bizottság az 1025/2012/EU rendelet 10. cikkének (1) bekezdésével összhangban felkér egy vagy több európai szabványügyi szervezetet, hogy dolgozzanak ki harmonizált szabványokat az e rendelet I. mellékletében meghatározott alapvető kiberbiztonsági követelmények tekintetében. Az e rendelettel kapcsolatos szabványosítási kérelem elkészítésekor a harmonizált szabványok kidolgozásának egyszerűsítése érdekében a Bizottság törekszik arra, hogy figyelembe vegye a kiberbiztonságra vonatkozó, meglévő vagy kidolgozás alatt álló európai és nemzetközi szabványokat, az 1025/2012/EU rendelettel összhangban.

(2) A Bizottság végrehajtási jogi aktusokat fogadhat el az e rendelet hatálya alá tartozó, digitális elemeket tartalmazó termékekre vonatkozó, az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek való megfeleléshez szükséges eszközöket biztosító műszaki követelményekre vonatkozó egységes előírások megállapítása céljából.

Ezeket a végrehajtási jogi aktusokat csak a következő feltételek teljesülése esetén lehet elfogadni:

Ezeket a végrehajtási jogi aktusokat a 62. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(3) Az e cikk (3) bekezdésében említett végrehajtási jogi aktus tervezetének kidolgozása előtt a Bizottság tájékoztatja az 1025/2012/EU rendelet 22. cikkében említett bizottságot arról, hogy megítélése szerint teljesülnek-e az e cikk (2) bekezdésében foglalt feltételek.

(4) A (2) bekezdésben említett végrehajtási jogi aktus tervezetének elkészítésekor a Bizottság figyelembe veszi a releváns szervek véleményét, és megfelelő konzultációt folytat valamennyi releváns érdekelt féllel.

(5) Azokról a digitális elemeket tartalmazó termékekről és gyártó által bevezetett eljárásokról, amelyek megfelelnek az e cikk (2) bekezdésében említett végrehajtási jogi aktusok által meghatározott közös előírásoknak vagy azok részeinek, vélelmezni kell, hogy megfelelnek azoknak az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek, amelyekre az említett közös előírások vagy azok részei vonatkoznak.

(6) Amennyiben egy európai szabványügyi szervezet harmonizált szabványt fogad el, és javasolja a Bizottságnak, hogy arra vonatkozóan tegyen közzé hivatkozást az Európai Unió Hivatalos Lapjában, a Bizottság az 1025/2012/EU rendelettel összhangban értékeli a harmonizált szabványt. Amikor valamely harmonizált szabvány hivatkozását közzéteszik az Európai Unió Hivatalos Lapjában, a Bizottság hatályon kívül helyezi az e cikk (2) bekezdésben említett végrehajtási jogi aktusokat vagy azok azon részeit, amelyek e harmonizált szabvány hatálya alá tartozó ugyanazon alapvető kiberbiztonsági követelményekre vonatkoznak.

(7) Ha egy tagállam úgy ítéli meg, hogy valamely közös előírás nem felel meg teljes mértékben a I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek, erről részletes magyarázat benyújtásával tájékoztatja a Bizottságot. A Bizottság értékeli ezt a részletes magyarázatot, és adott esetben módosíthatja a szóban forgó közös előírást megállapító végrehajtási aktust.

(8) Azokról a digitális elemeket tartalmazó termékekről és gyártó által bevezetett eljárásokról, amelyekre vonatkozóan az (EU) 2019/881 rendelet alapján elfogadott európai kiberbiztonsági tanúsítási rendszer keretében EU-megfelelőségi nyilatkozatot vagy tanúsítványt állítottak ki, vélelmezni kell, hogy megfelelnek az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek, amennyiben az EU-megfelelőségi nyilatkozat vagy az európai kiberbiztonsági tanúsítvány vagy annak részei kiterjednek az említett követelményekre.

(9) A Bizottság felhatalmazást kap arra, hogy e rendelet 61. cikkével összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el e rendelet kiegészítése céljából, amelyekben meghatározza azokat az (EU) 2019/881 rendelet alapján elfogadott európai kiberbiztonsági tanúsítási rendszereket, amelyek felhasználhatók annak igazolására, hogy a digitális elemeket tartalmazó termékek megfelelnek az e rendelet I. mellékletében meghatározott alapvető kiberbiztonsági követelményeknek vagy azok részeinek. Emellett az ilyen rendszerek keretében kiadott, legalább „jelentős” szintű európai kiberbiztonsági tanúsítvány kiállítása megszünteti a gyártó azon kötelezettségét, hogy az e rendelet 32. cikke (2) bekezdésének a) és b) pontjában, valamint 32. cikke (3) bekezdésének a) és b) pontjában meghatározottak szerinti, harmadik fél által végzett megfelelőségértékelési eljárást folytasson le a vonatkozó követelmények tekintetében.

EU-megfelelőségi nyilatkozat

(1) Az EU-megfelelőségi nyilatkozatot a gyártók a 13. cikk (12) bekezdésével összhangban készítik el, és az igazolja, hogy teljesültek az I. mellékletben meghatározott, alkalmazandó alapvető kiberbiztonsági követelmények.

(2) Az EU-megfelelőségi nyilatkozat felépítése megfelel az V. mellékletben meghatározott mintának, és tartalmazza a VIII. mellékletben meghatározott vonatkozó megfelelőségértékelési eljárásokban meghatározott elemeket. A nyilatkozatot adott esetben aktualizálni kell. A nyilatkozatot azon tagállam által előírt nyelveken kell rendelkezésre bocsátani, amelyben a digitális elemeket tartalmazó terméket forgalomba hozzák vagy forgalmazzák.

A 13. cikk (20) bekezdésében említett egyszerűsített EU-megfelelőségi nyilatkozat felépítése megfelel a VI. mellékletben meghatározott mintának. A nyilatkozatot azon tagállam által előírt nyelveken kell rendelkezésre bocsátani, amelyben a digitális elemeket tartalmazó terméket forgalomba hozzák vagy forgalmazzák.

(3) Amennyiben a digitális elemeket tartalmazó termékre több olyan uniós jogi aktus alkalmazandó, amely EU-megfelelőségi nyilatkozatot ír elő, az összes ilyen uniós jogi aktus tekintetében egyetlen EU-megfelelőségi nyilatkozatot készítenek el. E nyilatkozat tartalmazza az érintett uniós jogi aktusokat, a közzétételükre vonatkozó hivatkozásokkal együtt.

(4) Az EU-megfelelőségi nyilatkozat elkészítésével a gyártó felelősséget vállal a digitális elemeket tartalmazó termék megfelelőségéért.

(5) A Bizottság felhatalmazást kap arra, hogy a 61. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el e rendelet kiegészítése céljából, amelyekben a technológiai fejlődés figyelembevétele érdekében további elemeket ad az EU-megfelelőségi nyilatkozat V. mellékletben meghatározott minimális tartalmához.

A CE-jelölésre vonatkozó általános elvek

A CE-jelölésre a 765/2008/EK rendelet 30. cikkében meghatározott általános elvek vonatkoznak.

A CE-jelölés elhelyezésére vonatkozó szabályok és feltételek

(1) A CE-jelölést a digitális elemeket tartalmazó terméken jól láthatóan, olvashatóan és eltávolíthatatlanul kell elhelyezni. Amennyiben ez a digitális elemeket tartalmazó termék jellege miatt nem lehetséges vagy nem indokolt, azt a csomagoláson és a digitális elemeket tartalmazó terméket kísérő, 28. cikkben említett EU-megfelelőségi nyilatkozaton kell elhelyezni. A szoftver formájában készült, digitális elemeket tartalmazó termékek esetében a CE-jelölést vagy a 28. cikkben említett EU-megfelelőségi nyilatkozaton, vagy a szoftverterméket kísérő weboldalon kell elhelyezni. Utóbbi esetben a weboldal releváns részének könnyen és közvetlenül hozzáférhetőnek kell lennie a fogyasztók számára.

(2) Ha a digitális elemeket tartalmazó termék jellege ezt kívánja, 5 mm-nél kisebb CE-jelölést is el lehet helyezni rajta, feltéve, hogy a jelölés látható és olvasható marad.

(3) A CE-jelölést a digitális elemeket tartalmazó termék forgalomba hozatala előtt kell elhelyezni a terméken. A jelölést a (6) bekezdésben említett végrehajtási jogi aktusokban meghatározott bármilyen egyéb, különleges kiberbiztonsági kockázatot vagy felhasználást jelölő piktogram vagy jelölés követheti.

(4) A CE-jelölést a bejelentett szervezet azonosító száma követi, amennyiben e szervezet részt vesz a 32. cikkben említett teljes minőségbiztosításon alapuló megfelelőségértékelési eljárásban (a H modul alapján).

A bejelentett szervezet azonosító számát maga a szervezet vagy annak utasításai alapján a gyártó, vagy a gyártó meghatalmazott képviselője tünteti fel.

(5) A tagállamok meglévő mechanizmusokra támaszkodva biztosítják a CE-jelölést szabályozó rendszer megfelelő alkalmazását, és a jelölések helytelen használata esetén megfelelő lépéseket tesznek. Ha a digitális elemeket tartalmazó termékek e rendelettől eltérő uniós harmonizációs jogszabály hatálya alá is tartoznak, amely szintén előírja a CE-jelölés elhelyezését, a CE-jelölésben jelezni kell, hogy a digitális elemeket tartalmazó termékek ezen egyéb uniós harmonizációs jogszabályban meghatározott követelményeknek is megfelelnek.

(6) A Bizottság végrehajtási jogi aktusok révén műszaki előírásokat állapíthat meg a digitális elemeket tartalmazó termékek biztonságával kapcsolatos címkékre, piktogramokra vagy bármely más jelölésre, a termékek támogatási időszakára, valamint az ezek használatát előmozdító és a digitális elemeket tartalmazó termékek biztonságával kapcsolatos tudatosságot növelő mechanizmusokra vonatkozóan. A végrehajtási jogi aktusok tervezetének elkészítésekor a Bizottság konzultál a releváns érdekelt felekkel és – amennyiben az 52. cikk (15) bekezdése alapján már létrehozták – az ADCO-val. Ezeket a végrehajtási jogi aktusokat a 62. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

Műszaki dokumentáció

(1) A műszaki dokumentációnak tartalmaznia kell az azon eszközökre vonatkozó valamennyi releváns adatot vagy részletet, amelyet a gyártó annak biztosítására használ, hogy a digitális elemeket tartalmazó termék és az általa bevezetett eljárások megfeleljenek az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek. A műszaki dokumentációnak tartalmaznia kell legalább a VII. mellékletben meghatározott elemeket.

(2) A műszaki dokumentációt a digitális elemeket tartalmazó termék forgalomba hozatala előtt kell elkészíteni, és adott esetben legalább a támogatási időszak alatt folyamatosan naprakésszé kell tenni.

(3) A 12. cikkben említett, digitális elemeket tartalmazó azon termékek esetében, amelyek más, műszaki dokumentációról rendelkező uniós jogi aktusok hatálya alá is tartoznak, egyetlen egységes műszaki dokumentációt kell készíteni, amely tartalmazza a VII. mellékletben említett információkat és az említett uniós jogi aktusokban előírt információkat.

(4) A megfelelőségértékelési eljárásokra vonatkozó műszaki dokumentáció és írásbeli kommunikáció nyelve a bejelentett szervezet letelepedése szerinti tagállam valamely hivatalos nyelve vagy valamely, e szervezet számára elfogadható nyelv.

(5) A Bizottság felhatalmazást kap arra, hogy a 61. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el e rendelet kiegészítése céljából úgy, hogy a technológiai fejlődés, valamint az e rendelet végrehajtási folyamata során tapasztalt fejlemények figyelembevétele érdekében további elemeket ad a VII. mellékletben meghatározott, műszaki dokumentációban feltüntetendő elemekhez. E célból a Bizottság törekszik annak biztosítására, hogy a mikrovállalkozásokra, valamint a kis- és középvállalkozásokra háruló adminisztratív terhek arányosak legyenek.

A digitális elemeket tartalmazó termékek megfelelőségértékelési eljárásai

(1) A gyártó elvégzi a digitális elemeket tartalmazó termék és a gyártó által bevezetett eljárások megfelelőségértékelését annak eldöntése érdekében, hogy teljesülnek-e az I. mellékletben meghatározott alapvető kiberbiztonsági követelmények. A gyártónak a következő eljárások valamelyikének alkalmazásával kell igazolnia az alapvető kiberbiztonsági követelményeknek való megfelelést:

(2) Amennyiben annak értékelése során, hogy a III. mellékletben meghatározott I. osztályba tartozó, digitális elemeket tartalmazó fontos termék és a gyártója által bevezetett eljárások megfelelnek-e az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek, a gyártó nem alkalmazott vagy csak részben alkalmazott a 27. cikkben említett harmonizált szabványokat, közös előírásokat vagy legalább „jelentős” megbízhatósági szintű európai kiberbiztonsági tanúsítási rendszereket, vagy ha ilyen harmonizált szabványok, közös előírások vagy európai kiberbiztonsági tanúsítási rendszerek nem léteznek, akkor az érintett, digitális elemeket tartalmazó terméket és a gyártó által bevezetett eljárásokat az említett alapvető kiberbiztonsági követelmények tekintetében a következő eljárások valamelyikének kell alávetni:

(3) Amennyiben a termék a III. mellékletben meghatározott II. osztályba tartozó, digitális elemeket tartalmazó fontos termék, akkor a gyártónak az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek való megfelelést a következő eljárások valamelyikének alkalmazásával kell igazolni:

(4) A IV. mellékletben felsorolt, digitális elemeket tartalmazó kritikus fontosságú termékeknek az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek való megfelelését a következő eljárások egyikének alkalmazásával kell igazolni:

(5) A III. mellékletben meghatározott kategóriákba tartozó, szabad és nyílt forráskódú szoftvernek minősülő, digitális elemeket tartalmazó termékek gyártóinak az e cikk (1) bekezdésében említett eljárások egyikének alkalmazásával képesnek kell lenniük az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek való megfelelés igazolására, feltéve, hogy a 31. cikkben említett műszaki dokumentációt a szóban forgó termékek forgalomba hozatalakor a nyilvánosság rendelkezésére bocsátják.

(6) A megfelelőségértékelési eljárások díjainak meghatározásakor figyelembe kell venni a mikrovállalkozások és a kis- és középvállalkozások – köztük az induló innovatív vállalkozások – sajátos érdekeit és szükségleteit, és ezeket a díjakat sajátos érdekeikkel és szükségleteikkel arányosan csökkenteni kell.

A mikrovállalkozásokat és a kis- és középvállalkozásokat, köztük az induló innovatív vállalkozásokat támogató intézkedések

(1) A tagállamok adott esetben a mikro- és kisvállalkozások igényeire szabott következő intézkedéseket hajtják végre:

(2) A tagállamok adott esetben létrehozhatnak a kiberrezilienciával kapcsolatos szabályozói tesztkörnyezeteket. Az ilyen szabályozói tesztkörnyezeteknek ellenőrzött tesztelési környezetet kell biztosítaniuk a digitális elemeket tartalmazó innovatív termékek számára, hogy a forgalomba hozatalt megelőzően korlátozott ideig megkönnyítsék az e rendeletnek való megfelelés céljából történő fejlesztésüket, tervezésüket, érvényesítésüket és tesztelésüket. A Bizottság és adott esetben az ENISA technikai támogatást, tanácsadást és eszközöket nyújthat a szabályozói tesztkörnyezetek létrehozásához és működtetéséhez. A szabályozói tesztkörnyezeteket a piacfelügyeleti hatóságok közvetlen felügyelete, útmutatása és támogatása mellett kell létrehozni. A tagállamok az ADCO-n keresztül tájékoztatják a Bizottságot és a többi piacfelügyeleti hatóságot a szabályozói tesztkörnyezet létrehozásáról. A szabályozói tesztkörnyezetek nem érinthetik az illetékes hatóságok felügyeleti és korrekciós hatásköreit. A tagállamok biztosítják a szabályozói tesztkörnyezetekhez való nyílt, tisztességes és átlátható hozzáférést és különösen megkönnyítik a mikro- és kisvállalkozások, köztük az induló innovatív vállalkozások hozzáférését.

(3) A 26. cikkel összhangban a Bizottság útmutatást nyújt a mikrovállalkozások, valamint a kis- és középvállalkozások számára e rendelet végrehajtásával kapcsolatban.

(4) A Bizottság népszerűsíti a meglévő uniós programok szabályozási keretén belül rendelkezésre álló pénzügyi támogatást, különösen a mikrovállalkozások és a kisvállalkozások pénzügyi terheinek enyhítése érdekében.

(5) A mikro- és kisvállalkozások egyszerűsített formátumban is rendelkezésre bocsáthatják a VII. mellékletben meghatározott műszaki dokumentáció valamennyi elemét. E célból a Bizottság végrehajtási jogi aktusok útján meghatározza a mikro- és kisvállalkozások igényeihez igazodó egyszerűsített műszaki dokumentációs formanyomtatványt, beleértve a VII. mellékletben meghatározott elemek rendelkezésre bocsátásának módját is. Amennyiben egy mikrovállalkozás vagy kisvállalkozás úgy dönt, hogy a VII. mellékletben meghatározott információkat egyszerűsített módon bocsátja rendelkezésre, az e bekezdésben említett formanyomtatványt kell használnia. A bejelentett szervezeteknek a megfelelőségértékelés céljából el kell fogadniuk ezt a formanyomtatványt.

Ezeket a végrehajtási jogi aktusokat a 62. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

Kölcsönös elismerési megállapodások

Figyelembe véve a műszaki fejlettség szintjét és a harmadik országok megfelelőségértékelésére vonatkozó megközelítését, az Unió az EUMSZ 218. cikkével összhangban kölcsönös elismerési megállapodásokat köthet harmadik országokkal a nemzetközi kereskedelem előmozdítása és megkönnyítése érdekében.

Bejelentés

(1) A tagállamok bejelentik a Bizottságnak és a többi tagállamnak azokat a szervezeteket, amelyeket felhatalmaztak e rendelettel összhangban megfelelőségértékelési feladatok elvégzésére.

(2) A tagállamok törekednek annak biztosítására, hogy 2026. december 11-ig az Unióban legyen elegendő számú bejelentett szervezet a megfelelőségértékelés elvégzéséhez a piacra lépéssel összefüggő szűk keresztmetszetek és akadályok elkerülése érdekében.

Bejelentő hatóságok

(1) Minden egyes tagállam bejelentő hatóságot jelöl ki, amely felel a megfelelőségértékelő szervezetek értékeléséhez, kijelöléséhez és bejelentéséhez szükséges eljárások kialakításáért és végrehajtásáért, valamint a szervezetek nyomon követéséért, ideértve a 41. cikknek való megfelelést is.

(2) A tagállamok dönthetnek úgy, hogy az (1) bekezdésben említett értékelést és nyomon követést egy, a 765/2008/EK rendelet értelmében vett nemzeti akkreditáló testület végzi el az említett rendelettel összhangban.

(3) Amennyiben a bejelentő hatóság az e cikk (1) bekezdésében említett értékelést, bejelentést vagy nyomon követést átruházza vagy egyéb módon egy olyan szervezetre bízza, amely nem kormányzati szervezet, akkor ez utóbbi szervezetnek jogalanynak kell lennie, és értelemszerűen meg kell felelnie a 37. cikknek. Emellett ennek a szervezetnek a tevékenységeiből eredő felelősségére kiterjedő megállapodásokkal kell rendelkeznie.

(4) A bejelentő hatóság teljes felelősséget vállal a (3) bekezdésben említett szervezet által elvégzett feladatokért.

A bejelentő hatóságokra vonatkozó követelmények

(1) A bejelentő hatóságot úgy kell létrehozni, hogy ne alakuljon ki összeférhetetlenség a megfelelőségértékelő szervezetekkel.

(2) A bejelentő hatóságot úgy kell megszervezni és annak úgy kell működnie, hogy biztosíthassa tevékenységeinek objektivitását és pártatlanságát.

(3) A bejelentő hatóságot úgy kell megszervezni, hogy a megfelelőségértékelő szervezet bejelentésével kapcsolatban minden egyes döntést az értékelést végzőktől eltérő illetékes személy hozzon meg.

(4) A bejelentő hatóság nem kínálhat vagy végezhet semmilyen olyan tevékenységet, amelyet a megfelelőségértékelő szervezetek végeznek, valamint nem nyújthat szaktanácsadási szolgáltatást kereskedelmi vagy piaci alapon.

(5) A bejelentő hatóság megőrzi a kapott információ bizalmas jellegét.

(6) A bejelentő hatóság kellő létszámban hozzáértő személyzettel rendelkezik ahhoz, hogy megfelelően ellássa feladatait.

A bejelentő hatóságokkal kapcsolatos tájékoztatási kötelezettség

(1) A tagállamok tájékoztatják a Bizottságot a megfelelőségértékelő szervezetek értékelésére és bejelentésére, valamint a bejelentett szervezetek nyomon követésére szolgáló eljárásaikról és azok változásairól.

(2) A Bizottság az (1) bekezdésben említett információt nyilvánosan hozzáférhetővé teszi.

A bejelentett szervezetekre vonatkozó követelmények

(1) A bejelentés céljából a megfelelőségértékelő szervezet teljesíti a (2)–(12) bekezdésben meghatározott követelményeket.

(2) A megfelelőségértékelő szervezet nemzeti jog szerint jön létre, és jogi személyiséggel rendelkezik.

(3) A megfelelőségértékelő szervezet olyan harmadik fél, amely független az általa értékelt szervezettől vagy digitális elemeket tartalmazó terméktől.

Ilyen harmadik félként eljáró szervezetnek tekinthető az a szervezet is, amely az általa értékelt, digitális elemeket tartalmazó termék tervezésében, fejlesztésében, gyártásában, szállításában, üzembe helyezésében, használatában vagy karbantartásában részt vevő vállalkozásokat képviselő üzleti szerveződésekhez vagy szakmai szövetségekhez tartozik, feltéve, hogy bizonyítottan független, és esetében nem áll fenn összeférhetetlenség.

(4) A megfelelőségértékelő szervezet, ennek felső szintű vezetése és a megfelelőségértékelést végző munkavállalója nem lehet annak a digitális elemeket tartalmazó terméknek a tervezője, fejlesztője, gyártója, szállítója, importőre, forgalmazója, üzembe helyezője, vásárlója, tulajdonosa, felhasználója vagy karbantartója, amelyet értékelnek, valamint nem lehet az érintett felek meghatalmazott képviselője sem. Ez nem zárja ki az olyan értékelt termékek felhasználását, amelyek a megfelelőségértékelő szervezet működéséhez szükségesek, valamint a termékek személyes célra történő használatát.

A megfelelőségértékelő szervezet, ennek felső szintű vezetése és a megfelelőségértékelést végző munkavállalója nem vehet részt közvetlenül az általa értékelt, digitális elemeket tartalmazó termékek tervezésében, fejlesztésében, gyártásában, importjában, forgalmazásában, forgalomba hozatalában, üzembe helyezésében, használatában vagy karbantartásában, és nem képviselheti az ilyen tevékenységben részt vevő feleket sem. Nem vehet részt olyan tevékenységben, amely veszélyeztetné a bejelentett megfelelőségértékelési tevékenységeikkel kapcsolatos döntéshozói függetlenségét vagy feddhetetlenségét. Ez különösen érvényes a szaktanácsadási szolgáltatásokra.

A megfelelőségértékelő szervezetek biztosítják, hogy a leányvállalataik és alvállalkozóik tevékenysége ne befolyásolja megfelelőségértékelési tevékenységeik bizalmas jellegét, objektivitását és pártatlanságát.

(5) A megfelelőségértékelő szervezetek és személyzetük a megfelelőségértékelési tevékenységeket az adott területtel kapcsolatos legmagasabb szintű szakmai feddhetetlenséggel és a szükséges műszaki szaktudással végzik el, és függetlennek kell lenniük minden olyan, különösen az ilyen tevékenységek eredményeiben érdekelt személyektől vagy személyek csoportjaitól eredő – főként pénzügyi – nyomásgyakorlástól és ösztönzéstől, amely befolyásolhatná döntésüket vagy a megfelelőségértékelési tevékenységeik eredményeit.

(6) A megfelelőségértékelő szervezetnek alkalmasnak kell lennie a VIII. mellékletben említett valamennyi olyan megfelelőségértékelési feladat elvégzésére, amelyek elvégzésére bejelentették, függetlenül attól, hogy ezeket a feladatokat a megfelelőségértékelő szervezet maga végzi el, vagy a nevében és felelősségi körében végzik el.

A megfelelőségértékelő szervezetnek – minden alkalommal, valamint mindegyik megfelelőségértékelési eljárás és a digitális elemeket tartalmazó termékek minden olyan fajtája vagy kategóriája tekintetében, amelyre bejelentették – rendelkeznie kell a szükséges:

A megfelelőségértékelő szervezetnek rendelkeznie kell a megfelelőségértékelési tevékenységekkel kapcsolatos műszaki és adminisztrációs feladatok megfelelő ellátásához szükséges eszközökkel, továbbá valamennyi szükséges felszereléssel vagy létesítménnyel.

(7) A megfelelőségértékelési tevékenységek elvégzéséért felelős személyzetnek a következőkkel kell rendelkeznie:

(8) Biztosítani kell a megfelelőségértékelő szervezet, a szervezet felső szintű vezetése és értékelő személyzete pártatlanságát.

A megfelelőségértékelő szervezet felső szintű vezetése és az értékelő személyzet javadalmazása nem függ az elvégzett értékelések számától vagy az értékelések eredményétől.

(9) A megfelelőségértékelő szervezetek felelősségbiztosítást kötnek, kivéve, ha a felelősséget a nemzeti joggal összhangban a tagállamuk vállalja át, vagy ha közvetlenül maga a tagállam felel a megfelelőségértékelésért.

(10) A megfelelőségértékelő szervezet személyzete betartja a szakmai titoktartás követelményeit minden olyan információ tekintetében, amely a VIII. melléklet vagy az azt átültető nemzeti jog rendelkezései alapján ellátott feladataik végrehajtása során jutott birtokukba, kivéve annak a tagállamnak a piacfelügyeleti hatóságait, ahol a szervezet tevékenységét gyakorolja. A tulajdonjogokat védelmezni kell. A megfelelőségértékelő szervezetnek az e bekezdésnek való megfelelést biztosító dokumentált eljárásokkal kell rendelkeznie.

(11) A megfelelőségértékelő szervezetek részt vesznek a vonatkozó szabványosítási tevékenységekben, valamint az 51. cikk alapján létrehozott bejelentett szervezet koordináló csoportjának tevékenységeiben, vagygondoskodnak arról, hogy értékelő személyzetük tájékoztatva legyen ezekről, továbbá általános útmutatásként alkalmazzák az említett csoport munkája eredményeként létrejött adminisztratív döntéseket és dokumentumokat.

(12) A megfelelőségértékelő szervezetek következetes, tisztességes, arányos és észszerű feltételek szerint működnek, elkerülve a gazdasági szereplőkre háruló szükségtelen terheket, a díjak tekintetében különösen figyelembe véve a mikrovállalkozások, valamint a kis- és középvállalkozások érdekeit.

A bejelentett szervezetek megfelelőségének vélelmezése

Amennyiben a megfelelőségértékelő szervezet igazolja, hogy megfelel az olyan vonatkozó harmonizált szabványokban vagy azok részeiben meghatározott kritériumoknak, amelyek hivatkozásait közzétették az Európai Unió Hivatalos Lapjában, akkor vélelmezni kell, hogy megfelel a 39. cikkben meghatározott követelményeknek, amennyiben az alkalmazandó harmonizált szabványok kiterjednek az említett követelményekre.

A bejelentett szervezetek leányvállalatai és alvállalkozásai

(1) Amennyiben a bejelentett szervezet bizonyos megfelelőségértékelési feladatokat alvállalkozásba ad, vagy leányvállalatot bíz meg elvégzésükkel, biztosítania kell, hogy az alvállalkozó vagy a leányvállalat megfeleljen a 39. cikkben meghatározott követelményeknek, és ennek megfelelően tájékoztatja erről a bejelentő hatóságot.

(2) A bejelentett szervezetek teljes felelősséget vállalnak az alvállalkozók vagy a leányvállalatok által elvégzett feladatokért, függetlenül azok letelepedési helyétől.

(3) A tevékenységeket csak a gyártó beleegyezésével lehet alvállalkozásba adni vagy leányvállalattal elvégeztetni.

(4) A bejelentett szervezetek a bejelentő hatóság számára elérhetővé teszik az alvállalkozó vagy a leányvállalat szakmai képesítésére és az általuk az e rendelet szerint elvégzett munkára vonatkozó megfelelő dokumentumokat.

Bejelentés iránti kérelem

(1) A megfelelőségértékelő szervezetnek bejelentés iránti kérelmet nyújt be a székhelye szerinti tagállam bejelentő hatóságához.

(2) A kérelemhez mellékelni kell a megfelelőségértékelési tevékenység, a megfelelőségértékelési eljárás vagy eljárások, valamint azon, digitális elemeket tartalmazó termék vagy termékek leírását, amelyek tekintetében a szervezet szakmailag alkalmasnak tekinti magát, továbbá adott esetben a nemzeti akkreditáló testület által kiállított akkreditálási tanúsítványt, amely tanúsítja, hogy a megfelelőségértékelő szervezet teljesíti a 39. cikkben rögzített követelményeket.

(3) Amennyiben a megfelelőségértékelő szervezet nem nyújt be akkreditálási tanúsítványt, be kell nyújtania a bejelentő hatóságnak az annak ellenőrzéséhez, elismeréséhez és rendszeres nyomon követéséhez szükséges összes igazoló okmányt, hogy teljesíti a 39. cikkben rögzített követelményeket.

Bejelentési eljárás

(1) A bejelentő hatóságok csak olyan megfelelőségértékelő szervezetet jelenthetnek be, amely teljesíti a 39. cikkben rögzített követelményeket.

(2) A bejelentő hatóságnak értesítenie kell a Bizottságot és a többi tagállamot a Bizottság által kifejlesztett és kezelt „új megközelítés alapján bejelentett és kijelölt szervezetek” információs rendszer használatával.

(3) A bejelentés tartalmazza a megfelelőségértékelési tevékenységek összes részletét, a megfelelőségértékelési modult vagy modulokat, és az érintett, digitális elemeket tartalmazó terméket vagy termékeket, valamint a szakmai alkalmasság megfelelő igazolását.

(4) Amennyiben a bejelentés nem a 42. cikk (2) bekezdésében említett akkreditálási tanúsítványon alapul, a bejelentő hatóság benyújtja a Bizottságnak és a többi tagállamnak a megfelelőségértékelő szervezet alkalmasságát tanúsító dokumentumokat, valamint gondoskodik azokról a megfelelő intézkedésekről, amelyek biztosítják a szervezet rendszeres nyomon követését és azt, hogy az továbbra is megfeleljen a 39. cikkben meghatározott követelményeknek.

(5) Az érintett szervezet csak akkor láthatja el egy bejelentett szervezet tevékenységeit, ha sem a Bizottság, sem a többi tagállam – akkreditálási tanúsítvány használata esetén a bejelentést követő két héten belül, akkreditálás hiányában a bejelentést követő két hónapon belül – nem emelt kifogást.

E rendelet alkalmazásában kizárólag ilyen szervezet tekinthető bejelentett szervezetnek.

(6) A Bizottságot és a többi tagállamot értesíteni kell a bejelentést érintő bármely későbbi, releváns változásról.

Azonosító számok és a bejelentett szervezetek listája

(1) A Bizottság a bejelentett szervezetet azonosító számmal látja el.

A Bizottság egyetlen azonosító számot ad ki akkor is, ha a szervezetet több uniós jogi aktus szerint is bejelentik.

(2) A Bizottság nyilvánosan hozzáférhetővé teszi az e rendelet szerint bejelentett szervezetek listáját, beleértve a részükre kiadott azonosító számokat és azokat a tevékenységeket is, amelyekre e szervezeteket bejelentették.

A Bizottság gondoskodik arról, hogy a jegyzék mindenkor naprakész legyen.

A bejelentés változásai

(1) Amennyiben a bejelentő hatóság megállapítja vagy tájékoztatják arról, hogy a bejelentett szervezet már nem tesz eleget a 39. cikkben meghatározott követelményeknek vagy elmulasztja teljesíteni kötelezettségeit, akkor a bejelentő hatóság adott esetben korlátozhatja, felfüggesztheti vagy visszavonhatja a bejelentést, attól függően, hogy milyen súlyos mértékű a követelményeknek való meg nem felelés vagy a kötelezettségeket érintő mulasztás. A bejelentő hatóság erről haladéktalanul tájékoztatja a Bizottságot és a többi tagállamot.

(2) Amennyiben a bejelentést korlátozzák, felfüggesztik vagy visszavonják, vagy ha a bejelentett szervezet megszüntette tevékenységét a bejelentő tagállam megteszi a szükséges lépéseket annak biztosítása érdekében, hogy az említett szervezet dokumentációját vagy egy másik bejelentett szervezet dolgozza fel, vagy pedig kérésre az illetékes bejelentő vagy piacfelügyeleti hatóságok számára elérhetővé tegye.

A bejelentett szervezetek szakmai alkalmasságának vitatása

(1) A Bizottság kivizsgál minden olyan esetet, amikor számára kétség merül fel vagy kétségek jutnak tudomására a bejelentett szervezet szakmai alkalmasságával vagy azzal kapcsolatban, hogy a bejelentett szervezet folyamatosan teljesíti-e a rá vonatkozó követelményeket és kötelezettségeket.

(2) A bejelentő tagállam kérésre a Bizottság rendelkezésére bocsátja az érintett szervezet bejelentésének vagy szakmai alkalmassága fenntartásának alapjául szolgáló összes információt.

(3) A Bizottság biztosítja, hogy az általa lefolytatott vizsgálatok során megszerzett valamennyi érzékeny információ kezelése bizalmasan történjen.

(4) Amennyiben a Bizottság megállapítja, hogy a bejelentett szervezet nem, vagy már nem teljesíti a rá vonatkozó bejelentés követelményeit, akkor erről tájékoztatja a bejelentő tagállamot, és felkéri azt a szükséges korrekciós intézkedések megtételére, beleértve szükség esetén a bejelentés visszavonását is.

A bejelentett szervezetek működési kötelezettségei

(1) A bejelentett szervezetek a 32. cikkben és a VIII. mellékletben meghatározott megfelelőségértékelési eljárásokkal összhangban végzik el a megfelelőségértékelést.

(2) A megfelelőségértékelést az arányosság elvével összhangban, a gazdasági szereplőkre háruló szükségtelen terhek elkerülésével kell végezni. A megfelelőségértékelő szervezeteknek a tevékenységük során kellően figyelembe kell venniük a vállalkozások méretét – különösen a mikro-, kis- és középvállalkozások tekintetében –, azt az ágazatot, amelyben tevékenykednek, a vállalkozások szerkezetét, összetettségük fokát, az adott, digitális elemeket tartalmazó termék és az adott technológia jelentette kiberbiztonsági kockázat szintjét, valamint a gyártási folyamat tömegtermelési vagy sorozatgyártási jellegét.

(3) A bejelentett szervezeteknek ugyanakkor tiszteletben kell tartaniuk a digitális elemeket tartalmazó termékek e rendeletnek való megfeleléséhez szükséges szigorúság mértékét és a védelem szintjét.

(4) Amennyiben a bejelentett szervezet megállapítja, hogy a gyártó nem teljesítette az I. mellékletben meghatározott vagy a 27. cikkben említett, vonatkozó harmonizált szabványokban vagy közös előírásokban meghatározott követelményeket, akkor felszólítja a gyártót a megfelelő korrekciós intézkedések megtételére, és nem ad ki megfelelőségi tanúsítványt.

(5) Amennyiben a tanúsítvány kiadása után a megfelelőség figyelemmel kísérése során a bejelentett szervezet megállapítja, hogy egy digitális elemeket tartalmazó termék már nem felel meg az e rendeletben előírt követelményeknek, akkor felszólítja a gyártót a megfelelő korrekciós intézkedések megtételére, és szükség esetén felfüggeszti vagy visszavonja a tanúsítványt.

(6) Amennyiben nem hoznak korrekciós intézkedéseket, vagy azok nem érik el a kívánt hatást, a bejelentett szervezet adott esetben korlátozhatja, felfüggesztheti vagy visszavonhatja a tanúsítványt.

Fellebbezés a bejelentett szervezetek döntéseivel szemben

A tagállamok biztosítják, hogy a bejelentett szervezetek döntéseivel szemben fellebbezési eljárást lehessen kezdeményezni.

A bejelentett szervezetek tájékoztatási kötelezettsége

(1) A bejelentett szervezet tájékoztatja a bejelentő hatóságot a következőkről:

(2) A bejelentett szervezetek megfelelően tájékoztatják az e rendelet szerint bejelentett, hasonló megfelelőségértékelési tevékenységeket végző és ugyanazokkal a digitális elemeket tartalmazó termékekkel foglakozó más szervezeteket a negatív és – kérésre – a pozitív megfelelőségértékelési eredményekről.

Tapasztalatcsere

A Bizottság rendelkezik a tagállamok bejelentéssel kapcsolatos szakpolitikai intézkedésekért felelős nemzeti hatóságai közötti tapasztalatcsere szervezéséről.

A bejelentett szervezetek koordinálása

(1) A Bizottság biztosítja, hogy megfelelő koordináció és együttműködés jöjjön létre a bejelentett szervezetek között, és ez az együttműködés a bejelentett szervezetek ágazatokon átnyúló csoportja formájában megfelelően működjön.

(2) A tagállamok biztosítják, hogy az általuk bejelentett szervezetek közvetlenül vagy kijelölt képviselőkön keresztül részt vegyenek a csoport munkájában.

A digitális elemeket tartalmazó termékek piacfelügyelete és piaci ellenőrzése az uniós piacon

(1) Az (EU) 2019/1020 rendelet alkalmazandó az e rendelet hatálya alá tartozó, digitális elemeket tartalmazó termékekre.

(2) Minden tagállam kijelöl egy vagy több piacfelügyeleti hatóságot e rendelet hatékony végrehajtásának biztosítása céljából. A tagállamok létező vagy új hatóságot is kijelölhetnek az e rendelet tekintetében piacfelügyeleti hatóságként eljáró hatóságnak.

(3) Az e cikk (2) bekezdése szerint kijelölt piacfelügyeleti hatóságok felelősek a 24. cikkben meghatározott, nyílt forráskódú szoftverek támogatóira vonatkozó kötelezettségekkel kapcsolatos piacfelügyeleti tevékenységek elvégzéséért is. Amennyiben a piacfelügyeleti hatóság megállapítja, hogy egy nyílt forráskódú szoftver támogatója nem felel meg az említett cikkben meghatározott kötelezettségeknek, felszólítja a nyílt forráskódú szoftver támogatóját arra, hogy biztosítsa valamennyi megfelelő korrekciós intézkedés megtételét. A nyílt forráskódú szoftverek támogatói biztosítják, hogy e rendelet szerinti kötelezettségeik tekintetében mindeni megfelelő korrekciós intézkedést megtesznek.

(4) A piacfelügyeleti hatóságok adott esetben együttműködnek az (EU) 2019/881 rendelet 58. cikke alapján kijelölt nemzeti kiberbiztonsági tanúsító hatóságokkal, és rendszeresen információt cserélnek. Az e rendelet 14. cikke szerinti jelentéstételi kötelezettségek végrehajtásának felügyelete tekintetében a kijelölt piacfelügyeleti hatóságok együttműködnek, és rendszeresen információt cserélnek a koordinátorként kijelölt CSIRT-ekkel és az ENISA-val.

(5) A piacfelügyeleti hatóságok felkérhetik a koordinátorként kijelölt CSIRT-et vagy az ENISA-t, hogy nyújtson technikai tanácsot az e rendelet végrehajtásával és érvényesítésével kapcsolatos kérdésekben. Az 54. cikk szerinti vizsgálat lefolytatása során a piacfelügyeleti hatóságok felkérhetik a koordinátorként kijelölt CSIRT-et vagy az ENISA-t, hogy készítsen elemzéseket a digitális elemeket tartalmazó termékek megfelelőségértékelésének alátámasztására.

(6) A piacfelügyeleti hatóságok adott esetben együttműködnek az e rendelettől eltérő uniós harmonizációs jogszabályok alapján kijelölt más piacfelügyeleti hatóságokkal, és rendszeresen információt cserélnek.

(7) A piacfelügyeleti hatóságok adott esetben együttműködnek az uniós adatvédelmi jogot felügyelő hatóságokkal. Az ilyen együttműködés magában foglalja az említett hatóságok tájékoztatását a hatáskörük gyakorlása szempontjából releváns bármely megállapításról, beleértve a (10) bekezdés szerinti útmutatás és tanács adását is, amennyiben az ilyen iránymutatás és tanács személyes adatok kezelésére vonatkozik.

Az uniós adatvédelmi jogot felügyelő hatóságok jogosultak kikérni az e rendelet alapján létrehozott vagy vezetett bármely dokumentumot és hozzáférni azokhoz, amennyiben az adott dokumentációhoz való hozzáférés feladataik teljesítéséhez szükséges. Minden ilyen kérésről tájékoztatják az érintett tagállam kijelölt piacfelügyeleti hatóságait.

(8) A tagállamok biztosítják, hogy a kijelölt piacfelügyeleti hatóságok kielégítő pénzügyi és technikai erőforrásokkal – ideértve adott esetben a feldolgozás automatizálását szolgáló eszközöket –, valamint a szükséges kiberbiztonsági készségekkel rendelkező emberi erőforrásokkal rendelkezzenek az e rendelet szerinti feladataik teljesítéséhez.

(9) A Bizottság ösztönzi és elősegíti a kijelölt piacfelügyeleti hatóságok közötti tapasztalatcserét.

(10) A piacfelügyeleti hatóságok a Bizottság és adott esetben a CSIRT-ek és az ENISA támogatásával útmutatást és tanácsot adhatnak a gazdasági szereplőknek e rendelet végrehajtásával kapcsolatban.

(11) A piacfelügyeleti hatóságok az (EU) 2019/1020 rendelet 11. cikkével összhangban tájékoztatják a fogyasztókat arról, hogy hol nyújthatnak be az e rendeletnek való meg nem feleléssel kapcsolatos panaszokat, és tájékoztatják a fogyasztókat arról, hogy hol és hogyan férhetnek hozzá olyan mechanizmusokhoz, amelyek megkönnyítik a digitális elemeket tartalmazó termékeket esetlegesen érintő sérülékenységek, események és kiberfenyegetések bejelentését.

(12) A piacfelügyeleti hatóságok adott esetben elősegítik a releváns érdekelt felekkel – többek között a tudományos, kutatási és fogyasztói szervezetekkel – való együttműködést.

(13) A piacfelügyeleti hatóságok évente jelentést tesznek a Bizottságnak a vonatkozó piacfelügyeleti tevékenységek eredményeiről. A kijelölt piacfelügyeleti hatóságok haladéktalanul jelentést tesznek a Bizottságnak és az illetékes nemzeti versenyhatóságoknak a piacfelügyeleti tevékenységek során azonosított minden olyan információról, amely az uniós versenyjog alkalmazása szempontjából érdeklődésre tarthat számot.

(14) Az e rendelet hatálya alá tartozó, az (EU) 2024/1689 rendelet 6. cikke alapján nagy kockázatú MI-rendszerként besorolt, digitális elemeket tartalmazó termékek esetében az említett rendelet céljából kijelölt piacfelügyeleti hatóságok az e rendeletben előírt piacfelügyeleti tevékenységekért felelős hatóságok. Az (EU) 2024/1689 rendelet alapján kijelölt piacfelügyeleti hatóságok adott esetben együttműködnek az e rendelet alapján kijelölt piacfelügyeleti hatóságokkal, valamint – az e rendelet 14. cikk szerinti jelentéstételi kötelezettségek végrehajtásának felügyelete tekintetében – a koordinátorként kijelölt CSIRT-ekkel és az ENISA-val. Az (EU) 2024/1689 rendelet alapján kijelölt piacfelügyeleti hatóságok az e rendelet alapján kijelölt piacfelügyeleti hatóságokat különösen az e rendelet végrehajtásával kapcsolatos feladataik teljesítése szempontjából releváns megállapításokról tájékoztatják.

(15) E rendelet egységes alkalmazása érdekében az (EU) 2019/1020 rendelet 30. cikkének (2) bekezdése alapján közigazgatási együttműködési csoportot kell létrehozni. A közigazgatási együttműködési csoport a kijelölt piacfelügyeleti hatóságok és adott esetben az összekötő hivatalok képviselőiből áll. A közigazgatási együttműködési csoport a nyílt forráskódú szoftverek támogatóira rótt kötelezettségekkel összefüggő piacfelügyeleti tevékenységekkel kapcsolatos konkrét kérdésekkel is foglalkozik.

(16) A piacfelügyeleti hatóságok nyomon követik, hogy a gyártók hogyan alkalmazták a 13. cikk (8) bekezdésében említett kritériumokat a digitális elemeket tartalmazó termékeik támogatási időszakának meghatározásakor.

A közigazgatási együttműködési csoport nyilvánosan hozzáférhető és felhasználóbarát formában releváns statisztikákat tesz közzé a digitális elemeket tartalmazó termékek kategóriáira vonatkozóan, beleértve azok támogatási időszakok átlagos időtartamát is, a gyártó által a 13. cikk (8) bekezdése alapján meghatározottak szerint, valamint olyan útmutatást nyújt, amely magában foglal indikatív támogatási időszakokat a digitális elemeket tartalmazó termékek különböző kategóriái tekintetében.

Amennyiben az adatok arra utalnak, hogy a digitális elemeket tartalmazó termékek bizonyos kategóriái esetében nem megfelelő támogatási időszakokat biztosítanak, a közigazgatási együttműködési csoport ajánlásokat adhat ki a piacfelügyeleti hatóságoknak, hogy tevékenységeiket a digitális elemeket tartalmazó termékek ilyen kategóriáira összpontosítsák.

Az adatokhoz és dokumentumokhoz való hozzáférés

Amennyiben szükséges annak értékeléséhez, hogy a digitális elemeket tartalmazó termékek és a gyártóik által bevezetett eljárások megfelelnek-e az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek, a piacfelügyeleti hatóságok indokolt kérésre valamely számukra könnyen érthető nyelven hozzáférést kapnak az ilyen termékek tervezésének, fejlesztésének, gyártásának és sérülékenységkezelésének értékeléséhez szükséges adatokhoz, beleértve a releváns gazdasági szereplő kapcsolódó belső dokumentációját is.

A jelentős kiberbiztonsági kockázatot jelentő, digitális elemeket tartalmazó termékekre vonatkozó nemzeti szintű eljárás

(1) Amennyiben egy tagállam piacfelügyeleti hatóságának elegendő oka van úgy tekinteni, hogy egy digitális elemeket tartalmazó termék, ideértve annak sérülékenységkezelését is, jelentős kiberbiztonsági kockázatot jelent, haladéktalanul – és adott esetben a releváns CSIRT-tel együttműködésben – elvégzi az érintett digitális elemeket tartalmazó termék értékelését az e rendeletben meghatározott valamennyi követelménynek való megfelelése tekintetében. A releváns gazdasági szereplők szükség szerint együttműködnek a piacfelügyeleti hatósággal.

Amennyiben az értékelés során a piacfelügyeleti hatóság megállapítja, hogy a digitális elemeket tartalmazó termék nem felel meg az e rendeletben megállapított követelményeknek, akkor haladéktalanul felszólítja a releváns gazdasági szereplőt valamennyi megfelelő korrekciós intézkedés megtételére, azért, hogy a digitális elemeket tartalmazó termék megfeleljen az említett követelményeknek, azt kivonja a forgalomból vagy azt észszerű időn belül visszahívja, a kiberbiztonsági kockázat jellegével arányosan, és a piacfelügyeleti hatóság előírásától függően.

A piacfelügyeleti hatóság ennek megfelelően tájékoztatja a releváns bejelentett szervezetet. A korrekciós intézkedésekre az (EU) 2019/1020 rendelet 18. cikke alkalmazandó.

(2) Az e cikk (1) bekezdésében említett kiberbiztonsági kockázat jelentőségének meghatározásakor a piacfelügyeleti hatóságoknak mérlegelniük kell a nem technikai kockázati tényezőket is, különösen azokat, amelyeket a kritikus ellátási láncokra vonatkozóan az (EU) 2022/2555 irányelv 22. cikkével összhangban elvégzett, uniós szinten összehangolt biztonsági kockázatértékelések eredményeként határoztak meg. Amennyiben valamely piacfelügyeleti hatóságnak elegendő oka van úgy tekinteni, hogy valamely digitális elemeket tartalmazó termék a nem technikai kockázati tényezők fényében jelentős kiberbiztonsági kockázatot jelent, tájékoztatja erről az (EU) 2022/2555 irányelv 8. cikke alapján kijelölt vagy létrehozott illetékes hatóságokat, és szükség szerint együttműködik e hatóságokkal.

(3) Amennyiben a piacfelügyeleti hatóság úgy ítéli meg, hogy a meg nem felelés nem korlátozódik országának területére, tájékoztatja a Bizottságot és a többi tagállamot az értékelés eredményeiről és azokról az intézkedésekről, amelyek meghozatalára felszólította a gazdasági szereplőt.

(4) A gazdasági szereplő biztosítja, hogy az Unióban általa forgalmazott összes érintett digitális elemeket tartalmazó termék tekintetében minden megfelelő korrekciós intézkedést meghozzon.

(5) Amennyiben a gazdasági szereplő nem teszi meg a megfelelő korrekciós intézkedést az (1) bekezdés második albekezdésében említett időszakon belül, a piacfelügyeleti hatóság meghozza az összes megfelelő ideiglenes intézkedést az adott, digitális elemeket tartalmazó termék nemzeti piacon történő forgalmazásának megtiltása vagy korlátozása, vagy a forgalomból való kivonása vagy visszahívása érdekében.

Az említett intézkedésekről a hatóság haladéktalanul értesíti a Bizottságot és a többi tagállamot.

(6) A (5) bekezdésben említett tájékoztatásban megadják az összes rendelkezésre álló adatot, különösen a nem megfelelő, digitális elemeket tartalmazó termék azonosításához szükséges adatokat, e digitális elemeket tartalmazó termék származási helyét, a feltételezett meg nem felelés és a felmerülő kockázat jellegét, a meghozott nemzeti intézkedések jellegét és időtartamát, valamint a releváns gazdasági szereplő által felhozott érveket. Különösen, a piacfelügyeleti hatóság jelzi, hogy a meg nem felelés a következők közül egy vagy több miatt következett-e be:

(7) Az eljárást kezdeményező tagállam piacfelügyeleti hatóságától eltérő tagállamok piacfelügyeleti hatóságai haladéktalanul tájékoztatják a Bizottságot és a többi tagállamot bármely elfogadott intézkedésről és azokról a birtokukban lévő bármely további információról, amelyek az érintett digitális elemeket tartalmazó termék meg nem felelésére vonatkoznak, valamint – amennyiben nem értenek egyet a bejelentett tagállami intézkedéssel – a kifogásaikról.

(8) Amennyiben az e cikk (5) bekezdésben említett értesítés kézhezvételétől számított három hónapon belül egyik tagállam és a Bizottság sem emel kifogást a valamely tagállam által hozott ideiglenes intézkedéssel szemben, az intézkedést megalapozottnak kell tekinteni. Ez nem érinti az érintett gazdasági szereplő eljárási jogait, az (EU) 2019/1020 rendelet 18. cikkével összhangban.

(9) Valamennyi tagállam piacfelügyeleti hatósága biztosítja, hogy az érintett, digitális elemeket tartalmazó termékek tekintetében meghozzák a megfelelő korlátozó intézkedéseket, például a szóban forgó termék piacukról történő haladéktalan kivonása révén.

Uniós védintézkedési eljárás

(1) Amennyiben valamely tagállam az 54. cikk (5) bekezdésében említett értesítés kézhezvételét követő három hónapon belül kifogást emel valamely más tagállam által elfogadott intézkedéssel szemben, vagy ha a Bizottság úgy ítéli meg, hogy az intézkedés ellentétes az uniós joggal, a Bizottság haladéktalanul egyeztetést kezdeményez az érintett tagállammal és a gazdasági szereplővel vagy szereplőkkel, és értékeli a nemzeti intézkedést. Ezen értékelés eredményei alapján a Bizottság az 54. cikk (5) bekezdésében említett értesítéstől számított kilenc hónapon belül határoz arról, hogy a nemzeti intézkedés indokolt-e vagy sem, és határozatáról értesíti az érintett tagállamot.

(2) Amennyiben a tagállami intézkedést megalapozottnak ítélik meg, valamennyi tagállam megteszi a szükséges intézkedéseket annak biztosítása érdekében, hogy a nem megfelelő, digitális elemeket tartalmazó terméket saját piacán kivonja a forgalomból, és erről tájékoztatja a Bizottságot. Amennyiben a tagállami intézkedést megalapozatlannak ítélik, az érintett tagállam visszavonja az intézkedést.

(3) Amennyiben a tagállami intézkedést megalapozottnak ítélik, és a digitális elemeket tartalmazó termék meg nem felelése a harmonizált szabványok hiányosságainak tudható be, a Bizottság az 1025/2012/EU rendelet 11. cikkében előírt eljárást alkalmazza.

(4) Amennyiben a tagállami intézkedést megalapozottnak tekintik, és a digitális elemeket tartalmazó termék meg nem felelése a 27. cikkben említett valamely európai kiberbiztonsági tanúsítási rendszer hiányosságainak tudható be, a Bizottság mérlegeli, hogy módosítja-e vagy hatályon kívül helyezi-e a 27. cikk (9) bekezdése alapján elfogadott, a szóban forgó tanúsítási rendszer tekintetében a megfelelés vélelmezését meghatározó, bármely felhatalmazáson alapuló jogi aktust.

(5) Amennyiben a tagállami intézkedést megalapozottnak tekintik, és a digitális elemeket tartalmazó termék meg nem felelése a 27. cikkben említett közös előírások hiányosságainak tudható be, a Bizottság mérlegeli, hogy módosítja-e vagy hatályon kívül helyezi-e a 27. cikk (2) bekezdése alapján elfogadott, a szóban forgó közös előírásokat meghatározó bármely végrehajtási jogi aktust.

A jelentős kiberbiztonsági kockázatot jelentő, digitális elemeket tartalmazó termékekre vonatkozó uniós szintű eljárás

(1) Amennyiben a Bizottságnak elegendő oka van úgy tekinteni, többek között az ENISA által szolgáltatott információk alapján, hogy valamely jelentős kiberbiztonsági kockázatot jelentő, digitális elemeket tartalmazó termék nem felel meg az e rendeletben meghatározott követelményeknek, tájékoztatja a releváns piacfelügyeleti hatóságokat. Amennyiben a piacfelügyeleti hatóságok elvégzik az olyan digitális elemeket tartalmazó termék értékelését, amely jelentős kiberbiztonsági kockázatot jelenthet az e rendeletben meghatározott követelményeknek való megfelelés tekintetében, akkor az 54. és 55. cikkben említett eljárásokat kell alkalmazni.

(2) Amennyiben a Bizottságnak elegendő oka van úgy tekinteni, hogy valamely digitális elemeket tartalmazó termék a nem technikai kockázati tényezők fényében jelentős kiberbiztonsági kockázatot jelent, tájékoztatja a releváns piacfelügyeleti hatóságokat, és adott esetben az (EU) 2022/2555 irányelv 8. cikke alapján kijelölt vagy létrehozott illetékes hatóságokat, és szükség szerint együttműködik e hatóságokkal. A Bizottság az (EU) 2022/2555 irányelv 22. cikkében meghatározott, a kritikus ellátási láncok uniós szintű koordinált biztonsági kockázatértékelésével kapcsolatos feladataira tekintettel mérlegeli az említett digitális elemeket tartalmazó termék tekintetében azonosított kockázatok relevanciáját is, és szükség szerint konzultál az (EU) 2022/2555 irányelv 14. cikke alapján létrehozott együttműködési csoporttal és az ENISA-val.

(3) Olyan körülmények fennállása esetén, amelyek a belső piac megfelelő működésének megőrzése érdekében azonnali beavatkozást indokolnak, és amennyiben a Bizottságnak elegendő oka van úgy tekinteni, hogy az (1) bekezdésben említett, digitális elemeket tartalmazó termék továbbra sem felel meg az e rendeletben meghatározott követelményeknek, és a releváns piacfelügyeleti hatóságok nem hoztak hatékony intézkedéseket, a Bizottság megfelelőségértékelést végez, és felkérheti az ENISA-t, hogy készítsen elemzést ezen értékelés alátámasztására. A Bizottság ennek megfelelően tájékoztatja a releváns piacfelügyeleti hatóságokat. A releváns gazdasági szereplők szükség szerint együttműködnek az ENISA-val.

(4) A (3) bekezdésben említett értékelés alapján a Bizottság úgy dönthet, hogy uniós szintű korrekciós vagy korlátozó intézkedésre van szükség. E célból haladéktalanul konzultál az érintett tagállamokkal és a releváns gazdasági szereplővel vagy szereplőkkel.

(5) Az e cikk (4) bekezdésében említett konzultáció alapján a Bizottság végrehajtási jogi aktusokat fogadhat el uniós szintű korrekciós vagy korlátozó intézkedések előírása céljából, ideértve az érintett, digitális elemeket tartalmazó termékek forgalomból történő, észszerű időn belüli kivonásának vagy visszahívásának elrendelését, a kockázat jellegével arányosan. Ezeket a végrehajtási jogi aktusokat a 62. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(6) A Bizottság haladéktalanul tájékoztatja a releváns gazdasági szereplőt vagy szereplőket az (5) bekezdésben említett végrehajtási jogi aktusokról. A tagállamok haladéktalanul végrehajtják e végrehajtási jogi aktusokat, és erről megfelelően tájékoztatják a Bizottságot.

(7) A (3)–(6) bekezdés a Bizottság beavatkozását megalapozó kivételes helyzet időtartamára alkalmazandó, feltéve, hogy nem gondoskodnak az érintett, digitális elemeket tartalmazó termék e rendeletnek való megfeleléséről.

Megfelelő digitális elemeket tartalmazó termékek, amelyek jelentős kiberbiztonsági kockázatot jelentenek

(1) A tagállam piacfelügyeleti hatósága előírja a gazdasági szereplő számára, hogy tegyen meg minden megfelelő intézkedést, ha az 54. cikk szerinti értékelés elvégzését követően azt állapítja meg, hogy bár a digitális elemeket tartalmazó termék és a gyártó által bevezetett eljárások megfelelnek e rendeletnek, jelentős kiberbiztonsági kockázatot jelentenek, és emellett kockázatot jelentenek a következőkre nézve:

Az első albekezdésben említett intézkedések magukban foglalhatnak olyan intézkedéseket, amelyek biztosítják, hogy az érintett, digitális elemeket tartalmazó termék és a gyártó által bevezetett eljárások a forgalmazás során már ne jelentsenek ilyen kockázatokat, valamint az érintett, digitális elemeket tartalmazó termék forgalomból történő kivonását vagy visszahívását, és az említett kockázatok jellegével arányosnak kell lenniük.

(2) A gyártó vagy más releváns gazdasági szereplők biztosítják, hogy az (1) bekezdésben említett tagállam piacfelügyeleti hatósága által meghatározott határidőn belül korrekciós intézkedéseket hozzanak valamennyi érintett, általuk az Unió szerte forgalmazott, digitális elemeket tartalmazó termék tekintetében.

(3) A tagállam haladéktalanul tájékoztatja a Bizottságot és a többi tagállamot az (1) bekezdés alapján meghozott intézkedésekről. A tájékoztatás magában foglalja az összes rendelkezésre álló részletet, különösen az érintett digitális elemeket tartalmazó termékek azonosításához szükséges adatokat, e digitális elemeket tartalmazó termékek származási helyét és ellátási láncát, a felmerülő kockázat jellegét, valamint a meghozott nemzeti intézkedések jellegét és időtartamát.

(4) A Bizottság haladéktalanul konzultációt kezd a tagállamokkal és a releváns gazdasági szereplővel, és értékeli a meghozott nemzeti intézkedéseket. Az értékelés eredményei alapján a Bizottság határozatot hoz arról, hogy az intézkedés indokolt-e, és szükség esetén megfelelő intézkedésekre tesz javaslatot.

(5) A Bizottság (4) bekezdésben említett határozatának címzettjei a tagállamok.

(6) Amennyiben a Bizottságnak elegendő oka van úgy tekinteni, többek között az ENISA által szolgáltatott információk alapján, hogy valamely digitális elemeket tartalmazó termék, bár megfelel e rendeletnek, az e cikk (1) bekezdésében említett kockázatokat hordozza, tájékoztatja a releváns piacfelügyeleti hatóságot vagy hatóságokat, és felkérheti őket, hogy végezzenek értékelést és kövessék az 54. cikkben és az e cikk (1), (2) és (3) bekezdésében említett eljárásokat.

(7) Olyan körülmények fennállása esetén, amelyek a belső piac megfelelő működésének megőrzése érdekében azonnali beavatkozást indokolnak, és amennyiben a Bizottságnak elegendő oka van úgy tekinteni, hogy a (6) bekezdésben említett, digitális elemeket tartalmazó termék továbbra is hordozza az (1) bekezdésben említett kockázatokat, és a releváns nemzeti piacfelügyeleti hatóságok nem hoztak hatékony intézkedéseket, a Bizottság elvégzi a szóban forgó digitális elemeket tartalmazó termékben rejlő kockázatok értékelését, és felkérheti az ENISA-t, hogy készítsen elemzést ezen értékelés alátámasztására, és ennek megfelelően tájékoztatja a releváns piacfelügyeleti hatóságokat. A releváns gazdasági szereplők szükség szerint együttműködnek az ENISA-val.

(8) A (7) bekezdésben említett értékelés alapján a Bizottság megállapíthatja, hogy uniós szintű korrekciós vagy korlátozó intézkedésre van szükség. E célból haladéktalanul konzultál az érintett tagállamokkal és a releváns gazdasági szereplővel vagy szereplőkkel.

(9) Az e cikk (8) bekezdésében említett konzultáció alapján a Bizottság végrehajtási jogi aktusokat fogadhat el, amelyekben dönt az uniós szintű korrekciós vagy korlátozó intézkedésekről, ideértve az említett digitális elemeket tartalmazó termékek forgalomból történő, észszerű időn belüli kivonásának vagy visszahívásának elrendelését, a kockázat jellegével arányosan. Ezeket a végrehajtási jogi aktusokat a 62. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(10) A Bizottság haladéktalanul tájékoztatja a releváns gazdasági szereplőt vagy szereplőket a (9) bekezdésben említett végrehajtási jogi aktusokról. A tagállamok haladéktalanul végrehajtják e végrehajtási jogi aktusokat, és erről megfelelően tájékoztatják a Bizottságot.

(11) A (6)–(10) bekezdés a Bizottság beavatkozását megalapozó kivételes helyzet időtartamára alkalmazandó mindaddig, amíg az érintett, digitális elemeket tartalmazó termék az (1) bekezdésben említett kockázatokat hordozza.

Az alaki megfelelés hiánya

(1) Amennyiben valamely tagállam piacfelügyeleti hatósága a következő megállapítások egyikére jut, felszólítja a releváns gyártót, hogy szüntesse meg az adott meg nem felelést:

(2) Amennyiben az (1) bekezdésben említett meg nem felelés továbbra is fennáll, az érintett tagállam minden megfelelő intézkedést megtesz a digitális elemeket tartalmazó termék forgalmazásának korlátozására vagy betiltására, vagy gondoskodik annak visszahívásáról vagy forgalomból történő kivonásáról.

A piacfelügyeleti hatóságok közös tevékenységei

(1) A piacfelügyeleti hatóságok megállapodhatnak más releváns hatóságokkal a kiberbiztonság és a fogyasztók védelmének biztosítását célzó közös tevékenységek végzéséről a forgalomba hozott vagy forgalmazott, digitális elemeket tartalmazó konkrét termékek tekintetében, különösen az olyan, digitális elemeket tartalmazó termékekre, amelyekről gyakran bebizonyosodik, hogy kiberbiztonsági kockázatot hordoznak.

(2) A Bizottság vagy az ENISA javaslatot tesz az e rendeletnek való megfelelés ellenőrzését célzó közös tevékenységekre, amelyeket a piacfelügyeleti hatóságoknak kell elvégezniük olyan jelek vagy információk alapján, melyek szerint az e rendelet hatálya alá tartozó, digitális elemeket tartalmazó termékek esetleg több tagállamban sem felelnek meg az e rendeletben meghatározott követelményeknek.

(3) A piacfelügyeleti hatóságok és adott esetben a Bizottság biztosítják, hogy a közös tevékenységekre vonatkozó megállapodás ne vezessen a gazdasági szereplők közötti tisztességtelen versenyhez, és ne legyen hátrányos hatással a megállapodó felek tárgyilagosságára, függetlenségére és pártatlanságára.

(4) A piacfelügyeleti hatóság az általa lefolytatott vizsgálatok részeként elvégzett közös tevékenységek révén megszerzett bármely információt felhasználhat.

(5) Az érintett piacfelügyeleti hatóság és adott esetben a Bizottság a nyilvánosság számára elérhetővé teszi a közös tevékenységekről szóló megállapodást, köztük a részes felek nevét.

Összehangolt ellenőrzések

(1) A piacfelügyeleti hatóságok bizonyos digitális elemeket tartalmazó termékek vagy termékkategóriák esetében egyidejű, összehangolt ellenőrzési intézkedéseket hajtanak végre (a továbbiakban: összehangolt ellenőrzések) e rendelet betartásának ellenőrzése vagy esetleges megsértésének feltárása érdekében. Ezek az összehangolt ellenőrzések magukban foglalhatják a hatóságok által kilétük felfedése nélkül beszerzett, digitális elemeket tartalmazó termékek vizsgálatát.

(2) Hacsak az érintett piacfelügyeleti hatóságok másképp nem állapodnak meg, az összehangolt ellenőrzéseket a Bizottság koordinálja. Az összehangolt ellenőrzés koordinációját végző szereplő adott esetben nyilvánosan elérhetővé teszi az összesített eredményeket.

(3) Amennyiben feladatainak ellátása során – többek között a 14. cikk (1) és (3) bekezdése szerint kapott értesítések alapján – az ENISA a digitális elemeket tartalmazó termékek olyan kategóriáit azonosítja, amelyek vonatkozásában összehangolt ellenőrzések szervezhetők, összehangolt ellenőrzésre irányuló javaslatot nyújt be az e cikk (2) bekezdésében említett, koordinációt végző szereplőhöz a piacfelügyeleti hatóságok általi megfontolás céljából.

(4) Összehangolt ellenőrzések lefolytatása során az érintett piacfelügyeleti hatóságok élhetnek az 52–58. cikkben meghatározott vizsgálati hatáskörökkel, valamint a nemzeti jog által rájuk ruházott bármely egyéb hatáskörrel.

(5) A piacfelügyeleti hatóságok felkérhetik a Bizottság tisztviselőit és a Bizottság által felhatalmazott egyéb kísérő személyeket, hogy vegyenek részt az összehangolt ellenőrzésekben.

A felhatalmazás gyakorlása

(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.

(2) A Bizottságnak a 2. cikk (5) bekezdésének második albekezdésében, a 7. cikk (3) bekezdésében, a 8. cikk (1) és (2) bekezdésében, a 13. cikk (8) bekezdésének negyedik albekezdésében, a 14. cikk (9) bekezdésében, a 25. cikkben, a 27. cikk (9) bekezdésében, a 28. cikk (5) bekezdésében és a 31. cikk (5) bekezdésében említett, felhatalmazáson alapuló jogi aktusok elfogadására vonatkozó felhatalmazása ötéves időtartamra szól 2024. december 10-től kezdődő hatállyal. A Bizottság legkésőbb kilenc hónappal az ötéves időtartam letelte előtt jelentést készít a felhatalmazásról. A felhatalmazás hallgatólagosan meghosszabbodik a korábbival megegyező időtartamra, kivéve, ha az Európai Parlament vagy a Tanács ellenzi az ilyen meghosszabbítást legkésőbb három hónappal minden egyes időtartam letelte előtt.

(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 2. cikk (5) bekezdésének második albekezdésében, a 7. cikk (3) bekezdésében, a 8. cikk (1) és (2) bekezdésében, a 13. cikk (8) bekezdésének negyedik albekezdésében, a 14. cikk (9) bekezdésében, a 25. cikkben, a 27. cikk (9) bekezdésében, a 28. cikk (5) bekezdésében és a 31. cikk (5) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

(4) A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban megállapított elvekkel összhangban konzultál az egyes tagállamok által kijelölt szakértőkkel.

(5) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

(6) A 2. cikk (5) bekezdésének második albekezdése, a 7. cikk (3) bekezdése, a 8. cikk (1) vagy (2) bekezdése, a 13. cikk (8) bekezdésének negyedik albekezdése, a 14. cikk (9) bekezdése, a 25. cikk, a 27. cikk (9) bekezdése, a 28. cikk (5) bekezdése vagy a 31. cikk (5) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam két hónappal meghosszabbodik.

Bizottsági eljárás

(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.

(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

(3) Ha a bizottságnak írásbeli eljárásban kell véleményt nyilvánítania, az ilyen eljárást eredmény nélkül lezárják, amennyiben a véleménynyilvánításra megállapított határidőn belül a bizottság elnöke úgy határoz, vagy valamelyik bizottsági tag ezt kéri.

Titoktartás

(1) Az e rendelet alkalmazásában érintett valamennyi fél tiszteletben tartja a feladatai és tevékenységei végzése során szerzett információk és adatok bizalmas jellegét oly módon, hogy védje különösen a következőket:

(2) Az (1) bekezdésben foglaltak sérelme nélkül a piacfelügyeleti hatóságok között, valamint a piacfelügyeleti hatóságok és a Bizottság között bizalmi alapon megosztott információkat nem teszik közzé az információt kibocsátó piacfelügyeleti hatósággal való előzetes megállapodás nélkül.

(3) Az (1) és a (2) bekezdés nem érinti a Bizottságnak, a tagállamoknak és a bejelentett szervezeteknek az információcserére és a figyelmeztetések továbbítására vonatkozó jogait és kötelezettségeit, sem pedig az érintett személyeknek a tagállami büntetőjog alapján fennálló információszolgáltatási kötelezettségeit.

(4) A Bizottság és a tagállamok szükség esetén érzékeny információkat cserélhetnek olyan harmadik országok releváns hatóságaival, amelyekkel kellő szintű védelmet biztosító, kétoldalú vagy többoldalú titoktartási megállapodásokat kötöttek.

Szankciók

(1) A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. A tagállamok e szabályokról és intézkedésekről haladéktalanul értesítik a Bizottságot, és haladéktalanul értesítik a Bizottságot az e szabályokat és intézkedéseket érintő bármely későbbi módosításról.

(2) Az I. mellékletben meghatározott alapvető kiberbiztonsági követelményeknek és a 13. és 14. cikkben meghatározott kötelezettségeknek való meg nem felelés legfeljebb 15 000 000 EUR összegű közigazgatási bírsággal, vagy – amennyiben a jogsértő vállalkozás – az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2,5 %-át kitevő összegű közigazgatási bírsággal sújtható; a kettő közül a magasabb összeget kell kiszabni.

(3) A 18–23. cikkben, a 28. cikkben, a 30. cikk (1)–(4) bekezdésében, a 31. cikk (1)–(4) bekezdésében, a 32. cikk (1), (2) és (3) bekezdésében, a 33. cikk, (5) bekezdésében, továbbá a 39., 41., 47., 49. és 53. cikkben meghatározott kötelezettségeknek való meg nem felelés legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, vagy – amennyiben a szabály megsértője vállalkozás – az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összegű közigazgatási bírsággal sújtható; a kettő közül a magasabb összeget kell kiszabni.

(4) Helytelen, hiányos vagy félrevezető információk szolgáltatása a bejelentett szervezetek és a piacfelügyeleti hatóságok számára egy kérelemre adott válaszban legfeljebb 5 000 000 EUR összegű közigazgatási bírsággal, vagy – amennyiben a szabály megsértője vállalkozás – az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 1 %-át kitevő összegű közigazgatási bírsággal sújtható; a kettő közül a magasabb összeget kell kiszabni.

(5) A közigazgatási bírság összegének meghatározásakor minden egyes esetben figyelembe kell venni az adott helyzetre vonatkozó valamennyi releváns körülményt, és kellő figyelmet kell fordítani a következőkre:

(6) A közigazgatási bírságokat kiszabó piacfelügyeleti hatóságok a kiszabott bírságokról tájékoztatják más tagállamok piacfelügyeleti hatóságait az (EU) 2019/1020 rendelet 34. cikkében említett információs és kommunikációs rendszeren keresztül.

(7) Minden tagállam szabályokat állapít meg arra vonatkozóan, hogy kiszabhatók-e közigazgatási bírságok az adott tagállamban működő közigazgatási szervekre és közintézményekre, és ha igen, azok milyen mértékűek legyenek.

(8) A tagállamok jogrendszerétől függően a közigazgatási bírságokra vonatkozó szabályokat oly módon lehet alkalmazni, hogy a bírságokat az illetékes nemzeti bíróságok vagy más szervek szabják ki az érintett tagállamokban nemzeti szinten megállapított hatásköröknek megfelelően. Az ilyen szabályok alkalmazásának ezekben a tagállamokban azonos hatással kell járniuk.

(9) Az egyes esetek körülményeitől függően közigazgatási bírság kiszabható a piacfelügyeleti hatóságok által ugyanazon jogsértésre alkalmazott bármely egyéb korrekciós vagy korlátozó intézkedésen felül.

(10) A (3)–(9) bekezdéstől eltérve, az e bekezdésekben említett közigazgatási bírságok nem alkalmazandók a következőkre:

Képviseleti keresetek

Az (EU) 2020/1828 irányelv alkalmazandó azokra a képviseleti keresetekre, amelyeket e rendelet rendelkezéseinek olyan megsértése miatt indítanak, amelyek sértik vagy sérthetik a fogyasztók kollektív érdekeit.

Az (EU) 2019/1020 rendelet módosítása

Az (EU) 2019/1020 rendelet I. melléklete a következő ponttal egészül ki:

„72.

Az Európai Parlament és a Tanács (EU) 2024/2847 rendelete (*1).

Az (EU) 2020/1828 irányelv módosítása

Az (EU) 2020/1828 irányelv I. melléklete a következő ponttal egészül ki:

„69.

Az Európai Parlament és a Tanács (EU) 2024/2847 rendelete (*2).

A 168/2013/EU rendelet módosítása

Az Európai Parlament és a Tanács 168/2013/EU rendeletének (38) II. melléklete C1 részében szereplő táblázata a következő bejegyzéssel egészül ki:

„

”

Átmeneti rendelkezések

(1) Az e rendelettől eltérő uniós harmonizációs jogszabályok hatálya alá tartozó, digitális elemeket tartalmazó termékekre vonatkozó kiberbiztonsági követelmények tekintetében kiadott EU-típusvizsgálati tanúsítványok és jóváhagyó határozatok 2028. június 11-ig érvényesek maradnak, kivéve, ha az említett időpont előtt lejárnak, vagy ha az említett más uniós harmonizációs jogszabály másként rendelkezik, amely esetben az említett jogszabályban említett időpontig maradnak érvényesek.

(2) A 2027. december 11. előtt forgalomba hozott, digitális elemeket tartalmazó termékekre csak akkor vonatkoznak az e rendeletben meghatározott követelmények, ha ettől az időponttól kezdve a szóban forgó termékek lényegi módosításokon mennek keresztül.

(3) Az e cikk (2) bekezdésétől eltérve, a 14. cikkben meghatározott kötelezettségek az e rendelet hatálya alá tartozó, digitális elemeket tartalmazó valamennyi olyan termékre vonatkoznak, amelyeket 2027. december 11. előtt hoztak forgalomba.

Értékelés és felülvizsgálat

(1) A Bizottság 2030. december 11-ig, majd azt követően négyévente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak e rendelet értékeléséről és felülvizsgálatáról. Az említett jelentéseket közzé kell tenni.

(2) A Bizottság 2028. szeptember 11-ig az ENISA-val és a CSIRT-hálózattal folytatott konzultációt követően jelentést nyújt be az Európai Parlamentnek és a Tanácsnak, amelyben értékeli a 16. cikkben meghatározott egységes jelentéstételi platform hatékonyságát, valamint azt, hogy a 16. cikk (2) bekezdésében említett, kiberbiztonsággal kapcsolatos indokok koordinátorként kijelölt CSIRT-ek általi alkalmazása milyen hatást gyakorol az egységes jelentéstételi platform hatékonyságára a fogadott értesítések más releváns CSIRT-eknek való időben történő továbbítása tekintetében.

Hatálybalépés és alkalmazás

(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2) Ezt a rendeletet 2027. december 11-től kell alkalmazni.

A 14. cikket azonban 2026. szeptember 11-től, a IV. fejezetet pedig (35–51. cikk) 2026. június 11-től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Strasbourgban, 2024. október 23-án.