Kibernetinio atsparumo aktas

Dalykas

Šiuo reglamentu nustatoma:

Taikymo sritis

1. Šis reglamentas taikomas rinkai patiektiems produktams su skaitmeniniais elementais, kurių numatytoji paskirtis arba pagrįstai numatomas naudojimas apima tiesioginę arba netiesioginę loginę arba fizinę duomenų jungtį su įrenginiu arba tinklu.

2. Šis reglamentas netaikomas produktams su skaitmeniniais elementais, kuriems taikomi šie Sąjungos teisės aktai:

3. Šis reglamentas netaikomas produktams su skaitmeniniais elementais, kurie buvo sertifikuoti pagal Reglamentą (ES) 2018/1139.

4. Šis reglamentas netaikomas įrangai, kuriai taikoma Europos Parlamento ir Tarybos direktyva 2014/90/ES (36).

5. Šio reglamento taikymas produktams su skaitmeniniais elementais, kuriems taikomos kitos Sąjungos taisyklės, kuriomis nustatomi reikalavimai, skirti visai arba daliai rizikos, kurią apima I priede nustatyti esminiai kibernetinio saugumo reikalavimai, gali būti apribotas arba jis gali būti netaikomas, jei:

Komisijai pagal 61 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, siekiant šį reglamentą papildyti, kuriais nurodoma, ar toks apribojimas arba netaikymas yra būtinas, nurodomi susiję produktai ir taisyklės, taip pat, jei taikytina, apribojimo taikymo sritis.

6. Šis reglamentas netaikomas atsarginėms dalims, kurios tiekiamos rinkai identiškiems komponentams produktuose su skaitmeniniais elementais pakeisti ir kurios gaminamos pagal tas pačias specifikacijas kaip ir komponentai, kuriuos jomis ketinama pakeisti.

7. Šis reglamentas netaikomas produktams su skaitmeniniais elementais, sukurtiems ar pakeistiems išimtinai nacionalinio saugumo ar gynybos tikslams, taip pat produktams, specialiai sukurtiems įslaptintai informacijai tvarkyti.

8. Šiame reglamente nustatytos pareigos nereiškia, kad bus teikiama informacija, kurios atskleidimas prieštarautų esminiams valstybių narių nacionalinio saugumo, viešojo saugumo ar gynybos interesams.

Terminų apibrėžtys

Šiame reglamente vartojamų terminų apibrėžtys:

Laisvas judėjimas

1. Valstybės narės netrukdo tiekti rinkai šį reglamentą atitinkančių produktų su skaitmeniniais elementais dėl priežasčių, susijusių su šiuo reglamentu reguliuojamais aspektais.

2. Prekybos mugėse, parodose ir demonstracijose ar panašiuose renginiuose valstybės narės netrukdo pristatyti ar naudoti produkto su skaitmeniniais elementais, kuris neatitinka šio reglamento, įskaitant produkto prototipus, jei tas produktas pateikiamas su matomu ženklu, aiškiai nurodančiu, kad jis neatitinka šio reglamento, ir kad jis negali būti tiekiamas rinkai, kol neatitiks šio reglamento.

3. Valstybės narės netrukdo tiekti rinkai nebaigtos programinės įrangos, kuri neatitinka šio reglamento, jei ta programinė įranga tiekiama tik ribotą bandymo tikslais reikalingą laikotarpį su matomu ženklu, aiškiai nurodančiu, jog ji neatitinka šio reglamento ir kad ji nebus tiekiama rinkai kitais tikslais, kurie nėra bandymo tikslai.

4. 3 dalis netaikoma saugos komponentams, kaip nurodyta kituose nei šis reglamentas Sąjungos derinamuosiuose teisės aktuose.

Produktų su skaitmeniniais elementais viešieji pirkimai arba naudojimas

1. Šiuo reglamentu valstybėms narėms neužkertamas kelias produktams su skaitmeniniais elementais taikyti papildomų kibernetinio saugumo reikalavimų, kai tie produktai perkami arba naudojami konkrečiais tikslais, įskaitant atvejus, kai tie produktai perkami arba naudojami nacionalinio saugumo ar gynybos tikslais, jei tokie reikalavimai dera su Sąjungos teisėje nustatytomis valstybių narių pareigomis ir yra būtini ir proporcingi tiems tikslams pasiekti.

2. Nedarant poveikio direktyvoms 2014/24/ES ir 2014/25/ES, kai perkami produktai su skaitmeniniais elementais, patenkantys į šio reglamento taikymo sritį, valstybės narės užtikrina, kad viešųjų pirkimų procese būtų atsižvelgiama į atitiktį šio reglamento I priede nustatytiems esminiams kibernetinio saugumo reikalavimams, įskaitant gamintojų gebėjimą veiksmingai valdyti pažeidžiamumus.

Produktams su skaitmeniniais elementais taikomi reikalavimai

Produktai su skaitmeniniais elementais tiekiami rinkai tik jei:

Svarbūs produktai su skaitmeniniais elementais

1. Produktai su skaitmeniniais elementais, kurie turi pagrindinę III priede nustatytos produktų kategorijos funkciją, laikomi svarbiais produktais su skaitmeniniais elementais ir jiems taikomos 32 straipsnio 2 ir 3 dalyse nurodytos atitikties vertinimo procedūros. Dėl produkto su skaitmeniniais elementais, kuris turi pagrindinę III priede nustatytos produktų kategorijos funkciją, integravimo, produktui, į kurį jis integruojamas, nėra automatiškai taikomos 32 straipsnio 2 ir 3 dalyse nurodytos atitikties vertinimo procedūros.

2. Šio straipsnio 1 dalyje nurodytos produktų su skaitmeniniais elementais kategorijos, suskirstytos į I ir II klases, kaip nustatyta III priede, turi atitikti bent vieną iš šių kriterijų:

3. Komisijai pagal 61 straipsnį suteikiami įgaliojamai priimti deleguotuosius aktus, siekiant iš dalies pakeisti III priedą, kuriais į produktų su skaitmeniniais elementais kategorijų sąrašą įtraukiama nauja kiekvienos produktų klasės kategorija, patikslinama jos apibrėžtis, perkeliama produktų kategorija iš vienos klasės į kitą arba pašalinama esama kategorija iš to sąrašo. Vertindama poreikį iš dalies pakeisti III priede pateiktą sąrašą, Komisija atsižvelgia į su kibernetiniu saugumu susijusias funkcijas arba funkciją ir kibernetinio saugumo rizikos, kurią kelia produktai su skaitmeniniais elementais, lygį, nustatytą pagal šio straipsnio 2 dalyje nurodytus kriterijus.

Šios dalies pirmoje pastraipoje nurodytuose deleguotuosiuose aktuose atitinkamais atvejais nustatomas ne trumpesnis kaip 12 mėnesių pereinamasis laikotarpis, visų pirma tais atvejais, kai į I arba II klasę įtraukiama nauja svarbių produktų su skaitmeniniais elementais kategorija arba tokia kategorija perkeliama iš I klasės į II klasę, kaip nustatyta III priede, prieš pradedant taikyti atitinkamas 32 straipsnio 2 ir 3 dalyse nurodytas atitikties vertinimo procedūras, išskyrus atvejus, kai trumpesnis pereinamasis laikotarpis yra pateisinamas dėl privalomų priežasčių, dėl kurių privaloma skubėti.

4. Ne vėliau kaip 2025 m. gruodžio 11 d. Komisija priima įgyvendinimo aktą, kuriuo nustatomas I ir II klasėms, nustatytoms III priede, priskirtų produktų su skaitmeniniais elementais kategorijų techninis aprašymas ir IV priede nustatytų produktų su skaitmeniniais elementais kategorijų techninis aprašymas. Tas įgyvendinimo aktas priimamas laikantis 62 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

Ypatingos svarbos produktai su skaitmeniniais elementais

1. Komisijai pagal 61 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, siekiant šį reglamentą papildyti, kuriais nustatoma, kuriems produktams su skaitmeniniais elementais, turintiems pagrindinę šio reglamento IV priede nustatytos produktų kategorijos funkciją, taikomas reikalavimas gauti Europos kibernetinio saugumo sertifikatą, kuriame būtų pažymėta, kad saugumo užtikrinimo lygis yra bent „pakankamai aukštas“ pagal Europos kibernetinio saugumo sertifikavimo schemą, priimtą pagal Reglamentą (ES) 2019/881, siekiant įrodyti atitiktį šio reglamento I priede arba jo dalyse nustatytiems esminiams kibernetinio saugumo reikalavimams, jei pagal Reglamentą (ES) 2019/881 buvo priimta Europos kibernetinio saugumo sertifikavimo schema, apimanti tų kategorijų produktus su skaitmeniniais elementais, ir gamintojai gali ja naudotis. Tuose deleguotuosiuose aktuose nustatomas reikalaujamas saugumo užtikrinimo lygis, kuris turi būti proporcingas kibernetinio saugumo rizikos, susijusios su produktais su skaitmeniniais elementais, lygiui, ir nustatant tą lygį turi būti atsižvelgiama į tų produktų numatytąją paskirtį, įskaitant Direktyvos (ES) 2022/2555 3 straipsnio 1 dalyje nurodytų esminių subjektų kritinę priklausomybę nuo tų produktų.

Prieš priimdama tokius deleguotuosius aktus, Komisija įvertina galimą numatomų priemonių poveikį rinkai ir konsultuojasi su atitinkamais suinteresuotaisiais subjektais, įskaitant pagal Reglamentą (ES) 2019/881 įsteigtą Europos kibernetinio saugumo sertifikavimo grupę. Atliekant vertinimą atsižvelgiama į valstybių narių pasirengimą ir pajėgumo įgyvendinti atitinkamą Europos kibernetinio saugumo sertifikavimo schemą lygį. Jei nėra priimta šios dalies pirmoje pastraipoje nurodytų deleguotųjų aktų, produktams su skaitmeniniais elementais, turintiems IV priede nustatytos produktų kategorijos pagrindinę funkciją, taikomos 32 straipsnio 3 dalyje nurodytos atitikties vertinimo procedūros.

Pirmoje pastraipoje nurodytuose deleguotuosiuose aktuose nustatomas ne trumpesnis kaip šešių mėnesių pereinamasis laikotarpis, išskyrus atvejus, kai trumpesnis pereinamasis laikotarpis yra pagrįstas dėl privalomų priežasčių, dėl kurių privaloma skubėti.

2. Komisijai pagal 61 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, siekiant iš dalies pakeisti IV priedą, kuriais įtraukiamos ar pašalinamos ypatingos svarbos produktų su skaitmeniniais elementais kategorijos. Nustatant tokias ypatingos svarbos produktų su skaitmeniniais elementais kategorijas ir reikalaujamą saugumo užtikrinimo lygį pagal šio straipsnio 1 dalį, Komisija atsižvelgia į 7 straipsnio 2 dalyje nurodytus kriterijus ir užtikrina, kad produktų su skaitmeniniais elementais kategorijos atitiktų bent vieną iš šių kriterijų:

Prieš priimdama tokius deleguotuosius aktus, Komisija atlieka 1 dalyje nurodyto tipo vertinimą.

Pirmoje pastraipoje nurodytuose deleguotuosiuose aktuose nustatomas ne trumpesnis kaip šešių mėnesių pereinamasis laikotarpis, išskyrus atvejus, kai trumpesnis pereinamasis laikotarpis yra pagrįstas dėl privalomų priežasčių, dėl kurių privaloma skubėti.

Konsultacijos su suinteresuotaisiais subjektais

1. Rengiant šio reglamento įgyvendinimo priemones, Komisija konsultuojasi su atitinkamais suinteresuotaisiais subjektais, pavyzdžiui, atitinkamomis valstybių narių institucijomis, privačiojo sektoriaus įmonėmis, įskaitant labai mažas įmones ir mažąsias bei vidutines įmones, atvirosios programinės įrangos bendruomene, vartotojų asociacijomis, akademine bendruomene ir atitinkamomis Sąjungos agentūromis bei organais, taip pat su Sąjungos lygmeniu įsteigtomis ekspertų grupėmis, ir atsižvelgia į jų nuomones. Visų pirma Komisija, kai tinkama, struktūrizuotai konsultuojasi su tais suinteresuotaisiais subjektais ir prašo jų pareikšti nuomonę, kai:

2. Komisija bent kartą per metus rengia reguliarias konsultacijas ir informacines sesijas, kad sužinotų 1 dalyje nurodytų suinteresuotųjų subjektų nuomones apie šio reglamento įgyvendinimą.

Įgūdžių stiprinimas kibernetiškai atsparioje skaitmeninėje aplinkoje

Šio reglamento tikslais ir siekiant reaguoti į specialistų poreikius, kad būtų remiamas šio reglamento įgyvendinimas, valstybės narės, kai tinkama, padedamos Komisijos, Europos kibernetinio saugumo kompetencijos centro ir ENISA, kartu visapusiškai atsižvelgdamos į valstybių narių atsakomybę švietimo srityje, propaguoja priemones ir strategijas, kuriomis siekiama:

Bendroji produktų sauga

Nukrypstant nuo Reglamento (ES) 2023/988 2 straipsnio 1 dalies trečios pastraipos b punkto, to reglamento III skyriaus 1 skirsnis, V ir VII skyriai bei IX–XI skyriai taikomi produktams su skaitmeniniais elementais, atsižvelgiant į aspektus ir riziką arba rizikos kategorijas, kuriems netaikomas šis reglamentas, jei tiems produktams netaikomi konkretūs saugos reikalavimai, nustatyti kituose „Sąjungos derinamuosiuose teisės aktuose“, kaip apibrėžta Reglamento (ES) 2023/988 3 straipsnio 27 punkte.

Didelės rizikos DI sistemos

1. Nedarant poveikio su tikslumu ir patikimumu susijusiems reikalavimams, nustatytiems Reglamento (ES) 2024/1689 15 straipsnyje, laikoma, kad produktai su skaitmeniniais elementais, kurie patenka į šio reglamento taikymo sritį ir kurie yra priskiriami prie didelės rizikos DI sistemų pagal to reglamento 6 straipsnį, atitinka to reglamento 15 straipsnyje nustatytus kibernetinio saugumo reikalavimus, jei:

2. Šio straipsnio 1 dalyje nurodytiems produktams su skaitmeniniais elementais ir kibernetinio saugumo reikalavimams taikoma atitinkama atitikties vertinimo procedūra, numatyta Reglamento (ES) 2024/1689 43 straipsnyje. To vertinimo tikslais kompetenciją kontroliuoti didelės rizikos DI sistemų atitiktį pagal Reglamentą (ES) 2024/1689 turinčios notifikuotosios įstaigos taip pat turi kompetenciją kontroliuoti didelės rizikos DI sistemų, kurios patenka į šio reglamento taikymo sritį, atitiktį šio reglamento I priede nustatytiems reikalavimams, su sąlyga, kad atliekant notifikavimo pagal Reglamentą (ES) 2024/1689 procedūrą buvo įvertinta tų notifikuotųjų įstaigų atitiktis šio reglamento 39 straipsnyje nustatytiems reikalavimams.

3. Nukrypstant nuo šio straipsnio 2 dalies, šio reglamento III priede išvardytiems svarbiems produktams su skaitmeniniais elementais, kuriems taikomos šio reglamento 32 straipsnio 2 dalies a ir b punktuose bei 3 dalyje nurodytos atitikties vertinimo procedūros, ir šio reglamento IV priede išvardytiems ypatingos svarbos produktams su skaitmeniniais elementais, kuriems taikomas reikalavimas gauti Europos kibernetinio saugumo sertifikatą pagal šio reglamento 8 straipsnio 1 dalį arba, jei jo neturima, kuriems taikomos šio reglamento 32 straipsnio 3 dalyje nurodytos atitikties vertinimo procedūros, ir kurie pagal Reglamento (ES) 2024/1689 6 straipsnį priskiriami prie didelės rizikos DI sistemų ir kuriems taikoma Reglamento (ES) 2024/1689 VI priede nurodyta vidaus kontrole pagrįsta atitikties vertinimo procedūra, šiame reglamente numatytos atitikties vertinimo procedūros taikomos tiek, kiek tai susiję su šiame reglamente nustatytais esminiais kibernetinio saugumo reikalavimais.

4. Šio straipsnio 1 dalyje nurodytų produktų su skaitmeniniais elementais gamintojai gali dalyvauti Reglamento (ES) 2024/1689 57 straipsnyje nurodytoje apribotoje bandomojoje DI reglamentavimo aplinkoje.

Gamintojų pareigos

1. Pateikdami produktą su skaitmeniniais elementais rinkai gamintojai užtikrina, kad tas produktas būtų suprojektuotas, sukurtas ir pagamintas laikantis I priedo I dalyje nustatytų esminių kibernetinio saugumo reikalavimų.

2. Siekdami laikytis 1 dalies gamintojai atlieka kibernetinio saugumo rizikos, susijusios su produktu su skaitmeniniais elementais, vertinimą ir atsižvelgia į to vertinimo rezultatus produkto su skaitmeniniais elementais planavimo, projektavimo, kūrimo, gamybos, pristatymo ir techninės priežiūros etapuose, kad būtų kuo labiau sumažinta kibernetinio saugumo rizika, išvengta incidentų ir kuo labiau sumažintas jų poveikis, įskaitant atvejus, kai tai susiję su naudotojų sveikata ir sauga.

3. Kibernetinio saugumo rizikos vertinimas dokumentuojamas ir, prireikus, atnaujinamas per palaikymo laikotarpį, kuris turi būti nustatytas pagal šio straipsnio 8 dalį. Tas kibernetinio saugumo rizikos vertinimas apima bent kibernetinio saugumo rizikos analizę, pagrįstą produkto su skaitmeniniais elementais numatytąja paskirtimi ir pagrįstai numatomu naudojimu, taip pat naudojimo sąlygomis, pavyzdžiui, veiklos aplinka arba apsaugomu turtu, atsižvelgiant į tikėtiną produkto naudojimo laikotarpį. Kibernetinio saugumo rizikos vertinime nurodoma, ar ir, jei taip, kokiu būdu atitinkamam produktui su skaitmeniniais elementais taikomi I priedo I dalies 2 punkte nustatyti saugumo reikalavimai ir kaip tie reikalavimai įgyvendinami remiantis kibernetinio saugumo rizikos vertinimu. Jame taip pat nurodoma, kaip gamintojas turi taikyti I priedo I dalies 1 punktą ir I priedo II dalyje nustatytus pažeidžiamumo valdymo reikalavimus.

4. Pateikdamas produktą su skaitmeniniais elementais rinkai gamintojas į pagal 31 straipsnį ir VII priedą reikalaujamus techninius dokumentus įtraukia šio straipsnio 3 dalyje nurodytą kibernetinio saugumo rizikos vertinimą. 12 straipsnyje nurodytų produktų su skaitmeniniais elementais, kuriems taip pat taikomi kiti Sąjungos teisės aktai, atveju kibernetinio saugumo rizikos vertinimas gali būti pagal tuos Sąjungos teisės aktus reikalaujamo rizikos vertinimo dalis. Jei produktui su skaitmeniniais elementais netaikomi tam tikri esminiai kibernetinio saugumo reikalavimai, gamintojas įtraukia tuo tikslu aiškų pagrindimą į techninius dokumentus.

5. Siekdami laikytis 1 dalies gamintojai atlieka išsamų patikrinimą, kai į produktus su skaitmeniniais elementais integruojami iš trečiųjų šalių gauti komponentai, kad tie komponentai nepakenktų produkto su skaitmeniniais elementais kibernetiniam saugumui, be kita ko, kai integruojami laisvosios ir atvirosios programinės įrangos komponentai, kurie netiekiami rinkai vykdant komercinę veiklą.

6. Nustatę pažeidžiamumą komponente, įskaitant atvirojo kodo komponentą, integruotą į produktą su skaitmeniniais elementais, gamintojai praneša apie pažeidžiamumą tą komponentą gaminančiam ar techniškai prižiūrinčiam asmeniui arba subjektui ir sprendžia bei pašalina pažeidžiamumo problemą laikantis I priedo II dalyje nustatytų pažeidžiamumo valdymo reikalavimų. Jei gamintojai yra sukūrę programinės ar aparatinės įrangos pakeitimą to komponento pažeidžiamumo problemai spręsti, jie, kai tinkama, kompiuterio skaitomu formatu dalijasi atitinkamu kodu arba dokumentais su tą komponentą gaminančiu ar techniškai prižiūrinčiu asmeniu arba subjektu.

7. Gamintojai sistemingai, proporcingai kibernetinio saugumo rizikai ir pobūdžiui, dokumentuoja atitinkamus kibernetinio saugumo aspektus, susijusius su produktais su skaitmeniniais elementais, įskaitant pažeidžiamumus, apie kuriuos jie sužino, ir visą aktualią trečiųjų šalių pateiktą informaciją ir, kai taikytina, atnaujina produkto kibernetinio saugumo rizikos vertinimą.

8. Pateikdami produktą su skaitmeniniais elementais rinkai ir per palaikymo laikotarpį gamintojai užtikrina, kad to produkto, įskaitant jo komponentus, pažeidžiamumai būtų veiksmingai valdomi laikantis I priedo II dalyje nustatytų esminių kibernetinio saugumo reikalavimų.

Gamintojai nustato tokį palaikymo laikotarpį, kad jis atspindėtų tikėtiną produkto naudojimo laikotarpį, visų pirma atsižvelgdami į pagrįstus naudotojų lūkesčius, produkto pobūdį, įskaitant jo numatytąją paskirtį, taip pat į atitinkamus Sąjungos teisės aktus, kuriais nustatoma produktų su skaitmeniniais elementais naudojimo trukmė. Nustatydami palaikymo laikotarpį, gamintojai taip pat gali atsižvelgti į produktų su skaitmeniniais elementais, turinčiais panašią funkciją, kuriuos rinkai pateikė kiti gamintojai, palaikymo laikotarpius, veiklos aplinkos prieinamumą, iš trečiųjų šalių gautų pagrindines funkcijas atliekančių integruotų komponentų palaikymo laikotarpius, taip pat į atitinkamas pagal 52 straipsnio 15 dalį įsteigtos specialios administracinio bendradarbiavimo grupės ir Komisijos pateiktas gaires. Į aspektus, į kuriuos turi būti atsižvelgiama nustatant palaikymo laikotarpį, atsižvelgiama taip, kad būtų užtikrintas proporcingumas.

Nedarant poveikio antrai pastraipai, palaikymo laikotarpis turi būti bent penkeri metai. Jei tikėtina, kad produktas su skaitmeniniais elementais bus naudojamas trumpiau nei penkerius metus, palaikymo laikotarpis turi atitikti tikėtiną naudojimo laiką.

Atsižvelgdama į 52 straipsnio 16 dalyje nurodytas administracinio bendradarbiavimo grupės rekomendacijas, Komisija pagal 61 straipsnį gali priimti deleguotuosius aktus, siekiant šį reglamentą papildyti, kuriais nustatomas minimalus palaikymo laikotarpis konkrečioms produktų kategorijoms, jei iš rinkos priežiūros duomenų matyti, kad palaikymo laikotarpiai yra nepakankami.

Gamintojai į VII priede nurodytus techninius dokumentus įtraukia informaciją, į kurią buvo atsižvelgta nustatant produkto su skaitmeniniais elementais palaikymo laikotarpį.

Gamintojai turi turėti tinkamą politiką ir procedūras, įskaitant I priedo II dalies 5 punkte nurodytą koordinuoto pažeidžiamumų atskleidimo politiką, kad tvarkytų ir pašalintų galimus produkto su skaitmeniniais elementais pažeidžiamumus, apie kuriuos pranešė vidiniai arba išoriniai šaltiniai.

9. Gamintojai užtikrina, kad kiekvienas saugumo naujinys, nurodytas I priedo II dalies 8 punkte, kuris naudotojams buvo pateiktas per palaikymo laikotarpį, po jo išleidimo liktų prieinamas ne trumpiau kaip 10 metų arba likusį palaikymo laikotarpio laiką, priklausomai nuo to, kuris terminas yra ilgesnis.

10. Jei gamintojas pateikė rinkai vėlesnių iš esmės pakeistų programinės įrangos produkto versijų, tas gamintojas gali užtikrinti, kad būtų laikomasi I priedo II dalies 2 punkte nustatyto esminio kibernetinio saugumo reikalavimo tik tos versijos, kurią gamintojas paskutinę pateikė rinkai, atveju, jei anksčiau rinkai pateiktų versijų naudotojai gali nemokamai naudotis paskutine rinkai pateikta versija ir nepatiria papildomų išlaidų, kad pritaikytų aparatinės ir programinės įrangos aplinką, kurioje jie naudoja pirminę to produkto versiją.

11. Gamintojai gali laikyti viešuosius programinės įrangos archyvus, kad naudotojams būtų lengviau susipažinti su ankstesnėmis versijomis. Tokiais atvejais naudotojai turi būti aiškiai ir lengvai prieinamu būdu informuojami apie riziką, susijusią su nepalaikomos programinės įrangos naudojimu.

12. Prieš pateikdami produktą su skaitmeniniais elementais rinkai gamintojai parengia 31 straipsnyje nurodytus techninius dokumentus.

Jie atlieka 32 straipsnyje nurodytas pasirinktas atitikties vertinimo procedūras arba paveda jas atlikti.

Jei pagal tą atitikties vertinimo procedūrą įrodyta, kad produktas su skaitmeniniais elementais atitinka I priedo I dalyje nustatytus esminius kibernetinio saugumo reikalavimus ir kad gamintojo įdiegti procesai atitinka I priedo II dalyje nustatytus esminius kibernetinio saugumo reikalavimus, gamintojas parengia ES atitikties deklaraciją pagal 28 straipsnį ir paženklina produktą CE ženklu pagal 30 straipsnį.

13. Gamintojas saugo techninius dokumentus ir ES atitikties deklaraciją bent 10 metų po produkto su skaitmeniniais elementais pateikimo rinkai dienos arba per palaikymo laikotarpį, priklausomai nuo to, kuris terminas yra ilgesnis, kad rinkos priežiūros institucijos galėtų su jais susipažinti.

14. Gamintojai užtikrina, kad būtų nustatytos procedūros, kurias taikant būtų išlaikoma serijinės gamybos būdu gaminamų produktų su skaitmeniniais elementais atitiktis šiam reglamentui. Gamintojai tinkamai atsižvelgia į produkto su skaitmeniniais elementais kūrimo ir gamybos procesų, taip pat projektavimo ir charakteristikų pakeitimus bei į 27 straipsnyje nurodytų darniųjų standartų, Europos kibernetinio saugumo sertifikavimo schemų arba bendrųjų specifikacijų, į kuriuos darant nuorodą deklaruojama produkto su skaitmeniniais elementais atitiktis arba kuriuos taikant tikrinama jo atitiktis, pakeitimus.

15. Gamintojai užtikrina, kad ant jų produktų su skaitmeniniais elementais būtų nurodytas tipo, partijos ar serijos numeris ar kitas elementas, pagal kurį juos galima identifikuoti, arba, jei to neįmanoma padaryti, užtikrina, kad ta informacija būtų pateikta ant jų pakuotės arba prie produkto su skaitmeniniais elementais pridedamame dokumente.

16. Ant produkto su skaitmeniniais elementais, ant jo pakuotės arba prie produkto su skaitmeniniais elementais pridedamame dokumente gamintojas nurodo savo pavadinimą, registruotą prekės pavadinimą arba registruotą prekių ženklą, pašto adresą, e. pašto adresą ar kitus skaitmeninių kontaktų duomenis, taip pat, kai taikytina, interneto svetainę, kuriais naudojantis galima susisiekti su gamintoju. Ta informacija taip pat įtraukiama į naudotojui skirtą informaciją ir instrukcijas, nustatytas II priede. Kontaktiniai duomenys turi būti pateikiami naudotojams ir rinkos priežiūros institucijoms lengvai suprantama kalba.

17. Šio reglamento tikslais gamintojai paskiria vieną bendrą kontaktinį punktą, kad naudotojai galėtų tiesiogiai ir greitai su jais susisiekti, be kita ko, kad būtų lengviau pranešti apie produkto su skaitmeniniais elementais pažeidžiamumus.

Gamintojai užtikrina, kad naudotojai galėtų lengvai nustatyti, kur yra vienas bendras kontaktinis punktas. Gamintojai taip pat nurodo vieną bendrą kontaktinį punktą naudotojui skirtoje informacijoje ir instrukcijose, nustatytose II priede.

Vienas bendras kontaktinis punktas leidžia naudotojams pasirinkti pageidaujamas komunikacijos priemones ir neapriboja tokių priemonių vien automatizuotomis priemonėmis.

18. Gamintojai užtikrina, kad prie produktų su skaitmeniniais elementais būtų pridėta naudotojui skirta informacija ir instrukcijos, nustatytos II priede, popierine arba elektronine forma. Tokia informacija ir instrukcijos pateikiamos tokia kalba, kurią gali lengvai suprasti naudotojai ir rinkos priežiūros institucijos. Jos turi būti aiškios, suprantamos, nesudėtingos ir įskaitomos. Jos turi užtikrinti galimybę saugiai įrengti, eksploatuoti ir naudoti produktus su skaitmeniniais elementais. Gamintojai saugo naudotojui skirtą informaciją ir instrukcijas, nustatytas II priede, bent 10 metų po produkto su skaitmeniniais elementais pateikimo rinkai dienos arba per palaikymo laikotarpį, priklausomai nuo to, kuris terminas yra ilgesnis, kad naudotojai ir nacionalinės rinkos priežiūros institucijos galėtų su jomis susipažinti. Jei tokia informacija ir instrukcijos teikiamos internete, gamintojai užtikrina, kad jos būtų prieinamos, patogios naudotojui ir kad su jomis būtų galima susipažinti internete bent 10 metų po produkto su skaitmeniniais elementais pateikimo rinkai dienos arba per palaikymo laikotarpį, priklausomai nuo to, kuris terminas yra ilgesnis.

19. Gamintojai užtikrina, kad 8 dalyje nurodyto palaikymo laikotarpio pabaigos data, įskaitant bent mėnesį ir metus, būtų aiškiai ir suprantamai nurodyta pirkimo metu lengvai prieinamu būdu ir, kai taikytina, ant produkto su skaitmeniniais elementais, jo pakuotės arba skaitmeninėmis priemonėmis.

Kai tai techniškai įmanoma atsižvelgiant į produkto su skaitmeniniais elementais pobūdį, gamintojai pateikia naudotojams pranešimą, kuriuo jie informuojami, kad atėjo jų produkto su skaitmeniniais elementais palaikymo laikotarpio pabaiga.

20. Gamintojai kartu su produktu su skaitmeniniais elementais pateikia ES atitikties deklaracijos kopiją arba supaprastintą ES atitikties deklaraciją. Jei pateikiama supaprastinta ES atitikties deklaracija, joje turi būti nurodytas tikslus interneto adresas, kuriuo galima gauti visą ES atitikties deklaracijos tekstą.

21. Pateikę produktą su skaitmeniniais elementais rinkai ir per palaikymo laikotarpį, jei gamintojai žino arba turi priežasčių manyti, kad produktas su skaitmeniniais elementais arba gamintojo įdiegti procesai neatitinka I priede nustatytų esminių kibernetinio saugumo reikalavimų, jie nedelsdami imasi taisomųjų priemonių, būtinų to produkto su skaitmeniniais elementais arba gamintojo procesų atitikčiai užtikrinti, arba, prireikus, jį atšaukti ar pašalinti.

22. Gamintojai, gavę pagrįstą rinkos priežiūros institucijos prašymą, pateikia tai institucijai tokia kalba, kurią ta institucija gali lengvai suprasti, visą informaciją ir dokumentus popierine arba elektronine forma, būtinus įrodyti produkto su skaitmeniniais elementais ir gamintojo įdiegtų procesų atitiktį I priede nustatytiems esminiams kibernetinio saugumo reikalavimams. Tos institucijos prašymu gamintojai bendradarbiauja su ja dėl visų priemonių, kurių imamasi siekiant pašalinti jų rinkai pateikto produkto su skaitmeniniais elementais keliamą kibernetinio saugumo riziką.

23. Gamintojas, kuris nutraukia savo veiklą ir dėl to negali laikytis šio reglamento, prieš veiklos nutraukimą informuoja atitinkamas rinkos priežiūros institucijas, taip pat visomis turimomis priemonėmis ir, kiek įmanoma, informuoja atitinkamų rinkai pateiktų produktų su skaitmeniniais elementais naudotojus apie tai, kad ketinama nutraukti veiklą.

24. Komisija gali, atsižvelgdama į Europos ar tarptautinius standartus ir geriausią praktiką, įgyvendinimo aktais nustatyti I priedo II dalies 1 punkte nurodyto programinės įrangos medžiagų žiniaraščio formatą ir elementus. Tie įgyvendinimo aktai priimami laikantis 62 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

25. Siekiant įvertinti valstybių narių ir visos Sąjungos priklausomybę nuo programinės įrangos komponentų, visų pirma nuo komponentų, kurie priskiriami prie laisvosios ir atvirosios programinės įrangos, administracinio bendradarbiavimo grupė gali nuspręsti atlikti priklausomybės nuo konkrečių kategorijų produktų su skaitmeniniais elementais Sąjungos mastu vertinimą. Tuo tikslu rinkos priežiūros institucijos gali prašyti tokių kategorijų produktų su skaitmeniniais elementais gamintojų pateikti atitinkamus I priedo II dalies 1 punkte nurodytus programinės įrangos medžiagų žiniaraščius. Remdamosi tokia informacija, rinkos priežiūros institucijos gali pateikti administracinio bendradarbiavimo grupei anoniminę ir apibendrintą informaciją apie priklausomybę nuo programinės įrangos. Administracinio bendradarbiavimo grupė pateikia priklausomybės vertinimo rezultatų ataskaitą Bendradarbiavimo grupei, įsteigtai pagal Direktyvos (ES) 2022/2555 14 straipsnį.

Gamintojų pareiga pranešti

1. Gamintojas praneša apie visus aktyviai išnaudojamus produkto su skaitmeniniais elementais pažeidžiamumus, apie kuriuos sužino, tuo pačiu metu koordinatore paskirtai CSIRT pagal šio straipsnio 7 dalį ir ENISA. Gamintojas apie tą aktyviai išnaudojamą pažeidžiamumą praneša per bendrą pranešimų teikimo platformą, sukurtą pagal 16 straipsnį.

2. 1 dalyje nurodyto pranešimo tikslais gamintojas:

3. Gamintojas praneša apie didelį incidentą, darantį poveikį produkto su skaitmeniniais elementais saugumui, apie kurį sužino, tuo pačiu metu koordinatore paskirtai CSIRT pagal šio straipsnio 7 dalį ir ENISA. Gamintojas apie tą incidentą praneša per bendrą pranešimų teikimo platformą, sukurtą pagal 16 straipsnį.

4. 3 dalyje nurodyto pranešimo tikslais gamintojas:

5. 3 dalies tikslais incidentas, darantis poveikį produkto su skaitmeniniais elementais saugumui, laikomas dideliu, jei:

6. Prireikus, koordinatore paskirta CSIRT, kuri pirmoji gavo pranešimą, gali paprašyti gamintojų pateikti tarpinį pranešimą apie atitinkamą atnaujintą padėties informaciją apie aktyviai išnaudojamą pažeidžiamumą arba didelį incidentą, darantį poveikį produkto su skaitmeniniais elementais saugumui.

7. Šio straipsnio 1 ir 3 dalyse nurodyti pranešimai teikiami per 16 straipsnyje nurodytą bendrą pranešimų teikimo platformą, naudojant vieną iš 16 straipsnio 1 dalyje nurodytų elektroninio pranešimo galinių įrenginių. Pranešimas pateikiamas naudojant valstybės narės, kurioje yra gamintojo pagrindinė buveinė Sąjungoje, koordinatore paskirtos CSIRT elektroninio pranešimo galinį įrenginį ir jis tuo pačiu metu turi būti prieinamas ENISA.

Šio reglamento tikslais laikoma, kad gamintojo pagrindinė buveinė Sąjungoje yra toje valstybėje narėje, kurioje daugiausia priimami su to gamintojo produktų su skaitmeniniais elementais kibernetiniu saugumu susiję sprendimai. Jei tokios valstybės narės neįmanoma nustatyti, laikoma, kad pagrindinė buveinė yra valstybėje narėje, kurioje atitinkamas gamintojas turi padalinį, kuriame dirba daugiausia darbuotojų Sąjungoje.

Jei gamintojas neturi pagrindinės buveinės Sąjungoje, jis 1 ir 3 dalyse nurodytus pranešimus pateikia naudodamas valstybės narės, kuri nustatoma laikantis toliau nurodytos tvarkos ir remiantis gamintojo turima informacija, koordinatore paskirtos CSIRT elektroninio pranešimo galinį įrenginį:

Kiek tai susiję su trečios pastraipos d punktu, gamintojas gali pateikti pranešimus, susijusius su bet kokiu vėlesniu aktyviai išnaudojamu pažeidžiamumu arba dideliu incidentu, darančiu poveikį produkto su skaitmeniniais elementais saugumui, tai pačiai koordinatore paskirtai CSIRT, kuriai jis pirmą kartą pateikė pranešimą.

8. Sužinojęs apie aktyviai išnaudojamą pažeidžiamumą arba didelį incidentą, darantį poveikį produkto su skaitmeniniais elementais saugumui, gamintojas informuoja paveiktus produkto su skaitmeniniais elementais naudotojus ir, kai tinkama, visus naudotojus apie tą pažeidžiamumą arba didelį incidentą, ir, jei būtina, apie visas rizikos mažinimo ir taisomąsias priemones, kurių naudotojai gali imtis, kad sumažintų to pažeidžiamumo ar incidento poveikį, kai tinkama, struktūrizuotu, kompiuterio skaitomu formatu, kuris būtų lengvai automatiškai apdorojamas. Jei gamintojas laiku neinformuoja produkto su skaitmeniniais elementais naudotojų, koordinatorėmis paskirtos CSIRT, gavusios pranešimą, gali pateikti tokią informaciją naudotojams, kai manoma, kad tai proporcinga ir būtina siekiant užkirsti kelią to pažeidžiamumo ar incidento poveikiui arba jį sumažinti.

9. Ne vėliau kaip 2025 m. gruodžio 11 d. Komisija pagal šio reglamento 61 straipsnį priima deleguotuosius aktus, siekiant šį reglamentą papildyti, kuriais nustatomos sąlygos, kuriomis taikomos su kibernetiniu saugumu susijusios priežastys, dėl kurių atidedamas pranešimų platinimas, kaip nurodyta šio reglamento 16 straipsnio 2 dalyje. Rengdama deleguotųjų aktų projektus Komisija bendradarbiauja su CSIRT tinklu, sukurtu pagal Direktyvos (ES) 2022/2555 15 straipsnį, ir ENISA.

10. Komisija gali įgyvendinimo aktais išsamiau nustatyti šiame straipsnyje ir 15 bei 16 straipsniuose nurodytų pranešimų formatą ir procedūras. Tie įgyvendinimo aktai priimami laikantis 62 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros. Rengdama tų įgyvendinimo aktų projektus Komisija bendradarbiauja su CSIRT tinklu ir ENISA.

Savanoriškas pranešimas

1. Gamintojai ir kiti fiziniai ar juridiniai asmenys apie bet kokį produkto su skaitmeniniais elementais pažeidžiamumą ir kibernetines grėsmes, kurios galėtų turėti įtakos produkto su skaitmeniniais elementais rizikos profiliui, gali savanoriškai pranešti koordinatore paskirtai CSIRT arba ENISA.

2. Gamintojai ir kiti fiziniai ar juridiniai asmenys apie bet kokį incidentą, darantį poveikį produkto su skaitmeniniais elementais saugumui, taip pat apie vos neįvykusius įvykius, dėl kurių toks incidentas galėjo įvykti, gali savanoriškai pranešti koordinatore paskirtai CSIRT arba ENISA.

3. Koordinatore paskirta CSIRT arba ENISA tvarko šio straipsnio 1 ir 2 dalyse nurodytus pranešimus laikydamasi 16 straipsnyje nustatytos procedūros.

Koordinatore paskirta CSIRT gali teikti pirmenybę ne savanoriškų, o privalomų pranešimų tvarkymui.

4. Jei fizinis ar juridinis asmuo, kuris nėra gamintojas, praneša apie aktyviai išnaudojamą pažeidžiamumą arba didelį incidentą, darantį poveikį produkto su skaitmeniniais elementais saugumui pagal 1 arba 2 dalį, koordinatore paskirta CSIRT nepagrįstai nedelsdama apie tai informuoja gamintoją.

5. Koordinatorėmis paskirtos CSIRT ir ENISA užtikrina pranešančiojo fizinio ar juridinio asmens pateiktos informacijos konfidencialumą ir tinkamą apsaugą. Nedarant poveikio nusikalstamų veikų prevencijai, tyrimui, jų atskleidimui ir baudžiamajam persekiojimui už jas, dėl savanoriško pranešimo pranešimą teikiančiam fiziniam ar juridiniam asmeniui nenustatoma jokių papildomų pareigų, kurios jam nebūtų taikomos, jei jis nebūtų pateikęs pranešimo.

Bendros pranešimų teikimo platformos sukūrimas

1. 14 straipsnio 1 ir 3 dalyse ir 15 straipsnio 1 ir 2 dalyse nurodytų pranešimų teikimo tikslais ir siekiant supaprastinti gamintojų pareigas teikti pranešimus, ENISA sukuria bendrą pranešimų teikimo platformą. Tos bendros pranešimų teikimo platformos kasdienę veiklą valdo ir prižiūri ENISA. Bendros pranešimų teikimo platformos struktūra sudaro sąlygas valstybėms narėms ir ENISA įdiegti savo elektroninio pranešimo galinius įrenginius.

2. Gavusi pranešimą, koordinatore paskirta CSIRT, kuri pirmoji gavo pranešimą, nedelsdama jį išplatina per bendrą pranešimų teikimo platformą koordinatorėmis paskirtoms CSIRT, kurių teritorijoje, kaip nurodė gamintojas, yra prieinamas tas produktas su skaitmeniniais elementais.

Išimtinėmis aplinkybėmis ir, visų pirma, gamintojo prašymu bei atsižvelgiant į gamintojo pagal šio reglamento 14 straipsnio 2 dalies a punktą nurodytą pateiktos informacijos neskelbtinumo lygį, pranešimo platinimas dėl pagrįstų su kibernetiniu saugumu susijusių priežasčių gali būti atidėtas laikotarpiui, kuris yra tikrai būtinas, įskaitant atvejus, kai pažeidžiamumui taikoma suderinta pažeidžiamumo atskleidimo procedūra, kaip nurodyta Direktyvos (ES) 2022/2555 12 straipsnio 1 dalyje. Jei CSIRT nusprendžia atidėti pranešimą, ji nedelsdama informuoja ENISA apie sprendimą ir pateikia pranešimo atidėjimo pagrindimą, taip pat nurodo, kada ji išplatins pranešimą laikydamasi šioje dalyje nustatytos platinimo procedūros. ENISA gali teikti CSIRT pagalbą su kibernetiniu saugumu susijusių priežasčių nuostatų taikymo srityje, kiek tai susiję su pranešimo platinimo atidėjimu.

Ypatingais išimtiniais atvejais, kai gamintojas 14 straipsnio 2 dalies b punkte nurodytame pranešime nurodo, kad:

tik informacija, kad gamintojas pateikė pranešimą, bendroji informacija apie produktą, informacija apie bendrą išnaudojimo pobūdį ir informacija, kad buvo nurodytos su saugumu susijusios priežastys, turi būti pateikta tuo pačiu metu ENISA, kol visas pranešimo tekstas bus išplatintas atitinkamoms CSIRT ir ENISA. Jei, remdamasi ta informacija, ENISA mano, kad esama sisteminės rizikos, turinčios poveikį vidaus rinkos saugumui, ji rekomenduoja pranešimą gavusiai CSIRT išplatinti visą pranešimo tekstą kitoms koordinatorėmis paskirtoms CSIRT ir pačiai ENISA.

3. Gavusios pranešimą apie aktyviai išnaudojamą produkto su skaitmeniniais elementais pažeidžiamumą arba didelį incidentą, darantį poveikį produkto su skaitmeniniais elementais saugumui, koordinatorėmis paskirtos CSIRT savo atitinkamų valstybių narių rinkos priežiūros institucijoms pateikia informaciją, apie kurią joms praneštą ir kurios reikia, kad rinkos priežiūros institucijos galėtų vykdyti savo pareigas pagal šį reglamentą.

4. ENISA imasi tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, kad būtų valdoma rizika, kylanti bendros pranešimų teikimo platformos ir per bendrą pranešimų teikimo platformą teikiamos arba platinamos informacijos saugumui. Ji nepagrįstai nedelsdama praneša CSIRT tinklui ir Komisijai apie visus saugumo incidentus, darančius poveikį bendrai pranešimų teikimo platformai.

5. ENISA, bendradarbiaudama su CSIRT tinklu, pateikia ir įgyvendina techninių, operacinių ir organizacinių priemonių, susijusių su 1 dalyje nurodytos bendros pranešimų teikimo platformos sukūrimu, technine priežiūra ir saugiu eksploatavimu, įskaitant bent saugumo priemones, susijusias su bendros pranešimų teikimo platformos sukūrimu, eksploatavimu ir technine priežiūra, ir elektroninio pranešimo galinių įrenginių, kuriuos nustatė koordinatorėmis paskirtos CSIRT nacionaliniu lygmeniu, o Sąjungos lygmeniu – ENISA, specifikacijas, įskaitant procedūrinius aspektus, siekiant užtikrinti, kad tais atvejais, kai pažeidžiamumo, apie kurį pranešta, atžvilgiu nėra priimta jokių taisomųjų ar poveikio mažinimo priemonių, informacija apie tą pažeidžiamumą būtų dalijamasi laikantis griežtų saugumo protokolų ir remiantis būtinybės žinoti principu.

6. Jei koordinatore paskirtai CSIRT, vykdant koordinuoto pažeidžiamumų atskleidimo procedūrą, nurodytą Direktyvos (ES) 2022/2555 12 straipsnio 1 dalyje, buvo pranešta apie aktyviai išnaudojamą pažeidžiamumą, koordinatore paskirta CSIRT, kuri pirmoji gavo pranešimą, gali atidėti atitinkamo pranešimo platinimą per bendrą pranešimų teikimo platformą remdamasi pagrįstomis su kibernetiniu saugumu susijusiomis priežastimis ne ilgesniam nei griežtai būtina laikotarpiui iki tol, kol susijusios koordinuoto pažeidžiamumų atskleidimo šalys duos sutikimą atskleisti informaciją. Tuo reikalavimu neužkertamas kelias gamintojams savanoriškai pranešti apie tokį pažeidžiamumą šiame straipsnyje nustatyta tvarka.

Kitos su pranešimu susijusios nuostatos

1. ENISA gali pateikti Europos ryšių palaikymo dėl kibernetinių krizių organizaciniam tinklui (EU-CyCLONe), įsteigtam pagal Direktyvos (ES) 2022/2555 16 straipsnį, informaciją, apie kurią pranešta pagal šio reglamento 14 straipsnio 1 ir 3 dalis bei 15 straipsnio 1 ir 2 dalis, jei tokia informacija yra svarbi koordinuotam didelio masto kibernetinio saugumo incidentų ir krizių valdymui operaciniu lygmeniu. Siekdama nustatyti tokią svarbą, ENISA gali atsižvelgti į CSIRT tinklo atliktas technines analizes, jei tokių yra.

2. Kai visuomenės informuotumas yra būtinas siekiant užkirsti kelią dideliam incidentui, darančiam poveikį produkto su skaitmeniniais elementais saugumui, arba jį sušvelninti arba valdyti vykstantį incidentą, arba kai incidento atskleidimas kitu būdu atitinka viešąjį interesą, atitinkamos valstybės narės koordinatore paskirta CSIRT gali, pasikonsultavusi su atitinkamu gamintoju ir, kai tinkama, bendradarbiaudama su ENISA, informuoti visuomenę apie incidentą arba pareikalauti, kad tai padarytų gamintojas.

3. Remdamasi pagal šio reglamento 14 straipsnio 1 ir 3 dalis bei 15 straipsnio 1 ir 2 dalis gautais pranešimais ENISA kas 24 mėnesius parengia techninę ataskaitą apie produktams su skaitmeniniais elementais kylančios kibernetinio saugumo rizikos tendencijas ir pateikia ją Bendradarbiavimo grupei, įsteigtai pagal Direktyvos (ES) 2022/2555 14 straipsnį. Pirmoji tokia ataskaita pateikiama per 24 mėnesius nuo šio reglamento 14 straipsnio 1 ir 3 dalyse nustatytų pareigų taikymo pradžios. ENISA į savo ataskaitą dėl kibernetinio saugumo padėties Sąjungoje pagal Direktyvos (ES) 2022/2555 18 straipsnį įtraukia atitinkamą savo techninių ataskaitų informaciją.

4. Vien dėl pranešimo pagal 14 straipsnio 1 ir 3 dalis arba 15 straipsnio 1 ir 2 dalis veiksmo pranešančiajam negali būti padidinama fizinio ar juridinio asmens atsakomybė.

5. Gavusi saugumo naujinį arba kitokios formos taisomąją ar rizikos mažinimo priemonę, ENISA, susitarusi su atitinkamu produkto su skaitmeniniais elementais gamintoju, į Europos pažeidžiamumo duomenų bazę, sukurtą pagal Direktyvos (ES) 2022/2555 12 straipsnio 2 dalį, įtraukia viešai žinomą pažeidžiamumą, apie kurį pranešta pagal šio reglamento 14 straipsnio 1 dalį arba 15 straipsnio 1 dalį.

6. Koordinatorėmis paskirtos CSIRT teikia pagalbos tarnybos paslaugas, susijusias su pareiga pranešti pagal 14 straipsnį, gamintojams, visų pirma gamintojams, kurie laikomi labai mažomis įmonėmis arba mažosiomis ar vidutinėmis įmonėmis.

Įgaliotieji atstovai

1. Gamintojas gali rašytiniu įgaliojimu paskirti įgaliotąjį atstovą.

2. Įgaliotojo atstovo įgaliojimas neapima 13 straipsnio 1–11 dalyse, 13 straipsnio 12 dalies pirmoje pastraipoje ir 13 straipsnio 14 dalyje nustatytų pareigų.

3. Įgaliotasis atstovas atlieka gamintojo suteiktame įgaliojime nustatytas užduotis. Įgaliotasis atstovas, gavęs prašymą, rinkos priežiūros institucijoms pateikia įgaliojimo kopiją. Įgaliojimu įgaliotajam atstovui leidžiama atlikti bent šiuos veiksmus:

Importuotojų pareigos

1. Importuotojai rinkai pateikia tik tuos produktus su skaitmeniniais elementais, kurie atitinka I priedo I dalyje nustatytus esminius kibernetinio saugumo reikalavimus ir kai gamintojo įdiegti procesai atitinka I priedo II dalyje nustatytus esminius kibernetinio saugumo reikalavimus.

2. Prieš pateikdami rinkai produktą su skaitmeniniais elementais importuotojai užtikrina, kad:

Šios dalies tikslais importuotojai turi galėti pateikti būtinus dokumentus, įrodančius, kad įvykdyti šiame straipsnyje nustatyti reikalavimai.

3. Jei importuotojas mano arba turi priežasčių manyti, kad produktas su skaitmeniniais elementais arba gamintojo įdiegti procesai neatitinka šio reglamento, jis neteikia produkto rinkai, kol neužtikrinama to produkto arba gamintojo įdiegtų procesų atitiktis šiam reglamentui. Be to, jei produktas su skaitmeniniais elementais kelia didelę kibernetinio saugumo riziką, importuotojas apie tai informuoja gamintoją ir rinkos priežiūros institucijas.

Jei importuotojas turi priežasčių manyti, kad produktas su skaitmeniniais elementais gali kelti didelę kibernetinio saugumo riziką atsižvelgiant į netechninius rizikos veiksnius, jis apie tai informuoja rinkos priežiūros institucijas. Gavusios tokią informaciją, rinkos priežiūros institucijos taiko 54 straipsnio 2 dalyje nurodytas procedūras.

4. Ant produkto su skaitmeniniais elementais arba ant jo pakuotės ar prie produkto su skaitmeniniais elementais pridedamame dokumente importuotojas nurodo savo pavadinimą, registruotą prekės pavadinimą arba registruotą prekių ženklą, pašto adresą, e. pašto adresą ar kitus skaitmeninių kontaktų duomenis, taip pat, kai taikytina, interneto svetainę, kuriais naudojantis su jais galima susisiekti. Kontaktiniai duomenys turi būti pateikiami naudotojams bei rinkos priežiūros institucijoms lengvai suprantama kalba.

5. Jei importuotojai žino arba turi priežasčių manyti, kad produktas su skaitmeniniais elementais, kurį jie pateikė rinkai, neatitinka šio reglamento, jie nedelsdami imasi taisomųjų priemonių, būtinų to produkto su skaitmeniniais elementais atitikčiai šiam reglamentui užtikrinti, arba, prireikus, jį atšaukti ar pašalinti.

Sužinoję apie produkto su skaitmeniniais elementais pažeidžiamumą, importuotojai apie tą pažeidžiamumą nedelsdami praneša gamintojui. Be to, jei produktas su skaitmeniniais elementais kelia didelę kibernetinio saugumo riziką, importuotojai nedelsdami apie tai praneša valstybių narių, kuriose jie tiekė rinkai tokį produktą su skaitmeniniais elementais, rinkos priežiūros institucijoms, pateikdami išsamią informaciją, visų pirma apie neatitiktį ir apie visas taisomąsias priemones, kurių buvo imtasi.

6. Importuotojas bent 10 metų po produkto su skaitmeniniais elementais pateikimo rinkai dienos arba per palaikymo laikotarpį, priklausomai nuo to, kuris terminas yra ilgesnis, saugo ES atitikties deklaracijos kopiją, kad rinkos priežiūros institucijos galėtų su ja susipažinti, ir užtikrina, kad tų institucijų prašymu joms galėtų būti pateikti techniniai dokumentai.

7. Jei rinkos priežiūros institucija pateikia pagrįstą prašymą, importuotojai tai institucijai lengvai suprantama kalba popierine ar elektronine forma pateikia visą informaciją ir dokumentus, būtinus siekiant įrodyti, kad produktas su skaitmeniniais elementais atitinka I priedo I dalyje nustatytus esminius kibernetinio saugumo reikalavimus ir kad gamintojo įdiegti procesai atitinka I priedo II dalyje nustatytus esminius kibernetinio saugumo reikalavimus. Tos institucijos prašymu importuotojai bendradarbiauja su ja dėl visų priemonių, kurių imamasi siekiant pašalinti produkto su skaitmeniniais elementais, kurį jie pateikė rinkai, keliamą kibernetinio saugumo riziką.

8. Kai produkto su skaitmeniniais elementais importuotojas sužino, kad to produkto gamintojas nutraukė savo veiklą ir dėl to negali vykdyti šiame reglamente nustatytų pareigų, importuotojas informuoja apie šią situaciją atitinkamas rinkos priežiūros institucijas, taip pat, visomis turimomis priemonėmis ir kiek įmanoma, rinkai pateiktų produktų su skaitmeniniais elementais naudotojus.

Platintojų pareigos

1. Tiekdami rinkai produktą su skaitmeniniais elementais, platintojai pakankamai rūpestingai laikosi šiame reglamente nustatytų reikalavimų.

2. Prieš tiekdami produktą su skaitmeniniais elementais rinkai platintojai patikrina, ar:

3. Jei platintojas, remdamasis savo turima informacija, mano arba turi priežasčių manyti, kad produktas su skaitmeniniais elementais arba gamintojo įdiegti procesai neatitinka I priede nustatytų esminių kibernetinio saugumo reikalavimų, platintojas netiekia produkto su skaitmeniniais elementais rinkai, kol nebus užtikrinta to produkto arba gamintojo įdiegtų procesų atitiktis šiam reglamentui. Be to, jei produktas su skaitmeniniais elementais kelia didelę kibernetinio saugumo riziką, platintojas nepagrįstai nedelsdamas apie tai informuoja gamintoją ir rinkos priežiūros institucijas.

4. Jei platintojai, remdamiesi savo turima informacija, žino arba turi priežasčių manyti, kad produktas su skaitmeniniais elementais, kurį jie tiekė rinkai, arba jo gamintojo įdiegti procesai neatitinka šio reglamento, jie pasirūpina, kad būtų imtasi taisomųjų priemonių, būtinų to produkto su skaitmeniniais elementais arba jo gamintojo įdiegtų procesų atitikčiai užtikrinti, arba, prireikus, jį atšaukti ar pašalinti.

Sužinoję apie produkto su skaitmeniniais elementais pažeidžiamumą, platintojai apie tą pažeidžiamumą nedelsdami praneša gamintojui. Be to, jei produktas su skaitmeniniais elementais kelia didelę kibernetinio saugumo riziką, platintojai nedelsdami apie tai praneša valstybių narių, kuriose jie tiekė rinkai tokį produktą su skaitmeniniais elementais, rinkos priežiūros institucijoms, pateikdami išsamią informaciją, visų pirma apie neatitiktį ir apie visas taisomąsias priemones, kurių buvo imtasi.

5. Jei rinkos priežiūros institucija pateikia pagrįstą prašymą, platintojai tai institucijai lengvai suprantama kalba popierine ar elektronine forma pateikia visą informaciją ir dokumentus, būtinus siekiant įrodyti, kad produktas su skaitmeniniais elementais ir jo gamintojo įdiegti procesai atitinka šį reglamentą. Tos institucijos prašymu platintojai bendradarbiauja su ja dėl visų priemonių, kurių imamasi siekiant pašalinti produkto su skaitmeniniais elementais, kurį jie tiekė rinkai, keliamą kibernetinio saugumo riziką.

6. Kai produkto su skaitmeniniais elementais platintojas, remdamasis savo turima informacija, sužino, kad to produkto gamintojas nutraukė savo veiklą ir dėl to negali vykdyti šiame reglamente nustatytų pareigų, platintojas nepagrįstai nedelsdamas informuoja apie šią situaciją atitinkamas rinkos priežiūros institucijas, taip pat, visomis turimomis priemonėmis ir kiek įmanoma, rinkai pateiktų produktų su skaitmeniniais elementais naudotojus.

Atvejai, kuriais importuotojams ir platintojams taikomos gamintojų pareigos

Importuotojas arba platintojas pagal šį reglamentą laikomas gamintoju ir jam taikomi 13 ir 14 straipsniai, jei tas importuotojas ar platintojas pateikia rinkai produktą su skaitmeniniais elementais savo vardu arba naudodamas savo prekių ženklą, arba atlieka jau pateikto rinkai produkto su skaitmeniniais elementais esminį pakeitimą.

Kiti atvejai, kuriais taikomos gamintojų pareigos

1. Fizinis ar juridinis asmuo, išskyrus gamintoją, importuotoją ar platintoją, kuris atlieka esminį produkto su skaitmeniniais elementais pakeitimą ir tiekia tą produktą rinkai, pagal šį reglamentą laikomas gamintoju.

2. Asmeniui, nurodytam šio straipsnio 1 dalyje, taikomos 13 ir 14 straipsniuose nustatytos pareigos – jos taikomos tai produkto su skaitmeniniais elementais daliai, kuri yra paveikta esminio pakeitimo, arba visam produktui, jei esminis pakeitimas daro poveikį viso produkto su skaitmeniniais elementais kibernetiniam saugumui.

Ekonominės veiklos vykdytojų identifikavimas

1. Ekonominės veiklos vykdytojai, gavę rinkos priežiūros institucijų prašymą, joms teikia šią informaciją:

2. Ekonominės veiklos vykdytojai 1 dalyje nurodytą informaciją turi galėti pateikti 10 metų po to, kai jiems buvo tiektas produktas su skaitmeniniais elementais, ir 10 metų po to, kai jie tiekė produktą su skaitmeniniais elementais.

Atvirosios programinės įrangos valdytojų pareigos

1. Atvirosios programinės įrangos valdytojai įdiegia ir patikrinamu būdu dokumentuoja kibernetinio saugumo politiką, kuria skatinamas saugaus produkto su skaitmeniniais elementais kūrimas ir veiksmingas to produkto kūrėjų vykdomas pažeidžiamumų valdymas. Ta politika taip pat skatinamas savanoriškas to produkto kūrėjų pranešimas apie pažeidžiamumą, kaip nustatyta 15 straipsnyje, ir atsižvelgiama į specifinį atvirosios programinės įrangos valdytojo pobūdį ir jam taikomas teisines bei organizacines priemones. Ta politika visų pirma apima aspektus, susijusius su pažeidžiamumų dokumentavimu, šalinimu ir ištaisymu, ir skatina dalijimąsi informacija apie nustatytus pažeidžiamumus atvirojo kodo bendruomenėje.

2. Rinkos priežiūros institucijų prašymu atvirosios programinės įrangos valdytojai bendradarbiauja su jomis, kad sumažintų produkto su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga, keliamą kibernetinio saugumo riziką.

Rinkos priežiūros institucijai pateikus pagrįstą prašymą, atvirosios programinės įrangos valdytojai tai institucijai lengvai suprantama kalba popierine arba elektronine forma pateikia 1 dalyje nurodytus dokumentus.

3. 14 straipsnio 1 dalyje nustatytos pareigos taikomos atvirosios programinės įrangos valdytojams tiek, kiek jie dalyvauja kuriant produktus su skaitmeniniais elementais. 14 straipsnio 3 ir 8 dalyse nustatytos pareigos taikomos atvirosios programinės įrangos valdytojams tiek, kiek dideli incidentai, darantys poveikį produktų su skaitmeniniais elementais saugumui, daro poveikį tinklų ir informacinėms sistemoms, kurias atvirosios programinės įrangos valdytojai teikia tokiems produktams kurti.

Laisvosios ir atvirosios programinės įrangos saugumo patvirtinimas

Siekiant palengvinti 13 straipsnio 5 dalyje nustatytos išsamaus patikrinimo pareigos vykdymą, visų pirma kiek tai susiję su gamintojais, kurie į savo produktus su skaitmeniniais elementais integruoja laisvosios ir atvirosios programinės įrangos komponentus, Komisijai pagal 61 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, siekiant papildyti šį reglamentą, kuriais nustatomos savanoriškos saugumo patvirtinimo programos, pagal kurias produktų su skaitmeniniais elementais, laikomais laisvąja ir atvirąja programine įranga, kūrėjai ar naudotojai, taip pat kitos trečiosios šalys gali įvertinti tokių produktų atitiktį visiems arba tam tikriems esminiams kibernetinio saugumo reikalavimams ar kitoms pareigoms, nustatytiems šiame reglamente.

Gairės

1. Siekiant palengvinti įgyvendinimą ir užtikrinti tokio įgyvendinimo nuoseklumą, Komisija paskelbia gaires, kad padėtų ekonominės veiklos vykdytojams taikyti šį reglamentą, ypatingą dėmesį skiriant palankesnių sąlygų laikytis reikalavimų sudarymui labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms.

2. Kai Komisija ketina pateikti 1 dalyje nurodytas gaires, ji atsižvelgia bent į šiuos aspektus:

Komisija taip pat tvarko lengvai prieinamą pagal šį reglamentą priimtų deleguotųjų ir įgyvendinimo aktų sąrašą.

3. Rengdama gaires pagal šį straipsnį, Komisija konsultuojasi su suinteresuotaisiais subjektais.

Atitikties prezumpcija

1. Preziumuojama, kad jei produktai su skaitmeniniais elementais ir gamintojo įdiegti procesai atitinka darniuosius standartus arba jų dalis, kurių nuorodos paskelbtos Europos Sąjungos oficialiajame leidinyje, jie atitinka I priede nustatytus esminius kibernetinio saugumo reikalavimus, kuriuos apima tie standartai ar jų dalys.

Pagal Reglamento (ES) Nr. 1025/2012 10 straipsnio 1 dalį Komisija paprašo vienos ar daugiau Europos standartizacijos organizacijų parengti darniuosius standartus, susijusius su šio reglamento I priede nustatytais esminiais kibernetinio saugumo reikalavimais. Rengdama standartizacijos prašymus dėl šio reglamento, Komisija stengiasi atsižvelgti į esamus arba rengiamus Europos ir tarptautinius kibernetinio saugumo standartus, kad būtų supaprastintas darniųjų standartų rengimas pagal Reglamentą (ES) Nr. 1025/2012.

2. Komisija gali priimti įgyvendinimo aktus, kuriais nustatomos bendrosios specifikacijos, apimančios techninius reikalavimus, kuriais sudaroma galimybė laikytis I priede nustatytų esminių kibernetinio saugumo reikalavimų, taikomų į šio reglamento taikymo sritį patenkantiems produktams su skaitmeniniais elementais.

Tie įgyvendinimo aktai priimami tik tuo atveju, kai tenkinamos šios sąlygos:

Tie įgyvendinimo aktai priimami laikantis 62 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

3. Prieš rengdama šio straipsnio 2 dalyje nurodytą įgyvendinimo akto projektą, Komisija informuoja Reglamento (ES) Nr. 1025/2012 22 straipsnyje nurodytą komitetą apie tai, kad, jos manymu, šio straipsnio 2 dalyje nustatytos sąlygos yra tenkinamos.

4. Rengdama 2 dalyje nurodytą įgyvendinimo akto projektą, Komisija atsižvelgia į atitinkamų įstaigų nuomonę ir tinkamai konsultuojasi su visais atitinkamais suinteresuotaisiais subjektais.

5. Preziumuojama, kad šio straipsnio 2 dalyje nurodytais įgyvendinimo aktais nustatytas bendrąsias specifikacijas ar jų dalis atitinkantys produktai su skaitmeniniais elementais ir gamintojo įdiegti procesai atitinka I priede nustatytus esminius kibernetinio saugumo reikalavimus, kuriuos apima tos bendrosios specifikacijos arba jų dalys.

6. Jei Europos standartizacijos organizacija priima darnųjį standartą ir Komisijai pasiūloma nuorodą į jį paskelbti Europos Sąjungos oficialiajame leidinyje, Komisija įvertina darnųjį standartą pagal Reglamentą (ES) Nr. 1025/2012. Jei Europos Sąjungos oficialiajame leidinyje paskelbiama darniojo standarto nuoroda, Komisija panaikina šio straipsnio 2 dalyje nurodytus įgyvendinimo aktus arba jų dalis, apimančius tuos pačius esminius kibernetinio saugumo reikalavimus, kaip ir tie, kuriems taikomas tas darnusis standartas.

7. Jei valstybė narė mano, kad bendroji specifikacija nevisiškai atitinka I priede nustatytus esminius kibernetinio saugumo reikalavimus, ji apie tai praneša Komisijai pateikdama išsamų paaiškinimą. Komisija įvertina tą išsamų paaiškinimą ir, jei tinkama, iš dalies pakeičia įgyvendinimo aktą, kuriuo nustatoma atitinkama bendroji specifikacija.

8. Preziumuojama, kad produktai su skaitmeniniais elementais ir gamintojo įdiegti procesai, dėl kurių yra parengtas ES atitikties pareiškimas arba sertifikatas pagal Europos kibernetinio saugumo sertifikavimo schemą, priimtą pagal Reglamentą (ES) 2019/881, atitinka I priede nustatytus esminius kibernetinio saugumo reikalavimus tiek, kiek ES atitikties pareiškimas arba Europos kibernetinio saugumo sertifikatas, arba jų dalys, apima tuos reikalavimus.

9. Komisijai pagal šio reglamento 61 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, siekiant šį reglamentą papildyti, kuriais nurodomos Europos kibernetinio saugumo sertifikavimo schemos, priimtos pagal Reglamentą (ES) 2019/881, kurios gali būti naudojamos siekiant įrodyti produktų su skaitmeniniais elementais atitiktį šio reglamento I priede nustatytiems esminiams kibernetinio saugumo reikalavimams ar jų dalims. Be to, Europos kibernetinio saugumo sertifikato, kurio saugumo užtikrinimo lygis yra bent „pakankamai aukštas“, išdavimas pagal tokias schemas panaikina gamintojo pareigą atlikti atitikties atitinkamiems reikalavimams trečiųjų šalių vertinimą, kaip nustatyta šio reglamento 32 straipsnio 2 dalies a ir b punktuose bei 3 dalies a ir b punktuose.

ES atitikties deklaracija

1. ES atitikties deklaraciją gamintojai parengia pagal 13 straipsnio 12 dalį ir joje nurodo, kad įrodytas I priede nustatytų taikytinų esminių kibernetinio saugumo reikalavimų įvykdymas.

2. ES atitikties deklaracija parengiama pagal V priede nustatytą pavyzdinę struktūrą, ir joje pateikiami atitinkamose VIII priede nustatytose atitikties vertinimo procedūrose nurodyti elementai. Tokia deklaracija, prireikus, atnaujinama. Ji pateikiama valstybės narės, kurios rinkai pateikiamas arba tiekiamas produktas su skaitmeniniais elementais, reikalaujamomis kalbomis.

13 straipsnio 20 dalyje nurodyta supaprastinta ES atitikties deklaracija parengiama pagal VI priede nustatytą pavyzdinę struktūrą. Ji pateikiama valstybės narės, kurios rinkai pateikiamas arba tiekiamas produktas su skaitmeniniais elementais, reikalaujamomis kalbomis.

3. Jei produktui su skaitmeniniais elementais taikomas daugiau kaip vienas Sąjungos teisės aktas, pagal kurį reikalaujama parengti ES atitikties deklaraciją, dėl visų tokių Sąjungos teisės aktų parengiama viena ES atitikties deklaracija. Toje deklaracijoje nurodomi susiję Sąjungos teisės aktai, įskaitant jų paskelbimo nuorodas.

4. Parengdamas ES atitikties deklaraciją gamintojas prisiima atsakomybę dėl produkto su skaitmeniniais elementais atitikties.

5. Komisijai pagal 61 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, siekiant papildyti šį reglamentą, kuriais prie V priede nustatytos ES atitikties deklaracijos minimalaus turinio pridedami nauji elementai, siekiant atsižvelgti į technologijų raidą.

Bendrieji ženklinimo CE ženklu principai

Ženklinimui CE ženklu taikomi bendrieji principai, nustatyti Reglamento (EB) Nr. 765/2008 30 straipsnyje.

Ženklinimo CE ženklu taisyklės ir sąlygos

1. Produktas su skaitmeniniais elementais ženklinamas CE ženklu taip, kad jis būtų matomas, įskaitomas ir neištrinamas. Jei taip ženklinti neįmanoma arba negalima dėl produkto su skaitmeniniais elementais pobūdžio, CE ženklas pateikiamas ant pakuotės ir 28 straipsnyje nurodytoje ES atitikties deklaracijoje, pateikiamoje kartu su produktu su skaitmeniniais elementais. Produktų su skaitmeniniais elementais, kurie yra programinės įrangos forma, atveju CE ženklas pateikiamas 28 straipsnyje nurodytoje ES atitikties deklaracijoje arba programinės įrangos produkto interneto svetainėje. Pastaruoju atveju atitinkama interneto svetainės dalis turi būti lengvai ir tiesiogiai prieinama vartotojams.

2. Atsižvelgiant į produkto su skaitmeniniais elementais pobūdį, CE ženklo, kuriuo ženklinamas produktas su skaitmeniniais elementais, aukštis gali būti mažesnis nei 5 mm, su sąlyga, kad jis išliks matomas ir įskaitomas.

3. Produktas su skaitmeniniais elementais CE ženklu paženklinamas prieš jį pateikiant rinkai. Po ženklo gali būti pateikta piktograma arba bet koks kitas ženklas, nurodantis ypatingą kibernetinio saugumo riziką arba paskirtį, nustatytą 6 dalyje nurodytuose įgyvendinimo aktuose.

4. Po CE ženklo nurodomas notifikuotosios įstaigos identifikacinis numeris, jei ta įstaiga dalyvauja atitikties vertinimo procedūroje, pagrįstoje 32 straipsnyje nurodytu visišku kokybės užtikrinimu (remiantis H moduliu).

Notifikuotosios įstaigos identifikacinį numerį pažymi pati notifikuotoji įstaiga arba pagal jos nurodymus tai padaro gamintojas arba gamintojo įgaliotasis atstovas.

5. Valstybės narės, naudodamosi esamais mechanizmais, užtikrina, kad būtų teisingai taikoma ženklinimą CE ženklu reglamentuojanti tvarka, o netinkamo to ženklinimo naudojimo atveju imamasi tinkamų veiksmų. Jei produktui su skaitmeniniais elementais taikomi kiti nei šis reglamentas Sąjungos derinamieji teisės aktai, kuriuose taip pat numatytas ženklinimas CE ženklu, CE ženklu turi būti nurodoma, kad produktas atitinka ir tokiuose kituose Sąjungos derinamuosiuose teisės aktuose nustatytus reikalavimus.

6. Komisija gali įgyvendinimo aktais nustatyti etikečių, piktogramų ar bet kokių kitų su produktų su skaitmeniniais elementais saugumu susijusių ženklų technines specifikacijas, jų palaikymo laikotarpius ir mechanizmus, kuriais skatinamas jų naudojimas ir didinamas visuomenės informuotumas apie produktų su skaitmeniniais elementais saugumą. Rengdama įgyvendinimo aktų projektus, Komisija konsultuojasi su atitinkamais suinteresuotaisiais subjektais ir administracinio bendradarbiavimo grupe, jei ji jau įsteigta pagal 52 straipsnio 15 dalį. Tie įgyvendinimo aktai priimami laikantis 62 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

Techniniai dokumentai

1. Techniniuose dokumentuose pateikiami visi svarbūs duomenys arba išsami informacija apie priemones, kurias gamintojas naudoja siekdamas užtikrinti, kad produktas su skaitmeniniais elementais ir gamintojo įdiegti procesai atitiktų I priede nustatytus esminius kibernetinio saugumo reikalavimus. Tuose dokumentuose turi būti bent VII priede nurodyti elementai.

2. Techniniai dokumentai parengiami prieš pateikiant produktą su skaitmeniniais elementais rinkai ir, prireikus, nuolat atnaujinami bent per palaikymo laikotarpį.

3. 12 straipsnyje nurodytų produktų su skaitmeniniais elementais, kuriems taip pat taikomi kiti Sąjungos teisės aktai, kuriuose numatyti techniniai dokumentai, atveju parengiamas vienas techninių dokumentų rinkinys, kuriame pateikiama VII priede nurodyta informacija ir pagal tuos Sąjungos teisės aktus reikalaujama informacija.

4. Su bet kokiomis atitikties vertinimo procedūromis susiję techniniai dokumentai ir korespondencija rengiami oficialiąja tos valstybės narės, kurioje yra įsisteigusi notifikuotoji įstaiga, kalba arba kita tai įstaigai priimtina kalba.

5. Komisija pagal 61 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, siekiant papildyti šį reglamentą, kuriais pridedami elementai, kurie turi būti įtraukti į VII priede nustatytus techninius dokumentus, atsižvelgiant į technologijų raidą ir pokyčius, su kuriais susiduriama įgyvendinant šį reglamentą. Tuo tikslu Komisija stengiasi užtikrinti, kad administracinė našta, tenkanti labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms, būtų proporcinga.

Produktų su skaitmeniniais elementais atitikties vertinimo procedūros

1. Gamintojas atlieka produkto su skaitmeniniais elementais ir gamintojo įdiegtų procesų atitikties vertinimą, kad nustatytų, ar laikomasi I priede nustatytų esminių kibernetinio saugumo reikalavimų. Gamintojas turi įrodyti atitiktį tiems esminiams kibernetinio saugumo reikalavimams taikydamas bet kurią iš šių procedūrų:

2. Jei vertindamas III priede nustatytai I klasei priskiriamo svarbaus produkto su skaitmeniniais elementais ir jo gamintojo įdiegtų procesų atitiktį I priede nustatytiems esminiams kibernetinio saugumo reikalavimams gamintojas netaikė darniųjų standartų, bendrųjų specifikacijų ar Europos kibernetinio saugumo sertifikavimo schemų, kurių saugumo užtikrinimo lygis yra bent „pakankamai aukštas“, kaip nurodyta 27 straipsnyje, arba taikė juos tik iš dalies, arba jei tokių darniųjų standartų, bendrųjų specifikacijų ar Europos kibernetinio saugumo sertifikavimo schemų nėra, atitinkamam produktui su skaitmeniniais elementais ir gamintojo įdiegtiems procesams dėl tų esminių kibernetinio saugumo reikalavimų taikoma viena iš šių procedūrų:

3. Jei produktas yra III priede nustatytai II klasei priskiriamas svarbus produktas su skaitmeniniais elementais, gamintojas turi įrodyti atitiktį I priede nustatytiems esminiams kibernetinio saugumo reikalavimams taikydamas bet kurią iš šių procedūrų:

4. IV priede išvardytų ypatingos svarbos produktų su skaitmeniniais elementais atveju turi būti įrodyta atitiktis I priede nustatytiems esminiams kibernetinio saugumo reikalavimams taikant vieną iš šių procedūrų:

5. Produktų su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga, priskiriamų prie III priede nustatytų kategorijų, gamintojai turi gebėti įrodyti atitiktį I priede nustatytiems esminiams kibernetinio saugumo reikalavimams taikant vieną iš šio straipsnio 1 dalyje nurodytų procedūrų, su sąlyga, kad 31 straipsnyje nurodyti techniniai dokumentai yra viešai prieinami tų produktų pateikimo rinkai metu.

6. Nustatant mokesčius už atitikties vertinimo procedūras atsižvelgiama į konkrečius labai mažų įmonių ir mažųjų bei vidutinių įmonių, įskaitant startuolius, interesus ir poreikius ir tie mokesčiai sumažinami proporcingai jų konkretiems interesams ir poreikiams.

Paramos priemonės labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms, įskaitant startuolius

1. Valstybės narės, kai tinkama, imasi toliau nurodytų veiksmų, pritaikytų labai mažų ir mažųjų įmonių poreikiams:

2. Kai tikslinga, valstybės narės gali sukurti apribotą bandomąją kibernetinio atsparumo reglamentavimo aplinką. Tokioje apribotoje bandomojoje reglamentavimo aplinkoje nustatoma kontroliuojama novatoriškų produktų su skaitmeniniais elementais bandymų aplinka siekiant palengvinti jų kūrimą, projektavimą, tvirtinimą ir bandymą atitikties šiam reglamentui tikslais ribotą laikotarpį iki jų pateikimo rinkai. Komisija ir, kai tinkama, ENISA gali teikti techninę paramą, konsultacijas ir priemones, susijusias su apribotos bandomosios reglamentavimo aplinkos sukūrimu ir veikimu. Apribota bandomoji reglamentavimo aplinka sukuriama rinkos priežiūros institucijoms tiesiogiai prižiūrint, vadovaujant ir remiant. Valstybės narės per administracinio bendradarbiavimo grupę informuoja Komisiją ir kitas rinkos priežiūros institucijas apie apribotos bandomosios reglamentavimo aplinkos sukūrimą. Apribota bandomoji reglamentavimo aplinka nedaro poveikio su priežiūra ir taisomaisiais veiksmais susijusiems kompetentingų institucijų įgaliojimams. Valstybės narės užtikrina atvirą, sąžiningą ir skaidrią prieigą prie apribotos bandomosios reglamentavimo aplinkos ir, visų pirma, palengvina prieigą labai mažoms įmonėms ir mažosioms įmonėms, įskaitant startuolius.

3. Pagal 26 straipsnį Komisija teikia labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms gaires dėl šio reglamento įgyvendinimo.

4. Komisija skelbia apie galimybes gauti finansinę paramą pagal esamų Sąjungos programų reglamentavimo sistemą, visų pirma, siekdama palengvinti finansinę naštą labai mažoms įmonėms ir mažosioms įmonėms.

5. Labai mažos įmonės ir mažosios įmonės visus VII priede nurodytų techninių dokumentų elementus gali pateikti supaprastinta forma. Tuo tikslu Komisija įgyvendinimo aktais nustato supaprastintą techninių dokumentų formą, pritaikytą labai mažų ir mažųjų įmonių poreikiams, įskaitant tai, kaip turi būti pateikti VII priede nustatyti elementai. Jei labai maža įmonė arba mažoji įmonė nusprendžia pateikti VII priede nustatytą informaciją supaprastinta tvarka, ji naudoja šioje dalyje nurodytą formą. Notifikuotosios įstaigos pripažįsta tą formą atitikties vertinimo tikslais.

Tie įgyvendinimo aktai priimami laikantis 62 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

Abipusio pripažinimo susitarimai

Atsižvelgiant į trečiosios valstybės techninę pažangą ir požiūrį į atitikties vertinimą, Sąjunga gali sudaryti su trečiosiomis valstybėmis abipusio pripažinimo susitarimus pagal SESV 218 straipsnį, kad paskatintų ir palengvintų tarptautinę prekybą.

Notifikavimas

1. Valstybės narės notifikuoja Komisijai ir kitoms valstybėms narėms įstaigas, įgaliotas atlikti atitikties vertinimą pagal šį reglamentą.

2. Valstybės narės ne vėliau kaip 2026 m. gruodžio 11 d. siekia užtikrinti, kad Sąjungoje būtų pakankamai notifikuotųjų įstaigų atitikties vertinimams atlikti siekiant išvengti kliūčių ir trukdymų patekti į rinką.

Notifikuojančiosios institucijos

1. Kiekviena valstybės narė paskiria notifikuojančiąją instituciją, atsakingą už tai, kad būtų nustatytos ir taikomos reikiamos procedūros, pagal kurias įvertinamos ir paskiriamos atitikties vertinimo įstaigos, atliekama jų notifikavimo procedūra ir vykdoma jų stebėsena, apimanti 41 straipsnio laikymąsi.

2. Valstybės narės gali nuspręsti, kad 1 dalyje nurodytą vertinimą ir stebėseną turi vykdyti nacionalinė akreditacijos įstaiga, kaip tai suprantama Reglamente (EB) Nr. 765/2008 ir laikantis to reglamento.

3. Jei notifikuojančioji institucija šio straipsnio 1 dalyje nurodytą vertinimą, notifikavimą ar stebėseną deleguoja arba kitaip paveda vykdyti įstaigai, kuri nėra Vyriausybinis subjektas, ta įstaiga turi būti teisės subjektas ir mutatis mutandis turi laikytis 37 straipsnio. Be to, ji turi turėti su jos veikla susijusios atsakomybės draudimą.

4. Notifikuojančioji institucija prisiima visą atsakomybę už 3 dalyje nurodytos įstaigos atliekamas užduotis.

Notifikuojančiosioms institucijoms taikomi reikalavimai

1. Notifikuojančioji institucija įsteigiama taip, kad nekiltų jos ir atitikties vertinimo įstaigų interesų konfliktas.

2. Notifikuojančioji institucija organizuojama ir veikia taip, kad būtų užtikrintas jos veiklos objektyvumas ir nešališkumas.

3. Notifikuojančioji institucija organizuojama taip, kad kiekvieną sprendimą dėl atitikties vertinimo įstaigos notifikavimo priimtų kiti nei vertinimą atlikę kompetentingi asmenys.

4. Notifikuojančioji institucija nesiūlo ir nevykdo jokios veiklos, kurią vykdo atitikties vertinimo įstaigos, ir neteikia konsultavimo paslaugų komerciniu ar konkurenciniu pagrindu.

5. Notifikuojančioji institucija užtikrina informacijos, kurią gauna, konfidencialumą.

6. Notifikuojančioji institucija turi turėti pakankamai kompetentingų darbuotojų, kad jos užduotys būtų atliekamos tinkamai.

Notifikuojančiųjų institucijų pareiga informuoti

1. Valstybės narės informuoja Komisiją apie savo procedūras, taikomas vertinant bei notifikuojant atitikties vertinimo įstaigas ir atliekant notifikuotųjų įstaigų stebėseną, taip pat apie visus jų pakeitimus.

2. Komisija užtikrina, kad 1 dalyje nurodyta informacija būtų viešai prieinama.

Notifikuotosioms įstaigoms taikomi reikalavimai

1. Atitikties vertinimo įstaiga notifikavimo procedūros tikslais turi atitikti 2–12 dalyse nustatytus reikalavimus.

2. Atitikties vertinimo įstaiga turi būti įsteigta pagal nacionalinę teisę ir turi turėti teisinį subjektiškumą.

3. Atitikties vertinimo įstaiga turi būti trečiosios šalies įstaiga, nepriklausoma nuo organizacijos ar produkto su skaitmeniniais elementais, kurį ji vertina.

Įstaiga, priklausanti verslo asociacijai arba profesinei federacijai, atstovaujančiai įmonės, susijusios su jos vertinamų produktų su skaitmeniniais elementais projektavimu, kūrimu, gamyba, tiekimu, surinkimu, naudojimu ar technine priežiūra, gali būti laikoma tokia trečiosios šalies įstaiga, jei įrodoma, kad ji yra nepriklausoma ir nėra jokio interesų konflikto.

4. Atitikties vertinimo įstaiga, jos vyresnioji vadovybė ir už atitikties vertinimo užduotis atsakingi darbuotojai negali būti vertinamų produktų su skaitmeniniais elementais projektuotojai, kūrėjai, gamintojai, tiekėjai, importuotojai, platintojai, montuotojai, pirkėjai, savininkai, naudotojai ar techninės priežiūros tiekėjai, arba tų šalių įgaliotieji atstovai. Tai netrukdo naudoti vertinamų produktų, kurie yra būtini atitikties vertinimo įstaigos veiklai, arba tokių produktų naudoti asmeniniais tikslais.

Atitikties vertinimo įstaiga, jos vyresnioji vadovybė ir už atitikties vertinimo užduotis atsakingi darbuotojai negali tiesiogiai dalyvauti projektuojant, kuriant, gaminant, importuojant, platinant, parduodant, montuojant, naudojant produktus su skaitmeniniais elementais, kuriuos jie vertina, ar atliekant techninę jų priežiūrą, taip pat negali atstovauti tokia veikla užsiimančioms šalims. Jos negali imtis jokios veiklos, kuri gali kliudyti joms nepriklausomai priimti sprendimus ar sąžiningai atlikti atitikties vertinimo užduotis, dėl kurių joms suteiktas notifikuotosios įstaigos statusas. Tai visų pirma taikoma konsultavimo paslaugoms.

Atitikties vertinimo įstaigos užtikrina, kad jų patronuojamųjų bendrovių ar subrangovų veikla nedarytų poveikio jų atitikties vertinimo veiklos konfidencialumui, objektyvumui ar nešališkumui.

5. Atitikties vertinimo įstaigos ir jų darbuotojai atitikties vertinimo veiklą turi vykdyti laikydamiesi griežčiausių profesinio sąžiningumo reikalavimų, ir turi turėti reikiamą konkrečios srities techninę kompetenciją bei nepasiduoti jokiam spaudimui ir paskatoms, visų pirma finansinėms, kurie galėtų paveikti jų sprendimą ar atitikties vertinimo veiklos rezultatus, ypač jei spaudimą daro ir paskatas siūlo tos veiklos rezultatais suinteresuoti asmenys ar asmenų grupės.

6. Atitikties vertinimo įstaiga turi būti pajėgi atlikti visas atitikties vertinimo užduotis, kurios yra nurodytos VIII priede ir kurioms atlikti ji buvo notifikuota, neatsižvelgiant į tai, ar tas užduotis atlieka pati atitikties vertinimo įstaiga, ar jos yra atliekamos tos įstaigos vardu ir atsakomybe.

Visais atvejais kiekvienai atitikties vertinimo procedūrai ir kiekvienai produktų su skaitmeniniais elementais rūšiai ar kategorijai, kuriai atitikties vertinimo įstaiga yra notifikuota, atitikties vertinimo įstaiga turi turėti:

Atitikties vertinimo įstaiga turi turėti priemonių, būtinų su atitikties vertinimo veikla susijusioms techninėms ir administracinėms užduotims tinkamai atlikti, ir galimybę naudotis visa reikiama įranga ar infrastruktūra.

7. Už atitikties vertinimo veiklą atsakingi darbuotojai turi:

8. Turi būti užtikrintas atitikties vertinimo įstaigų, jų vyresniosios vadovybės ir vertinimą atliekančių darbuotojų nešališkumas.

Atitikties vertinimo įstaigos vyresniosios vadovybės ir vertinimo darbuotojų atlyginimas neturi priklausyti nuo atliktų įvertinimų skaičiaus ar tų vertinimų rezultatų.

9. Atitikties vertinimo įstaigos turi apsidrausti civilinės atsakomybės draudimu, išskyrus atvejus, kai atsakomybę pagal nacionalinę teisę prisiima jų valstybė narė arba kai už atitikties vertinimą tiesiogiai atsako pati valstybė narė.

10. Atitikties vertinimo įstaigos darbuotojai laikosi profesinio slaptumo reikalavimo, taikomo visai informacijai, kurią jie gauna atlikdami užduotis pagal VIII priedą arba bet kurią nacionalinės teisės nuostatą, kuria jis įgyvendinamas, išskyrus atvejus, susijusius su valstybės narės, kurioje vykdoma jų veikla, rinkos priežiūros institucijomis. Nuosavybės teisės turi būti saugomos. Atitikties vertinimo įstaiga turi turėti dokumentais patvirtintas procedūras, užtikrinančias šios dalies reikalavimų laikymąsi.

11. Atitikties vertinimo įstaigos dalyvauja atitinkamoje standartizacijos veikloje ir pagal 51 straipsnį sukurtos notifikuotųjų įstaigų koordinavimo grupės veikloje arba užtikrina, kad vertinimą atliekantys jų darbuotojai būtų apie tą veiklą informuoti, ir tos grupės priimtus administracinius sprendimus ir parengtus dokumentus taiko kaip bendrąsias gaires.

12. Atitikties vertinimo įstaigos veikia vadovaudamosi nuosekliomis, sąžiningomis, proporcingomis ir pagrįstomis sąlygomis, vengdamos nereikalingos naštos ekonominės veiklos vykdytojams, ypač atsižvelgiant į labai mažų įmonių ir mažųjų bei vidutinių įmonių interesus dėl mokesčių.

Notifikuotųjų įstaigų atitikties prezumpcija

Jei atitikties vertinimo įstaiga įrodo, kad atitinka kriterijus, nustatytus atitinkamuose darniuosiuose standartuose arba jų dalyse, kurių nuorodos paskelbtos Europos Sąjungos oficialiajame leidinyje, preziumuojama, kad ji atitinka 39 straipsnyje nustatytus reikalavimus tiek, kiek juos apima taikomi darnieji standartai.

Notifikuotųjų įstaigų patronuojamosios įmonės ir subranga

1. Jei notifikuotoji įstaiga konkrečias su atitikties vertinimu susijusias užduotis paveda atlikti subrangovui ar patronuojamajai įmonei, ji užtikrina, kad tas subrangovas arba patronuojamoji įmonė atitiktų 39 straipsnyje nustatytus reikalavimus, ir apie tai informuoja notifikuojančiąją instituciją.

2. Notifikuotosios įstaigos prisiima visą atsakomybę už subrangovų ar patronuojamųjų įmonių atliekamas užduotis, neatsižvelgiant į tai, kur jie yra įsteigti.

3. Pavesti darbą subrangovui arba patronuojamai įmonei galima tik gavus gamintojo sutikimą.

4. Notifikuotosios įstaigos saugo aktualius dokumentus, susijusius su subrangovo ar patronuojamosios įmonės kvalifikacijos įvertinimu ir jų pagal šį reglamentą atliktu darbu, kad notifikuojančioji institucija galėtų su jais susipažinti.

Notifikavimo paraiška

1. Atitikties vertinimo įstaiga notifikavimo paraišką pateikia valstybės narės, kurioje ji yra įsisteigusi, notifikuojančiajai institucijai.

2. Prie tos paraiškos pridedamas atitikties vertinimo veiklos, atitikties vertinimo procedūros arba procedūrų ir produkto arba produktų su skaitmeniniais elementais, kuriuos vertinti ta įstaiga teigia turinti kompetencijos, aprašymas, taip pat, kai taikytina, nacionalinės akreditacijos įstaigos išduotas akreditacijos pažymėjimas, kuriuo patvirtinama, kad atitikties vertinimo įstaiga atitinka 39 straipsnyje nustatytus reikalavimus.

3. Jei tam tikra atitikties vertinimo įstaiga negali pateikti akreditacijos pažymėjimo, ji pateikia notifikuojančiajai institucijai visus dokumentinius įrodymus, būtinus jos atitikčiai 39 straipsnyje nustatytiems reikalavimams patikrinti, patvirtinti ir reguliariai stebėti.

Notifikavimo procedūra

1. Notifikuojančiosios institucijos notifikuoja tik tas atitikties vertinimo įstaigas, kurios atitinka 39 straipsnyje nustatytus reikalavimus.

2. Notifikuojančioji institucija teikia notifikavimo pranešimus Komisijai ir kitoms valstybėms narėms naudodama Komisijos sukurtą ir administruojamą Naujojo požiūrio notifikuotųjų ir paskirtų organizacijų informacinę sistemą.

3. Notifikavimo pranešime pateikiama išsami informacija apie atitikties vertinimo veiklą, atitikties vertinimo modulį ar modulius, atitinkamą produktą ar produktus su skaitmeniniais elementais ir atitinkamą kompetencijos patvirtinimą.

4. Jei notifikavimas nėra grindžiamas akreditacijos pažymėjimu, kaip nurodyta 42 straipsnio 2 dalyje, notifikuojančioji institucija Komisijai ir kitoms valstybėms narėms pateikia dokumentinius įrodymus, kuriais patvirtinama atitikties vertinimo įstaigos kompetencija ir tai, kad yra nustatyta reguliarų tos įstaigos stebėjimą ir jos tolesnę atitiktį 39 straipsnyje nustatytiems reikalavimams užtikrinsianti tvarka.

5. Atitinkama įstaiga notifikuotosios įstaigos veiklą gali vykdyti tik tuo atveju, jei Komisija arba kitos valstybės narės per dvi savaites po notifikavimo, jeigu naudojamasi akreditacijos pažymėjimu, arba per du mėnesius po notifikavimo, jeigu nesinaudojama akreditacijos pažymėjimu, nepareiškia prieštaravimų.

Tik tokia įstaiga laikoma notifikuotąja įstaiga pagal šį reglamentą.

6. Komisijai ir kitoms valstybėms narėms pranešama apie visus susijusius vėlesnius notifikavimo pranešimo pakeitimus.

Notifikuotųjų įstaigų identifikaciniai numeriai ir sąrašai

1. Komisija suteikia notifikuotajai įstaigai identifikacinį numerį.

Komisija suteikia tik vieną identifikacinį numerį net ir tuo atveju, kai apie įstaigą yra notifikuota pagal kelis Sąjungos teisės aktus.

2. Komisija viešai paskelbia įstaigų, notifikuotų pagal šį reglamentą, sąrašą, taip pat nurodo joms suteiktus identifikacinius numerius ir veiklą, kuriai atlikti jos yra notifikuotos.

Komisija užtikrina, kad tas sąrašas būtų nuolat atnaujinamas.

Notifikavimų pakeitimai

1. Kai notifikuojančioji institucija išsiaiškina arba yra informuojama, kad notifikuotoji įstaiga nebeatitinka 39 straipsnyje nustatytų reikalavimų arba kad ji nevykdo savo pareigų, notifikuojančioji institucija atitinkamai apriboja, laikinai sustabdo arba panaikina notifikavimo galiojimą, atsižvelgdama į tų reikalavimų nesilaikymo arba pareigų nevykdymo sunkumą. Apie tai ji atitinkamai nedelsdama informuoja Komisiją ir kitas valstybes nares.

2. Jei notifikavimo galiojimas apribojamas, laikinai sustabdomas arba panaikinamas, arba jei notifikuotoji įstaiga nutraukia veiklą, notifikuojančioji valstybė narė imasi tinkamų priemonių siekdama užtikrinti, kad tos įstaigos bylas tvarkytų kita notifikuotoji įstaiga arba jos būtų saugomos, kad su jomis galėtų susipažinti prašymą pateikusios atsakingos notifikuojančiosios institucijos ir rinkos priežiūros institucijos.

Notifikuotųjų įstaigų kompetencijos užginčijimas

1. Komisija tiria visus atvejus, kai jai kyla abejonių arba kai jai pranešama apie abejones dėl notifikuotosios įstaigos kompetencijos arba dėl to, ar notifikuotoji įstaiga vis dar atitinka jai taikomus reikalavimus ir vykdo jai pavestas pareigas.

2. Komisijos prašymu notifikuojančioji valstybė narė pateikia jai visą informaciją, susijusią su notifikavimo pagrindu arba atitinkamos įstaigos kompetencijos užtikrinimu.

3. Komisija užtikrina, kad visa neskelbtina informacija, gauta jai atliekant tyrimą, būtų tvarkoma konfidencialiai.

4. Jei Komisija sužino, kad notifikuotoji įstaiga neatitinka arba nebeatitinka jos notifikavimo reikalavimų, ji atitinkamai informuoja notifikuojančiąja valstybę narę ir paprašo imtis būtinų taisomųjų priemonių, įskaitant, jei būtina, notifikavimo panaikinimą.

Notifikuotųjų įstaigų su veikla susijusios pareigos

1. Notifikuotosios įstaigos atlieka atitikties vertinimus pagal 32 straipsnyje ir VIII priede numatytas atitikties vertinimo procedūras.

2. Atitikties vertinimai atliekami proporcingai, siekiant išvengti nereikalingos naštos ekonominės veiklos vykdytojams. Atitikties vertinimo įstaigos atlieka savo veiklą tinkamai atsižvelgdamos į įmonių dydį, visų pirma į labai mažas įmones ir mažąsias bei vidutines įmones, jų veiklos sektorių, jų struktūrą, atitinkamos produktų su skaitmeniniais elementais rūšies ir technologijos sudėtingumo laipsnį bei kibernetinio saugumo rizikos lygį ir į tai, ar gamybos procesas yra masinis, ar serijinis.

3. Tačiau notifikuotosios įstaigos laikosi tokio griežtumo ir apsaugos lygio, kokio reikia, kad būtų užtikrinta produktų su skaitmeniniais elementais atitiktis šiam reglamentui.

4. Kai notifikuotoji įstaiga nustato, kad gamintojas neįvykdė I priede, atitinkamuose darniuosiuose standartuose arba bendrosiose specifikacijose nustatytų reikalavimų, kaip nurodyta 27 straipsnyje, ji reikalauja, kad tas gamintojas imtųsi tinkamų taisomųjų priemonių, ir neišduoda atitikties sertifikato.

5. Jei sertifikatą išdavusi notifikuotoji įstaiga, vykdydama atitikties stebėseną, nustato, kad produktas su skaitmeniniais elementais nebeatitinka šiame reglamente nustatytų reikalavimų, ji reikalauja, kad gamintojas imtųsi tinkamų taisomųjų priemonių, ir, jei būtina, laikinai sustabdo arba panaikina sertifikato galiojimą.

6. Jei taisomųjų priemonių nesiimama arba jos nedaro reikalaujamo poveikio, notifikuotoji įstaiga prireikus apriboja, laikinai sustabdo arba panaikina sertifikatų galiojimą.

Notifikuotųjų įstaigų sprendimų apskundimas

Valstybės narės užtikrina, kad būtų nustatyta skundų dėl notifikuotųjų įstaigų sprendimų teikimo tvarka.

Notifikuotųjų įstaigų pareiga informuoti

1. Notifikuotosios įstaigos informuoja notifikuojančiąją instituciją apie:

2. Notifikuotosios įstaigos kitoms pagal šį reglamentą notifikuotoms įstaigoms, vykdančioms panašią tokių pačių produktų su skaitmeniniais elementais atitikties vertinimo veiklą, teikia susijusią informaciją klausimais, susijusiais su neigiamais ir, jei prašoma, teigiamais atitikties vertinimo rezultatais.

Keitimasis patirtimi

Komisija pasirūpina, kad būtų organizuojamas už notifikavimo politiką atsakingų valstybių narių nacionalinių institucijų keitimasis patirtimi.

Notifikuotųjų įstaigų veiklos koordinavimas

1. Komisija užtikrina, kad notifikuotųjų įstaigų veikla būtų tinkamai koordinuojama ir kad tos įstaigos tinkamai bendradarbiautų įvairių sektorių notifikuotųjų įstaigų grupėje.

2. Valstybės narės užtikrina, kad jų notifikuotosios įstaigos tiesiogiai ar per paskirtuosius atstovus dalyvautų tos grupės veikloje.

Produktų su skaitmeniniais elementais priežiūra ir kontrolė Sąjungos rinkoje

1. Į šio reglamento taikymo sritį patenkantiems produktams su skaitmeniniais elementais taikomas Reglamentas (ES) 2019/1020.

2. Kiekviena valstybė narė paskiria vieną ar daugiau rinkos priežiūros institucijų, kad užtikrintų veiksmingą šio reglamento įgyvendinimą. Valstybės narės gali paskirti esamą arba naują instituciją, kuri pagal šį reglamentą veiktų kaip rinkos priežiūros institucija.

3. Pagal šio straipsnio 2 dalį paskirtos rinkos priežiūros institucijos taip pat atsako už rinkos priežiūros veiklos, susijusios su 24 straipsnyje nustatytomis atvirosios programinės įrangos valdytojų pareigomis, vykdymą. Jei rinkos priežiūros institucija nustato, kad atvirosios programinės įrangos valdytojas nesilaiko tame straipsnyje nustatytų pareigų, ji reikalauja, jog atvirosios programinės įrangos valdytojas užtikrintų, kad būtų imtasi visų tinkamų taisomųjų veiksmų. Atvirosios programinės įrangos valdytojai užtikrina, kad būtų imtasi visų tinkamų taisomųjų veiksmų, susijusių su jų pareigomis pagal šį reglamentą.

4. Prireikus, rinkos priežiūros institucijos bendradarbiauja su nacionalinėmis kibernetinio saugumo sertifikavimo institucijomis, paskirtomis pagal Reglamento (ES) 2019/881 58 straipsnį, ir reguliariai keičiasi informacija. Prižiūrėdamos, kaip vykdomos pareigos pranešti pagal šio reglamento 14 straipsnį, paskirtosios rinkos priežiūros institucijos reguliariai bendradarbiauja ir keičiasi informacija su koordinatorėmis paskirtomis CSIRT ir ENISA.

5. Rinkos priežiūros institucijos gali prašyti koordinatore paskirtos CSIRT arba ENISA teikti technines konsultacijas su šio reglamento įgyvendinimu ir vykdymo užtikrinimu susijusiais klausimais. Vykdydamos tyrimą pagal 54 straipsnį, rinkos priežiūros institucijos gali prašyti koordinatore paskirtos CSIRT arba ENISA pateikti analizę, kuri padėtų įvertinti produktų su skaitmeniniais elementais atitiktį.

6. Prireikus, rinkos priežiūros institucijos bendradarbiauja su kitomis rinkos priežiūros institucijomis, paskirtomis pagal kitus nei šis reglamentas Sąjungos derinamuosius teisės aktus, ir reguliariai keičiasi informacija.

7. Rinkos priežiūros institucijos, kai tinkama, bendradarbiauja su institucijomis, atsakingomis už Sąjungos duomenų apsaugos teisės priežiūrą. Toks bendradarbiavimas apima tų institucijų informavimą apie bet kokius nustatytus faktus, susijusius su jų pareigų pagal jų kompetenciją vykdymu, įskaitant teikiant rekomendacijas ir konsultacijas pagal 10 dalį, jei tokios rekomendacijos ir konsultacijos yra susiję su asmens duomenų tvarkymu.

Institucijos, atsakingos už Sąjungos duomenų apsaugos teisės priežiūrą, turi turėti įgaliojimus prašyti pateikti bet kuriuos dokumentus, sukurtus ar tvarkomus pagal šį reglamentą, ir gauti prieigą prie jų, kai prieiga prie tų dokumentų yra būtina jų užduotims atlikti. Apie tokį prašymą jos informuoja atitinkamos valstybės narės paskirtąsias rinkos priežiūros institucijas.

8. Valstybės narės užtikrina, kad paskirtosioms rinkos priežiūros institucijoms būtų suteikta pakankamai finansinių ir techninių išteklių, įskaitant, kai tinkama, automatizuoto tvarkymo priemones, taip pat žmogiškųjų išteklių su reikiamais kibernetinio saugumo įgūdžiais jų užduotims pagal šį reglamentą vykdyti.

9. Komisija skatina ir palengvina paskirtųjų rinkos priežiūros institucijų keitimąsi patirtimi.

10. Rinkos priežiūros institucijos, padedamos Komisijos ir, kai tinkama, CSIRT ir ENISA, gali teikti rekomendacijas ir konsultacijas ekonominės veiklos vykdytojams dėl šio reglamento įgyvendinimo.

11. Rinkos priežiūros institucijos informuoja vartotojus apie tai, kur pateikti skundus, kurie rodytų šio reglamento nesilaikymą, pagal Reglamento (ES) 2019/1020 11 straipsnį, ir teikia vartotojams informaciją apie tai, kur ir kaip naudotis mechanizmais, kad būtų lengviau pranešti apie pažeidžiamumus, incidentus ir kibernetines grėsmes, kurie gali daryti poveikį produktams su skaitmeniniais elementais.

12. Rinkos priežiūros institucijos, kai aktualu, sudaro palankesnes sąlygas bendradarbiauti su suinteresuotaisiais subjektais, įskaitant mokslo, tyrimų ir vartotojų organizacijas.

13. Rinkos priežiūros institucijos kartą per metus perduoda Komisijai atitinkamos rinkos priežiūros veiklos rezultatus. Paskirtosios rinkos priežiūros institucijos nedelsdamos praneša Komisijai ir atitinkamoms nacionalinėms konkurencijos institucijoms visą vykdant rinkos priežiūros veiklą nustatytą informaciją, kuri gali būti svarbi taikant Sąjungos konkurencijos teisę.

14. Produktų su skaitmeniniais elementais, kurie patenka į šio reglamento taikymo sritį ir pagal Reglamento (ES) 2024/1689 6 straipsnį priskiriami prie didelės rizikos DI sistemų, atveju to reglamento tikslais paskirtos rinkos priežiūros institucijos yra institucijos, atsakingos už rinkos priežiūros veiklą, kurią reikalaujama vykdyti pagal šį reglamentą. Pagal Reglamentą (ES) 2024/1689 paskirtos rinkos priežiūros institucijos, prireikus, bendradarbiauja su pagal šį reglamentą paskirtomis rinkos priežiūros institucijomis, o dėl pareigos pranešti vykdymo pagal šio reglamento 14 straipsnį priežiūros – su koordinatorėmis paskirtomis CSIRT ir ENISA. Pagal Reglamentą (ES) 2024/1689 paskirtos rinkos priežiūros institucijos pagal šį reglamentą paskirtas rinkos priežiūros institucijas visų pirma informuoja apie visus nustatytus faktus, kurie yra svarbūs su šio reglamento įgyvendinimu susijusių jų užduočių vykdymui.

15. Siekiant vienodai taikyti šį reglamentą, sudaroma administracinio bendradarbiavimo grupė pagal Reglamento (ES) 2019/1020 30 straipsnio 2 dalį. Administracinio bendradarbiavimo grupę sudaro paskirtų rinkos priežiūros institucijų ir, jei tinkama, bendrų ryšių palaikymo tarnybų atstovai. Administracinio bendradarbiavimo grupė taip pat sprendžia konkrečius klausimus dėl rinkos priežiūros veiklos, susijusios su atvirosios programinės įrangos valdytojams nustatytomis pareigomis.

16. Rinkos priežiūros institucijos vykdo stebėseną, kaip gamintojai, nustatydami savo produktų su skaitmeniniais elementais palaikymo laikotarpį, taikė 13 straipsnio 8 dalyje nurodytus kriterijus.

Administracinio bendradarbiavimo grupė viešai prieinama ir patogia naudoti forma skelbia atitinkamus statistinius duomenis apie produktų su skaitmeniniais elementais kategorijas, įskaitant vidutinius palaikymo laikotarpius, kuriuos gamintojas nustato pagal 13 straipsnio 8 dalį, taip pat parengia gaires, kuriose nurodomi orientaciniai produktų su skaitmeniniais elementais kategorijoms taikomi palaikymo laikotarpiai.

Jei iš duomenų matyti, kad konkrečių kategorijų produktų su skaitmeniniais elementais palaikymo laikotarpiai yra nepakankami, administracinio bendradarbiavimo grupė gali rekomenduoti rinkos priežiūros institucijoms sutelkti dėmesį į tokių kategorijų produktus su skaitmeniniais elementais.

Prieiga prie duomenų ir dokumentų

Kai reikia įvertinti produktų su skaitmeniniais elementais ir jų gamintojų įdiegtų procesų atitiktį I priede nustatytiems esminiams kibernetinio saugumo reikalavimams, rinkos priežiūros institucijoms, pateikus pagrįstą prašymą, joms lengvai suprantama kalba suteikiama prieiga prie duomenų, kurių reikia tokių produktų projektavimui, kūrimui, gamybai ir pažeidžiamumų valdymui įvertinti, įskaitant susijusius atitinkamo ekonominės veiklos vykdytojo vidaus dokumentus.

Nacionaliniu lygmeniu taikoma procedūra dėl produktų su skaitmeniniais elementais, keliančių didelę kibernetinio saugumo riziką

1. Jei valstybės narės rinkos priežiūros institucija turi pakankamų priežasčių manyti, kad produktas su skaitmeniniais elementais, įskaitant jo pažeidžiamumų valdymą, kelia didelę kibernetinio saugumo riziką, ji, nepagrįstai nedelsdama ir, kai tikslinga, bendradarbiaudama su atitinkama CSIRT, atlieka atitinkamo produkto su skaitmeniniais elementais atitikties visiems šiame reglamente nustatytiems reikalavimams vertinimą. Atitinkami ekonominės veiklos vykdytojai, prireikus, bendradarbiauja su rinkos priežiūros institucija.

Jei atliekant tą vertinimą rinkos priežiūros institucija nustato, kad produktas su skaitmeniniais elementais neatitinka šiame reglamente nustatytų reikalavimų, ji nedelsdama pareikalauja, kad atitinkamas ekonominės veiklos vykdytojas imtųsi visų reikiamų taisomųjų veiksmų, kad produktas su skaitmeniniais elementais atitiktų tuos reikalavimus, arba pašalintų produktą iš rinkos ar jį atšauktų per pagrįstą laikotarpį, kurį rinkos priežiūros institucija nustato atsižvelgdama į kibernetinio saugumo rizikos pobūdį.

Rinkos priežiūros institucija apie tai informuoja atitinkamą notifikuotąją įstaigą. Taisomiesiems veiksmams taikomas Reglamento (ES) 2019/1020 18 straipsnis.

2. Nustatant šio straipsnio 1 dalyje nurodytos kibernetinio saugumo rizikos dydį, rinkos priežiūros institucijos taip pat apsvarsto netechninius rizikos veiksnius, visų pirma tuos, kurie buvo nustatyti pagal Direktyvos (ES) 2022/2555 22 straipsnį atlikus Sąjungos lygmens koordinuotus ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimus. Jei rinkos priežiūros institucija turi pakankamai priežasčių manyti, kad produktas su skaitmeniniais elementais kelia didelę kibernetinio saugumo riziką dėl netechninių rizikos veiksnių, ji informuoja pagal Direktyvos (ES) 2022/2555 8 straipsnį paskirtas arba įsteigtas kompetentingas institucijas ir, kai būtina, su jomis bendradarbiauja.

3. Jei rinkos priežiūros institucija mano, kad neatitikties esama ne tik jos nacionalinėje teritorijoje, ji informuoja Komisiją ir kitas valstybes nares apie vertinimo rezultatus ir veiksmus, kurių jos nurodymu turi imtis ekonominės veiklos vykdytojas.

4. Ekonominės veiklos vykdytojas užtikrina, kad visų tinkamų taisomųjų veiksmų būtų imtasi dėl visų susijusių produktų su skaitmeniniais elementais, kuriuos jis patiekė rinkai visoje Sąjungoje.

5. Jei per 1 dalies antroje pastraipoje nurodytą laikotarpį ekonominės veiklos vykdytojas nesiima tinkamų taisomųjų veiksmų, rinkos priežiūros institucija imasi visų tinkamų laikinųjų priemonių, kad būtų uždraustas arba apribotas produkto su skaitmeniniais elementais tiekimas jo nacionalinei rinkai, kad jis būtų pašalintas iš tos rinkos arba atšauktas.

Apie tokias priemones ta institucija nedelsdama praneša Komisijai ir kitoms valstybėms narėms.

6. 5 dalyje nurodyta informacija apima visus turimus duomenis, visų pirma duomenis, reikalingus reikalavimų neatitinkančiam produktui su skaitmeniniais elementais, to produkto su skaitmeniniais elementais kilmei, tariamos neatitikties ir keliamos rizikos pobūdžiui, nacionaliniu lygmeniu taikomų priemonių pobūdžiui ir trukmei bei atitinkamo ekonominės veiklos vykdytojo pateiktiems argumentams nustatyti. Visų pirma, rinkos priežiūros institucija nurodo, ar neatitiktis sietina su viena ar daugiau iš šių priežasčių:

7. Valstybių narių rinkos priežiūros institucijos, išskyrus procedūrą inicijavusios valstybės narės rinkos priežiūros instituciją, nedelsdamos praneša Komisijai ir kitoms valstybėms narėms apie visas priemones, kurių ėmėsi, ir pateikia visą turimą papildomą informaciją, susijusią su atitinkamo produkto su skaitmeniniais elementais neatitiktimi, ir, jei nesutinka su nacionaline priemone, apie kurią pranešta, savo prieštaravimus.

8. Jei per tris mėnesius nuo šio straipsnio 5 dalyje nurodyto pranešimo gavimo dienos nei kuri nors valstybė narė, nei Komisija nepareiškia prieštaravimų dėl laikinosios priemonės, kurios ėmėsi valstybė narė, ta priemonė laikoma pagrįsta. Tai nedaro poveikio atitinkamo ekonominės veiklos vykdytojo procesinėms teisėms pagal Reglamento (ES) 2019/1020 18 straipsnį.

9. Visų valstybių narių rinkos priežiūros institucijos užtikrina, kad atitinkamam produktui su skaitmeniniais elementais nedelsiant būtų taikomos tinkamos ribojamosios priemonės, pavyzdžiui, tas produktas būtų pašalintas iš jų rinkos.

Sąjungos apsaugos procedūra

1. Jei per tris mėnesius nuo 54 straipsnio 5 dalyje nurodyto pranešimo gavimo dienos kuri nors valstybė narė pareiškia prieštaravimų dėl priemonės, kurios ėmėsi kita valstybė narė, arba jei Komisija mano, kad priemonė prieštarauja Sąjungos teisei, Komisija nedelsdama pradeda konsultacijas su atitinkama valstybe nare ir ekonominės veiklos vykdytoju ar vykdytojais ir įvertina nacionalinę priemonę. Remdamasi to vertinimo rezultatais, Komisija per devynis mėnesius nuo 54 straipsnio 5 dalyje nurodyto pranešimo dienos nusprendžia, ar nacionalinė priemonė yra pagrįsta, ar ne, ir apie tą sprendimą praneša atitinkamai valstybei narei.

2. Jei nacionalinė priemonė yra laikoma pagrįsta, visos valstybės narės imasi priemonių, būtinų užtikrinti, kad reikalavimų neatitinkantis produktas su skaitmeniniais elementais būtų pašalintas iš jų rinkos, ir atitinkamai informuoja Komisiją. Jeigu nacionalinė priemonė yra laikoma nepagrįsta, atitinkama valstybė narė tą priemonę atšaukia.

3. Jei nacionalinė priemonė laikoma pagrįsta, o produkto su skaitmeniniais elementais neatitiktis siejama su darniųjų standartų trūkumais, Komisija taiko Reglamento (ES) Nr. 1025/2012 11 straipsnyje numatytą procedūrą.

4. Jei nacionalinė priemonė laikoma pagrįsta, o produkto su skaitmeniniais elementais neatitiktis siejama su 27 straipsnyje nurodytos Europos kibernetinio saugumo sertifikavimo sistemos trūkumais, Komisija svarsto, ar iš dalies pakeisti arba panaikinti pagal 27 straipsnio 9 dalį priimtą deleguotąjį aktą, kuriame nurodoma tos sertifikavimo sistemos atitikties prezumpcija.

5. Jei nacionalinė priemonė laikoma pagrįsta, o produkto su skaitmeniniais elementais neatitiktis siejama su 27 straipsnyje nurodytų bendrųjų specifikacijų trūkumais, Komisija svarsto, ar iš dalies pakeisti arba panaikinti pagal 27 straipsnio 2 dalį priimtą įgyvendinimo aktą, kuriame nustatomos tos bendrosios specifikacijos.

Sąjungos lygmeniu taikoma procedūra dėl produktų su skaitmeniniais elementais, keliančių didelę kibernetinio saugumo riziką

1. Jei Komisija turi pakankamai priežasčių manyti, įskaitant remdamasi ENISA pateikta informacija, kad produktas su skaitmeniniais elementais, kuris kelia didelę kibernetinio saugumo riziką, neatitinka šiame reglamente nustatytų reikalavimų, ji apie tai informuoja atitinkamas rinkos priežiūros institucijas. Jei rinkos priežiūros institucijos atlieka to produkto su skaitmeniniais elementais, kuris gali kelti didelę kibernetinio saugumo riziką, vertinimą, susijusį su jo atitiktimi šiame reglamente nustatytiems reikalavimams, taikomos 54 ir 55 straipsniuose nurodytos procedūros.

2. Jei Komisija turi pakankamai priežasčių manyti, kad produktas su skaitmeniniais elementais kelia didelę kibernetinio saugumo riziką dėl netechninių rizikos veiksnių, ji informuoja atitinkamas rinkos priežiūros institucijas ir, kai taikytina, pagal Direktyvos (ES) 2022/2555 8 straipsnį paskirtas arba įsteigtas kompetentingas institucijas ir, kai būtina, su jomis bendradarbiauja. Komisija taip pat apsvarsto nustatytos rizikos, susijusios su tuo produktu su skaitmeniniais elementais, svarbą, vykdydama savo užduotis, susijusias su Direktyvos (ES) 2022/2555 22 straipsnyje numatytais koordinuotais Sąjungos lygmens ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimais, ir, kai būtina, konsultuojasi su Bendradarbiavimo grupe, įsteigta pagal Direktyvos (ES) 2022/2555 14 straipsnį, ir ENISA.

3. Aplinkybėmis, kurios pateisina neatidėliotiną intervenciją siekiant išsaugoti tinkamą vidaus rinkos veikimą, ir jei Komisija turi pakankamai priežasčių manyti, kad 1 dalyje nurodytas produktas su skaitmeniniais elementais vis dar neatitinka šiame reglamente nustatytų reikalavimų, o atitinkamos rinkos priežiūros institucijos nesiėmė jokių veiksmingų priemonių, Komisija atlieka atitikties vertinimą ir gali prašyti ENISA atlikti tą vertinimą pagrindžiančią analizę. Komisija apie tai informuoja atitinkamas rinkos priežiūros institucijas. Atitinkami ekonominės veiklos vykdytojai, kai būtina, bendradarbiauja su ENISA.

4. Remdamasi 3 dalyje nurodytu vertinimu Komisija gali nuspręsti, kad Sąjungos lygmeniu būtina taikyti taisomąją arba ribojamąją priemonę. Tuo tikslu ji nedelsdama konsultuojasi su atitinkamomis valstybėmis narėmis ir atitinkamu ekonominės veiklos vykdytoju ar vykdytojais.

5. Remdamasi šio straipsnio 4 dalyje nurodytomis konsultacijomis Komisija gali priimti įgyvendinimo aktus dėl taisomųjų arba ribojamųjų priemonių Sąjungos lygmeniu nustatymo, įskaitant reikalavimą pašalinti atitinkamus produktus su skaitmeniniais elementais iš rinkos arba atšaukti juos per pagrįstą laikotarpį, nustatytą atsižvelgiant į rizikos pobūdį. Tie įgyvendinimo aktai priimami laikantis 62 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

6. Komisija apie 5 dalyje nurodytus įgyvendinimo aktus nedelsdama praneša atitinkamam ekonominės veiklos vykdytojui ar vykdytojams. Valstybės narės nedelsdamos įgyvendina tuos įgyvendinimo aktus ir atitinkamai informuoja Komisiją.

7. 3–6 dalys taikomos tiek laiko, kiek trunka išimtinė situacija, pateisinanti Komisijos įsikišimą, jei ir toliau neužtikrinama produkto su skaitmeniniais elementais atitiktis šiam reglamentui.

Reikalavimus atitinkantys produktai su skaitmeniniais elementais, keliantys didelę kibernetinio saugumo riziką

1. Valstybės narės rinkos priežiūros institucija reikalauja, kad ekonominės veiklos vykdytojas imtųsi visų tinkamų priemonių, jei ji, atlikusi vertinimą pagal 54 straipsnį, nustato, kad nepaisant to, jog produktas su skaitmeniniais elementais ir gamintojo įdiegti procesai atitinka šį reglamentą, jie kelia didelę kibernetinio saugumo riziką ir riziką:

Pirmoje pastraipoje nurodytos priemonės gali apimti priemones, kuriomis užtikrinama, kad atitinkamas produktas su skaitmeniniais elementais ir gamintojo įdiegti procesai nebekeltų atitinkamos rizikos, kai jis tiekiamas rinkai, jog atitinkamas produktas su skaitmeniniais elementais būtų pašalintas iš rinkos arba atšauktas, ir tos priemonės turi būti proporcingos tos rizikos pobūdžiui.

2. Gamintojas arba kiti atitinkami ekonominės veiklos vykdytojai užtikrina, kad taisomųjų veiksmų dėl produktų su skaitmeniniais elementais, kuriuos jie patiekė rinkai visoje Sąjungoje, būtų imtasi per 1 dalyje nurodytos valstybės narės rinkos priežiūros institucijos nustatytą terminą.

3. Valstybė narė nedelsdama informuoja Komisiją ir kitas valstybes nares apie priemones, kurių imtasi pagal 1 dalį. Ta informacija apima visus turimus duomenis, visų pirma, atitinkamam produktui su skaitmeniniais elementais identifikuoti būtinus duomenis, tų produktų su skaitmeniniais elementais kilmę ir tiekimo grandinę, susijusios rizikos pobūdį ir nacionalinių priemonių, kurių imtasi, pobūdį bei trukmę.

4. Komisija nedelsdama pradeda konsultacijas su valstybėmis narėmis ir atitinkamu ekonominės veiklos vykdytoju bei įvertina priimtas nacionalines priemones. Remdamasi to vertinimo rezultatais Komisija nusprendžia, ar priemonė pagrįsta, ar ne, ir, kai būtina, pasiūlo tinkamas priemones.

5. Komisija 4 dalyje nurodytą sprendimą skiria valstybėms narėms.

6. Jei Komisija turi pakankamai priežasčių manyti, be kita ko remdamasi ENISA pateikta informacija, kad produktas su skaitmeniniais elementais nors ir atitinka šio reglamento reikalavimus, tačiau kelia šio straipsnio 1 dalyje nurodytą riziką, ji informuoja atitinkamą rinkos priežiūros instituciją ar institucijas ir gali jų prašyti atlikti vertinimą ir laikytis 54 straipsnyje bei šio straipsnio 1, 2 ir 3 dalyse nurodytų procedūrų.

7. Aplinkybėmis, kuriomis pateisinama neatidėliotina intervencija siekiant išsaugoti tinkamą vidaus rinkos veikimą, ir kai Komisija turi pakankamai priežasčių manyti, kad 6 dalyje nurodytas produktas su skaitmeniniais elementais vis dar kelia 1 dalyje nurodytą riziką, o atitinkamos rinkos priežiūros institucijos nesiėmė jokių veiksmingų priemonių, Komisija atlieka to produkto su skaitmeniniais elementais keliamos rizikos vertinimą ir gali nurodyti ENISA atlikti tą vertinimą pagrindžiančią analizę bei apie tai informuoja atitinkamas rinkos priežiūros institucijas. Atitinkami ekonominės veiklos vykdytojai, kai būtina, bendradarbiauja su ENISA.

8. Remdamasi 7 dalyje nurodytu vertinimu Komisija gali nuspręsti, kad Sąjungos lygmeniu būtina taikyti taisomąją arba ribojamąją priemonę. Tuo tikslu ji nedelsdama konsultuojasi su atitinkamomis valstybėmis narėmis ir atitinkamu ekonominės veiklos vykdytoju ar vykdytojais.

9. Remdamasi šio straipsnio 8 dalyje nurodytomis konsultacijomis Komisija gali priimti įgyvendinimo aktus, kuriais nusprendžiama Sąjungos lygmeniu taikyti taisomąsias arba ribojamąsias priemones, įskaitant reikalavimą pašalinti atitinkamus produktus su skaitmeniniais elementais iš rinkos arba atšaukti juos per pagrįstą laikotarpį, nustatytą atsižvelgiant į rizikos pobūdį. Tie įgyvendinimo aktai priimami laikantis 62 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

10. Komisija apie 9 dalyje nurodytus įgyvendinimo aktus nedelsdama praneša atitinkamam ekonominės veiklos vykdytojui ar vykdytojams. Valstybės narės nedelsdamos įgyvendina tuos įgyvendinimo aktus ir apie tai atitinkamai informuoja Komisiją.

11. 6–10 dalys taikomos tiek, kiek trunka išimtinė situacija, pateisinanti Komisijos įsikišimą, ir kol atitinkamas produktas su skaitmeniniais elementais kelia 1 dalyje nurodytą riziką.

Oficiali neatitiktis

1. Valstybės narės rinkos priežiūros institucija reikalauja, kad atitinkamas gamintojas pašalintų atitinkamą neatitiktį, jei ji padaro vieną iš šių išvadų:

2. Jei 1 dalyje nurodyta neatitiktis nepašalinama, atitinkama valstybė narė imasi visų tinkamų priemonių, kad būtų apribotas arba uždraustas produkto su skaitmeniniais elementais tiekimas rinkai arba užtikrinta, kad jis būtų atšauktas arba pašalintas iš rinkos.

Bendra rinkos priežiūros institucijų veikla

1. Rinkos priežiūros institucijos gali susitarti su kitomis atitinkamomis institucijomis vykdyti bendrą veiklą, kuria siekiama užtikrinti vartotojų kibernetinį saugumą ir apsaugą, dėl konkrečių rinkai pateikiamų arba tiekiamų produktų su skaitmeniniais elementais, visų pirma produktų su skaitmeniniais elementais, kurie dažnai kelia kibernetinio saugumo riziką.

2. Komisija arba ENISA pasiūlo bendrą veiklą, skirtą atitikčiai šio reglamento reikalavimams patikrinti, kurią vykdo rinkos priežiūros institucijos remdamosi įrodymais arba informacija apie galimą produktų su skaitmeniniais elementais, kurie patenka į šio reglamento taikymo sritį, neatitiktį šiame reglamente nustatytiems reikalavimams keliose valstybėse narėse.

3. Rinkos priežiūros institucijos ir, kai taikytina, Komisija užtikrina, kad susitarimu vykdyti bendrą veiklą nebūtų sudaroma nesąžininga ekonominės veiklos vykdytojų konkurencija ir nebūtų daromas neigiamas poveikis susitarimo šalių objektyvumui, nepriklausomumui ir nešališkumui.

4. Rinkos priežiūros institucija gali naudoti bet kokią informaciją, gautą bendrai vykdant bet kokią veiklą, kuri yra jos vykdomo tyrimo dalis.

5. Atitinkama rinkos priežiūros institucija ir, kai taikytina, Komisija sudaro sąlygas visuomenei susipažinti su susitarimu dėl bendros veiklos, įskaitant susijusių šalių pavadinimus.

Tikslinės patikros

1. Rinkos priežiūros institucijos nusprendžia tuo pačiu metu atlikti koordinuojamus kontrolės veiksmus (toliau – tikslinės patikros), kad patikrintų produktų su skaitmeniniais elementais ar jų kategorijų atitiktį šiam reglamentui arba nustatytų jo pažeidimus. Tos tikslinės patikros gali apimti produktų su skaitmeniniais elementais, įsigytų neatskleidus tapatybės, tikrinimą.

2. Jei atitinkamos rinkos priežiūros institucijos nesusitaria kitaip, tikslines patikras koordinuoja Komisija. Tikslinės patikros koordinatorius, prireikus, viešai paskelbia apibendrintus rezultatus.

3. Jei ENISA, vykdydama savo užduotis, taip pat remdamasi pagal 14 straipsnio 1 ir 3 dalis gautais pranešimais, nustato produktų su skaitmeniniais elementais kategorijas, dėl kurių gali būti organizuojamos patikros, ji pateikia pasiūlymą dėl tikslinės patikros šio straipsnio 2 dalyje nurodytam koordinatoriui, kad jį apsvarstytų rinkos priežiūros institucijos.

4. Vykdydamos tikslines patikras jose dalyvaujančios rinkos priežiūros institucijos gali naudotis 52–58 straipsniuose nustatytais įgaliojimais atlikti tyrimą ir visais kitais joms pagal nacionalinę teisę suteiktais įgaliojimais.

5. Rinkos priežiūros institucijos gali pakviesti Komisijos pareigūnus ir kitus juos lydinčius asmenis, įgaliotus Komisijos, dalyvauti tikslinėse patikrose.

Naudojimasis įgaliojimais

1. Įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami šiame straipsnyje nustatytomis sąlygomis.

2. 2 straipsnio 5 dalies antroje pastraipoje, 7 straipsnio 3 dalyje, 8 straipsnio 1 ir 2 dalyse, 13 straipsnio 8 dalies ketvirtoje pastraipoje, 14 straipsnio 9 dalyje, 25 straipsnyje, 27 straipsnio 9 dalyje, 28 straipsnio 5 dalyje ir 31 straipsnio 5 dalyje nurodyti įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami penkerių metų laikotarpiui nuo 2024 m. gruodžio 10 d. Likus ne mažiau kaip devyniems mėnesiams iki penkerių metų laikotarpio pabaigos Komisija parengia naudojimosi deleguotaisiais įgaliojimais ataskaitą. Deleguotieji įgaliojimai savaime pratęsiami tokios pačios trukmės laikotarpiams, išskyrus atvejus, kai Europos Parlamentas arba Taryba pareiškia prieštaravimų dėl tokio pratęsimo likus ne mažiau kaip trims mėnesiams iki kiekvieno laikotarpio pabaigos.

3. Europos Parlamentas arba Taryba gali bet kada atšaukti 2 straipsnio 5 dalies antroje pastraipoje, 7 straipsnio 3 dalyje, 8 straipsnio 1 ir 2 dalyse, 13 straipsnio 8 dalies ketvirtoje pastraipoje, 14 straipsnio 9 dalyje, 25 straipsnyje, 27 straipsnio 9 dalyje, 28 straipsnio 5 dalyje ir 31 straipsnio 5 dalyje nurodytus deleguotuosius įgaliojimus. Sprendimu dėl įgaliojimų atšaukimo nutraukiami tame sprendime nurodyti įgaliojimai priimti deleguotuosius aktus. Sprendimas įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba vėlesnę jame nurodytą dieną. Jis nedaro poveikio jau galiojančių deleguotųjų aktų galiojimui.

4. Prieš priimdama deleguotąjį aktą Komisija konsultuojasi su kiekvienos valstybės narės paskirtais ekspertais vadovaudamasi 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros nustatytais principais.

5. Apie priimtą deleguotąjį aktą Komisija nedelsdama vienu metu praneša Europos Parlamentui ir Tarybai.

6. Pagal 2 straipsnio 5 dalies antrą pastraipą, 7 straipsnio 3 dalį, 8 straipsnio 1 arba 2 dalis, 13 straipsnio 8 dalies ketvirtą pastraipą, 14 straipsnio 9 dalį, 25 straipsnį, 27 straipsnio 9 dalį, 28 straipsnio 5 dalį arba 31 straipsnio 5 dalį priimtas deleguotasis aktas įsigalioja tik tuo atveju, jeigu per du mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie šį aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimų arba jeigu dar nepasibaigus šiam laikotarpiui ir Europos Parlamentas, ir Taryba praneša Komisijai, kad prieštaravimų nereikš. Europos Parlamento arba Tarybos iniciatyva šis laikotarpis pratęsiamas dviem mėnesiais.

Komiteto procedūra

1. Komisijai padeda komitetas. Tas komitetas – tai komitetas, kaip tai suprantama Reglamente (ES) Nr. 182/2011.

2. Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

3. Kai komiteto nuomonei gauti būtina rašytinė procedūra, tokia procedūra laikoma baigta be rezultato, jei per nuomonei pateikti nustatytą laikotarpį taip nusprendžia komiteto pirmininkas arba to prašo komiteto narys.

Konfidencialumas

1. Visos šį reglamentą taikant dalyvaujančios šalys užtikrina informacijos ir duomenų, kuriuos jos gavo vykdydamos savo užduotis ir veiklą, konfidencialumą, kad būtų apsaugota:

2. Nedarant poveikio 1 daliai, informacija, kuria konfidencialiai keičiamasi tarp rinkos priežiūros institucijų bei tarp rinkos priežiūros institucijų ir Komisijos, neatskleidžiama be išankstinio informaciją pateikusios rinkos priežiūros institucijos sutikimo.

3. 1 ir 2 dalimis nedaroma poveikio Komisijos, valstybių narių ir notifikuotųjų įstaigų teisėms ir pareigoms keistis informacija bei platinti įspėjimus, taip pat atitinkamų asmenų pareigoms teikti informaciją pagal valstybių narių baudžiamąją teisę.

4. Komisija ir valstybės narės, prireikus, gali keistis neskelbtina informacija su trečiųjų valstybių, su kuriomis jos yra sudariusios dvišalius arba daugiašalius konfidencialumo susitarimus, kuriais užtikrinamas reikiamas apsaugos lygis, atitinkamomis institucijomis.

Sankcijos

1. Valstybės narės nustato sankcijų, taikomų pažeidus šį reglamentą, taisykles ir imasi visų būtinų priemonių užtikrinti, kad šios sankcijos būtų įgyvendinamos. Numatytos sankcijos turi būti veiksmingos, proporcingos ir atgrasomos. Valstybės narės nedelsdamos praneša apie tas taisykles ir priemones Komisijai ir nedelsdamos jai praneša apie visus vėlesnius joms įtakos turinčius pakeitimus.

2. Už I priede nustatytų esminių kibernetinio saugumo reikalavimų ir 13 bei 14 straipsniuose nustatytų pareigų nesilaikymą skiriamos administracinės baudos iki 15 000 000 EUR arba, jei pažeidėjas yra įmonė, iki 2,5 % jos bendros pasaulinės praėjusių finansinių metų metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

3. Už 18–23 straipsniuose, 28 straipsnyje, 30 straipsnio 1–4 dalyse, 31 straipsnio 1–4 dalyse, 32 straipsnio 1, 2 ir 3 dalyse, 33 straipsnio 5 dalyje ir 39, 41, 47, 49 ir 53 straipsniuose nustatytų pareigų nesilaikymą skiriamos administracinės baudos iki 10 000 000 EUR arba, jei pažeidėjas yra įmonė, iki 2 % jos bendros pasaulinės praėjusių finansinių metų metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

4. Už neteisingos, neišsamios ar klaidinančios informacijos pateikimą notifikuotosioms įstaigoms ir rinkos priežiūros institucijoms atsakant į jų prašymą taikomos administracinės baudos iki 5 000 000 EUR arba, jei pažeidėjas yra įmonė, iki 1 % jos bendros pasaulinės praėjusių finansinių metų metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

5. Sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju atsižvelgiama į visas svarbias konkrečios situacijos aplinkybes ir tinkamai atsižvelgiama į šiuos dalykus:

6. Administracines baudas skiriančios rinkos priežiūros institucijos informacija apie tų baudų taikymą dalijasi su kitų valstybių narių rinkos priežiūros institucijomis per Reglamento (ES) 2019/1020 34 straipsnyje nurodytą informacinę ir komunikacijos sistemą.

7. Kiekviena valstybė narė nustato taisykles, reglamentuojančias, ar toje valstybėje narėje įsisteigusioms valdžios institucijoms ir viešosioms įstaigoms gali būti skiriamos administracinės baudos ir kokiu mastu.

8. Priklausomai nuo valstybių narių teisinės sistemos, administracines baudas reglamentuojančios taisyklės gali būti taikomos taip, kad tose valstybėse narėse baudas skirtų kompetentingi nacionaliniai teismai arba kitos įstaigos pagal nacionaliniu lygmeniu nustatytas kompetencijas. Tokių taisyklių taikymo poveikis tose valstybėse narėse turi būti lygiavertis.

9. Atsižvelgiant į kiekvieno atskiro atvejo aplinkybes, be kitų taisomųjų ar ribojamųjų priemonių, kurias taiko rinkos priežiūros institucijos, už tą patį pažeidimą gali būti skiriamos ir administracinės baudos.

10. Nukrypstant nuo 3–9 dalių, tose dalyse nurodytos administracinės baudos netaikomos:

Atstovaujamieji ieškiniai

Atstovaujamiesiems ieškiniams, pareikštiems dėl ekonominės veiklos vykdytojų padarytų šio reglamento pažeidimų, kurie daro arba gali daryti žalą kolektyviniams vartotojų interesams, taikoma Direktyva (ES) 2020/1828.

Reglamento (ES) 2019/1020 dalinis pakeitimas

Reglamento (ES) 2019/1020 I priedas papildomas šiuo punktu:

„72.

Europos Parlamento ir Tarybos reglamentas (ES) 2024/2847 (*1).

Direktyvos (ES) 2020/1828 dalinis pakeitimas

Direktyvos (ES) 2020/1828 I priedas papildomas šiuo punktu:

„69.

Europos Parlamento ir Tarybos reglamentas (ES) 2024/2847 (*2).

Reglamento (ES) Nr. 168/2013 dalinis pakeitimas

Europos Parlamento ir Tarybos reglamento (ES) Nr. 168/2013 (38) II priedo C1 dalies lentelė papildoma šia eilute:

„

“

Pereinamojo laikotarpio nuostatos

1. ES tipo tyrimo sertifikatai ir patvirtinimo sprendimai dėl produktų su skaitmeniniais elementais, kuriems taikomi kiti nei šis reglamentas Sąjungos derinamieji teisės aktai, kibernetinio saugumo reikalavimų galioja iki 2028 m. birželio 11 d., išskyrus atvejus, kai jie nustoja galioti anksčiau nei tą datą arba kai tuose kituose Sąjungos derinamuosiuose teisės aktuose nurodyta kitaip – tokiu atveju jie galioja tiek, kiek nurodyta tuose teisės aktuose.

2. Produktams su skaitmeniniais elementais, pateiktiems rinkai anksčiau nei 2027 m. gruodžio 11 d., šiame reglamente nustatyti reikalavimai taikomi tik tuo atveju, jei nuo tos datos padarytas esminis tų produktų pakeitimas.

3. Nukrypstant nuo šio straipsnio 2 dalies, 14 straipsnyje nustatytos pareigos taikomos visiems produktams su skaitmeniniais elementais, kurie patenka į šio reglamento taikymo sritį ir kurie rinkai buvo pateikti anksčiau nei 2027 m. gruodžio 11 d.

Vertinimas ir peržiūra

1. Ne vėliau kaip 2030 m. gruodžio 11 d., o vėliau – kas ketverius metus, Komisija pateikia Europos Parlamentui ir Tarybai šio reglamento vertinimo ir peržiūros ataskaitą. Tos ataskaitos skelbiamos viešai.

2. Ne vėliau kaip 2028 m. rugsėjo 11 d. Komisija, pasikonsultavusi su ENISA ir CSIRT tinklu, pateikia Europos Parlamentui ir Tarybai ataskaitą, kurioje įvertinamas 16 straipsnyje nustatytos bendrosios pranešimų teikimo platformos veiksmingumas, taip pat 16 straipsnio 2 dalyje nurodytų su kibernetiniu saugumu susijusių priežasčių, kurias taiko koordinatorėmis paskirtos CSIRT, taikymo poveikis bendros ataskaitų teikimo platformos veiksmingumui, kiek tai susiję su gautų pranešimų savalaikiu platinimu kitoms atitinkamoms CSIRT.

Įsigaliojimas ir taikymas

1. Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2. Šis reglamentas taikomas nuo 2027 m. gruodžio 11 d.

Tačiau 14 straipsnis taikomas nuo 2026 m. rugsėjo 11 d., o IV skyrius (35–51 straipsniai) – nuo 2026 m. birželio 11 d.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Strasbūre 2024 m. spalio 23 d.