Kibernoturības akts

Priekšmets

Šī regula nosaka:

Darbības joma

1. Šo regulu piemēro produktiem ar digitāliem elementiem, kuri darīti pieejami tirgū un kuru paredzētais nolūks vai pamatoti paredzamais lietojums ietver tiešu vai netiešu loģisku vai fizisku datu savienojumu ar ierīci vai tīklu.

2. Šo regulu nepiemēro produktiem ar digitāliem elementiem, uz kuriem attiecas šādi Savienības tiesību akti:

3. Šo regulu nepiemēro produktiem ar digitāliem elementiem, kuri sertificēti saskaņā ar Regulu (ES) 2018/1139.

4. Šo regulu nepiemēro iekārtām, kas ietilpst Eiropas Parlamenta un Padomes Direktīvas 2014/90/ES (36) darbības jomā.

5. Šīs regulas piemērošanu produktiem ar digitāliem elementiem, uz kuriem attiecas citi Savienības noteikumi, kas nosaka prasības saistībā ar visiem vai dažiem riskiem, uz kuriem attiecas I pielikumā izklāstītās kiberdrošības pamatprasības, var ierobežot vai izslēgt, ja:

Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 61. pantu, lai papildinātu šo regulu, precizējot, vai šāda ierobežošana vai izslēgšana ir nepieciešama, attiecīgos produktus un noteikumus, kā arī attiecīgā gadījumā ierobežojuma darbības jomu.

6. Šo regulu nepiemēro rezerves daļām, kas darītas pieejamas tirgū, lai aizstātu identiskus komponentus produktos ar digitāliem elementiem, un kas ražotas saskaņā ar tādām pašām specifikācijām kā komponenti, kurus ar tām paredzēts aizstāt.

7. Šo regulu nepiemēro produktiem ar digitāliem elementiem, kas izstrādāti vai modificēti vienīgi valsts drošības vai aizsardzības mērķiem, vai produktiem, kuri īpaši projektēti klasificētas informācijas apstrādei.

8. Šajā regulā noteiktajos pienākumos neietilpst tādas informācijas sniegšana, kuras izpaušana būtu pretrunā dalībvalstu nacionālās drošības, sabiedriskās drošības vai aizsardzības pamatinteresēm.

Definīcijas

Šajā regulā piemēro šādas definīcijas:

Brīva aprite

1. Dalībvalstis aspektos, kurus aptver šī regula, nekavē darīt pieejamus tirgū produktus ar digitāliem elementiem, kas atbilst šai regulai.

2. Tirdzniecības gadatirgos, izstādēs, demonstrācijās vai līdzīgos pasākumos dalībvalstis neliedz prezentēt vai izmantot tādus produktus ar digitāliem elementiem, kas neatbilst šai regulai, tostarp to prototipus, ar noteikumu, ka uz produkta ir redzama zīme, kas skaidri norāda, ka tas neatbilst šai regulai un ka to nedrīkst darīt pieejamu tirgū, kamēr tas neatbilst šai regulai.

3. Dalībvalstis neliedz darīt pieejamu tirgū nepabeigtu programmatūru, kas neatbilst šai regulai, ar noteikumu, ka programmatūra ir pieejama tikai ierobežotu laiku, kas nepieciešams testēšanas vajadzībām, ka uz tās ir labi redzama zīme, kas skaidri norāda uz to, ka programmatūra neatbilst šai regulai un ka tā nebūs pieejama tirgū citiem nolūkiem kā vien testēšanai.

4. Šā panta 3. punktu nepiemēro drošības sastāvdaļām, kas minētas citos Savienības saskaņošanas tiesību aktos, kas nav šī regula.

Produktu ar digitāliem elementiem publiskais iepirkums un izmantošana

1. Šī regula neliedz dalībvalstīm piemērot produktiem ar digitāliem elementiem papildu kiberdrošības prasības attiecībā uz minēto produktu iepirkumu vai izmantošanu konkrētiem nolūkiem, tostarp tad, ja minētie produkti tiek iepirkti vai izmantoti valsts drošības vai aizsardzības nolūkos, ar noteikumu, ka šādas prasības atbilst dalībvalstu pienākumiem, kas noteikti Savienības tiesību aktos, un ka tās ir nepieciešamas un samērīgas minēto mērķu sasniegšanai.

2. Neskarot Direktīvas 2014/24/ES un 2014/25/ES, ja tiek iepirkti produkti ar digitāliem elementiem, kas ietilpst šīs regulas darbības jomā, dalībvalstis nodrošina, ka iepirkuma procesā tiek ņemta vērā atbilstība šīs regulas I pielikumā izklāstītajām kiberdrošības pamatprasībām, tostarp ražotāju spēja efektīvi novērst ievainojamības.

Prasības produktiem ar digitāliem elementiem

Produktus ar digitāliem elementiem dara pieejamus tirgū tikai tad, ja:

Nozīmīgi produkti ar digitāliem elementiem

1. Produktus ar digitāliem elementiem, kuriem ir III pielikumā noteiktās produktu kategorijas pamatfunkcionalitāte, uzskata par nozīmīgiem produktiem ar digitāliem elementiem, un tiem piemēro 32. panta 2. un 3. punktā minētās atbilstības novērtēšanas procedūras. Tas, ka kādā produktā tiek integrēts produkts ar digitāliem elementiem, kam ir III pielikumā noteiktās produktu kategorijas pamatfunkcionalitāte, pats par sevi nenozīmē, ka uz produktu, kurā tas ir integrēts, attiecas 32. panta 2. un 3. punktā minētās atbilstības novērtēšanas procedūras.

2. Šā panta 1. punktā minētās produktu ar digitāliem elementiem kategorijas, kas iedalītas I un II klasē, kā izklāstīts III pielikumā, atbilst vismaz vienam no šādiem kritērijiem:

3. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 61. pantu, lai grozītu III pielikumu, katrā produktu ar digitāliem elementiem kategoriju klasē iekļaujot jaunu kategoriju un precizējot tās definīciju, pārvietojot produktu kategoriju no vienas klases uz citu vai svītrojot no minētā saraksta tajā esošu kategoriju. Izvērtējot vajadzību grozīt III pielikumā iekļauto sarakstu, Komisija ņem vērā ar kiberdrošību saistītās funkcionalitātes vai funkciju un kiberdrošības riska līmeni, ko rada produkti ar digitāliem elementiem, kā noteikts šā panta 2. punktā minētajos kritērijos.

Šā punkta pirmajā daļā minētajos deleģētajos aktos attiecīgā gadījumā paredz 12 mēnešu minimālo pārejas periodu, jo īpaši, ja I vai II klasei pievieno jaunu nozīmīgu produktu ar digitāliem elementiem kategoriju vai to pārvieto no I klases uz II klasi, kā norādīts III pielikumā, pirms sāk piemērot attiecīgās atbilstības novērtēšanas procedūras, kā minēts 32. panta 2. un 3. punktā, ja vien nenovēršamu steidzamu iemeslu dēļ nav attaisnojams īsāks pārejas periods.

4. Līdz 2025. gada 11. decembrim Komisija pieņem īstenošanas aktu, kurā precizē III pielikumā noteikto I un II klases produktu ar digitāliem elementiem kategoriju tehnisko aprakstu un IV pielikumā noteikto produktu ar digitāliem elementiem kategoriju tehnisko aprakstu. Minēto īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 62. panta 2. punktā.

Kritiski svarīgi produkti ar digitāliem elementiem

1. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 61. pantu, lai papildinātu šo regulu nolūkā noteikt, kuriem produktiem ar digitāliem elementiem, kam ir šīs regulas IV pielikumā noteikta produktu kategorijas pamatfunkcionalitāte, ir jāsaņem Eiropas kiberdrošības sertifikāts vismaz apliecinājuma līmenī “būtisks” saskaņā ar Eiropas kiberdrošības sertifikācijas shēmu, kas pieņemta, ievērojot Regulu (ES) 2019/881, lai pierādītu atbilstību šīs regulas I pielikumā noteiktajām kiberdrošības pamatprasībām vai to daļām, ar noteikumu, ka, ievērojot Regulu (ES) 2019/881, ir pieņemta Eiropas kiberdrošības sertifikācijas shēma, kas attiecas uz minēto kategoriju produktiem ar digitāliem elementiem, un šī shēma ir pieejama ražotājiem. Minētajos deleģētajos aktos precizē nepieciešamo apliecinājuma līmeni, kas ir samērīgs ar kiberdrošības riska līmeni, kurš saistīts ar produktiem ar digitāliem elementiem, un ņem vērā to paredzēto nolūku, tostarp būtisko vienību kritisko atkarību no tiem, kā minēts Direktīvas (ES) 2022/2555 3. panta 1. punktā.

Pirms šādu deleģēto aktu pieņemšanas Komisija novērtē paredzēto pasākumu iespējamo ietekmi uz tirgu un apspriežas ar attiecīgajām ieinteresētajām personām, tostarp ar Eiropas Kiberdrošības sertifikācijas grupu, kas izveidota ar Regulu (ES) 2019/881. Novērtējumā ņem vērā dalībvalstu gatavību un spēju līmeni attiecīgās Eiropas kiberdrošības sertifikācijas shēmas īstenošanai. Ja šā punkta pirmajā daļā minētie deleģētie akti nav pieņemti, produktiem ar digitāliem elementiem, kuriem ir IV pielikumā noteiktās produktu kategorijas pamatfunkcionalitāte, piemēro 32. panta 3. punktā minētās atbilstības novērtēšanas procedūras.

Šā punkta pirmajā daļā minētajos deleģētajos aktos paredz sešu mēnešu minimālo pārejas periodu to piemērošanai, ja vien nenovēršamu steidzamu iemeslu dēļ nav attaisnojams īsāks pārejas periods.

2. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 61. pantu, lai, pievienojot vai svītrojot produktu ar digitāliem elementiem kategorijas, grozītu IV pielikumu. Nosakot šādas kritiski svarīgu produktu ar digitāliem elementiem kategorijas un nepieciešamo apliecinājuma līmeni saskaņā ar šā panta 1. punktu, Komisija ņem vērā 7. panta 2. punktā minētos kritērijus un nodrošināt, ka produktu ar digitāliem elementiem kategorijas atbilst vismaz vienam no šiem kritērijiem:

Pirms šādu deleģēto aktu pieņemšanas Komisija veic 1. punktā minētā veida novērtējumu.

Pirmajā daļā minētajos deleģētajos aktos paredz sešu mēnešu minimālo pārejas periodu, ja vien nenovēršamu steidzamu iemeslu dēļ nav attaisnojams īsāks pārejas periods.

Apspriešanās ar ieinteresētajām personām

1. Sagatavojot pasākumus šīs regulas īstenošanai, Komisija apspriežas ar attiecīgajām ieinteresētajām personām, piemēram, attiecīgajām dalībvalstu iestādēm, privātā sektora uzņēmumiem, tostarp mikrouzņēmumiem un maziem un vidējiem uzņēmumiem, atvērtā pirmkoda programmatūras kopienu, patērētāju apvienībām, akadēmiskajām aprindām un attiecīgajām Savienības aģentūrām un struktūrām, kā arī ekspertu grupām, kas izveidotas Savienības līmenī, un ņem vērā to viedokļus. Komisija attiecīgā gadījumā strukturētā veidā apspriežas ar minētajām ieinteresētajām personām un lūdz to viedokļus jo īpaši gadījumos, kad tā:

2. Komisija vismaz reizi gadā organizē regulāras apspriešanās un informatīvas sanāksmes, lai apkopotu 1. punktā minēto ieinteresēto personu viedokļus par šīs regulas īstenošanu.

Prasmju pilnveide kibernoturīgā digitālajā vidē

Šīs regulas nolūkos un lai reaģētu uz speciālistu vajadzībām, atbalstot šīs regulas īstenošanu, dalībvalstis attiecīgā gadījumā ar Komisijas, Eiropas Kiberdrošības kompetenču centra un ENISA atbalstu, vienlaikus pilnībā respektējot dalībvalstu atbildību izglītības jomā, veicina pasākumus un stratēģijas, kuru mērķis ir:

Produktu vispārējais drošums

Atkāpjoties no Regulas (ES) 2023/988 2. panta 1. punkta trešās daļas b) apakšpunkta, saistībā ar aspektiem un riskiem vai risku kategorijām, kas nav ietvertas šajā regulā, produktiem ar digitāliem elementiem piemēro minētās regulas III nodaļas 1. iedaļu, V un VII nodaļu un IX–XI nodaļu, ja minētajiem produktiem netiek piemērotas specifiskas drošības prasības, kas noteiktas citos Savienības saskaņošanas tiesību aktos, kā definēts Regulas (ES) 2023/988 3. panta 27. punktā.

Augsta riska MI sistēmas

1. Neskarot prasības attiecībā uz precizitāti un robustumu, kas noteiktas Regulas (ES) 2024/1689 15. pantā, produktus ar digitāliem elementiem, kas ietilpst šīs regulas darbības jomā un kas, ievērojot minētās regulas 6. pantu, ir klasificēti kā augsta riska MI sistēmas, uzskata par atbilstīgiem minētās regulas 15. pantā noteiktajām kiberdrošības prasībām, ja:

2. Attiecībā uz šā panta 1. punktā minētajiem produktiem ar digitāliem elementiem un kiberdrošības prasībām piemēro attiecīgo atbilstības novērtēšanas procedūru, kas noteikta Regulas (ES) 2024/1689 43. pantā. Minētās novērtēšanas nolūkā paziņotās struktūras, kuras saskaņā ar Regulu (ES) 2024/1689 ir kompetentas kontrolēt augsta riska MI sistēmu atbilstību, ir arī kompetentas kontrolēt šīs regulas darbības jomā ietilpstošo augsta riska MI sistēmu atbilstību šīs regulas I pielikumā izklāstītajām prasībām ar noteikumu, ka minēto paziņoto struktūru atbilstība šīs regulas 39. pantā noteiktajām prasībām ir izvērtēta saistībā ar Regulā (ES) 2024/1689 noteikto paziņošanas procedūru.

3. Atkāpjoties no šā panta 2. punkta, šīs regulas III pielikumā uzskaitītajiem nozīmīgiem produktiem ar digitāliem elementiem, kuriem piemēro atbilstības novērtēšanas procedūras, kas minētas šīs regulas 32. panta 2. punkta a) un b) apakšpunktā un 32. panta 3. punktā, un kritiski svarīgiem produktiem ar digitāliem elementiem, kuri ir uzskaitīti šīs regulas IV pielikumā un kuriem, ievērojot šīs regulas 8. panta 1. punktu, ir jāsaņem Eiropas kiberdrošības sertifikāts vai, ja tā nav, kuriem piemēro šīs regulas 32. panta 3. punktā minētās atbilstības novērtēšanas procedūras, kuri ir arī klasificēti kā augsta riska MI sistēmas saskaņā ar Regulas (ES) 2024/1689 6. pantu un uz kuriem attiecas Regulas (ES) 2024/1689 VI pielikumā minētā uz iekšējo kontroli pamatotā atbilstības novērtēšanas procedūra, piemēro šajā regulā paredzētās atbilstības novērtēšanas procedūras, ciktāl tās attiecas uz šīs regulas noteiktajām kiberdrošības pamatprasībām.

4. Regulas (ES) 2024/1689 57. pantā minētajās “MI regulatīvajās smilškastēs” var piedalīties šā panta 1. punktā minēto produktu ar digitāliem elementiem ražotāji.

Ražotāju pienākumi

1. Laižot tirgū produktu ar digitāliem elementiem, ražotāji nodrošina, ka tas ir projektēts, izstrādāts un ražots saskaņā ar I pielikuma I daļā izklāstītajām kiberdrošības pamatprasībām.

2. Nolūkā izpildīt 1. punktā noteikto pienākumu, ražotāji izvērtē ar produktu ar digitāliem elementiem saistītos kiberdrošības riskus un šā novērtējuma rezultātus ņem vērā produkta ar digitāliem elementiem plānošanas, projektēšanas, izstrādes, ražošanas, piegādes un uzturēšanas posmos, lai samazinātu kiberdrošības riskus, novērstu incidentus un samazinātu to ietekmi, arī attiecībā uz lietotāju veselību un drošību.

3. Kiberdrošības riska novērtējumu dokumentē un attiecīgā gadījumā atjaunina atbalsta periodā, kas jānosaka saskaņā ar šā panta 8. punktu. Minētajā kiberdrošības riska novērtējumā ietver vismaz kiberdrošības risku analīzi, kuras pamatā ir produkta ar digitāliem elementiem paredzētais nolūks un pamatoti paredzamais lietojums, kā arī lietošanas nosacījumi, piemēram, darbības vide vai aizsargājamie aktīvi, ņemot vērā paredzamo produkta lietošanas ilgumu. Kiberdrošības riska novērtējumā norāda, vai I pielikuma I daļas 2. punktā izklāstītās drošības prasības ir piemērojamas attiecīgajam produktam ar digitāliem elementiem un, ja ir, tad kādā veidā, un kā minētās prasības tiek īstenotas, pamatojoties uz kiberdrošības riska novērtējumu. Tajā arī norāda, kā ražotājam jāpiemēro I pielikuma I daļas 1. punkts un I pielikuma II daļā noteiktās ievainojamības novēršanas prasības.

4. Laižot tirgū produktu ar digitāliem elementiem, ražotājs iekļauj šā panta 3. punktā minēto kiberdrošības riska novērtējumu tehniskajā dokumentācijā, kas vajadzīga, ievērojot 31. pantu un VII pielikumu. Attiecībā uz 12. pantā minētajiem produktiem ar digitāliem elementiem, uz kuriem attiecas arī citi Savienības tiesību akti, kiberdrošības riska novērtējums var būt daļa no minētajos Savienības tiesību aktos prasītā riska novērtējuma. Ja konkrētas kiberdrošības pamatprasības nav piemērojamas tirgotajam produktam ar digitāliem elementiem, ražotājs minētajā tehniskajā dokumentācijā iekļauj skaidru pamatojumu.

5. Lai izpildītu 1. punktā noteikto pienākumu, ražotāji veic uzticamības pārbaudi, ja produktos ar digitāliem elementiem tiek integrēti no trešām personām iegūti komponenti, lai minētie komponenti neapdraudētu produkta ar digitāliem elementiem drošību, tostarp tad, kad tiek integrēti brīvi pieejamas atvērtā pirmkoda programmatūras komponenti, kas nav darīti pieejami tirgū, veicot komercdarbību.

6. Ražotāji pēc tam, kad identificējuši ievainojamību kādā komponentā, tostarp atvērtā pirmkoda komponentā, kas integrēts produktā ar digitāliem elementiem, ziņo par šo ievainojamību personai vai vienībai, kas ražo vai uztur šo komponentu, un pievēršas ievainojamībai un to novērš saskaņā ar I pielikuma II daļā noteiktajām ievainojamības novēršanas prasībām. Ja ražotāji ir izstrādājuši programmatūras vai aparatūras modifikāciju, lai novērstu minētā komponenta ievainojamību, tie attiecīgo kodu vai dokumentāciju dara zināmu personai vai vienībai, kas ražo vai uztur komponentu, attiecīgā gadījumā mašīnlasāmā formātā.

7. Ražotāji tādā veidā, kas ir proporcionāls kiberdrošības risku raksturam, attiecībā uz produktiem ar digitāliem elementiem sistemātiski dokumentē būtiskos kiberdrošības aspektus, ieskaitot ievainojamību, kas tiem kļūst zināma, un jebkādu trešās personas sniegtu būtisku informāciju, kā arī attiecīgā gadījumā atjaunina produktu kiberdrošības riska novērtējumu.

8. Laižot tirgū produktu ar digitāliem elementiem, un atbalsta periodā ražotāji nodrošina to, ka minētā produkta ievainojamības tiek risinātas efektīvi un saskaņā ar I pielikuma II daļā noteiktajām kiberdrošības pamatprasībām.

Ražotāji nosaka atbalsta periodu tā, lai tas atspoguļotu laikposmu, kurā sagaidāms, ka produkts tiks izmantots, jo īpaši ņemot vērā pamatotas lietotāju cerības, produkta raksturu, tostarp tā paredzēto nolūku, kā arī attiecīgos Savienības tiesību aktus, kas nosaka produktu ar digitāliem elementiem darbmūžu. Nosakot atbalsta periodu, ražotāji var ņemt vērā arī atbalsta periodus, ko saviem tirgū laistajiem produktiem ar digitāliem elementiem, kuriem ir līdzīga funkcionalitāte, noteikuši citi ražotāji, darbības vides pieejamību, to integrēto komponentu atbalsta periodus, kuri nodrošina pamatfunkcijas un ir iegūti no trešām personām, kā arī attiecīgos norādījumus, ko sniegusi saskaņā ar 52. panta 15. punktu izveidotā īpašā administratīvās sadarbības grupa (ADCO) un Komisija. Jautājumus atbalsta perioda noteikšanai ņem vērā tā, lai nodrošinātu proporcionalitāti.

Neskarot otro daļu, atbalsta periods ir vismaz pieci gadi. Ja sagaidāms, ka produkts ar digitāliem elementiem tiks lietots mazāk nekā piecus gadus, atbalsta periods atbilst paredzamajam lietošanas laikam.

Ņemot vērā 52. panta 16. punktā minētos ADCO ieteikumus, Komisija var pieņemt deleģētos aktus saskaņā ar 61. pantu, lai papildinātu šo regulu, nosakot minimālo atbalsta periodu konkrētām produktu kategorijām, ja tirgus uzraudzības dati liecina par nepiemērotiem atbalsta periodiem.

Informāciju, kas ņemta vērā, lai noteiktu produkta ar digitāliem elementiem atbalsta periodu, ražotāji iekļauj VII pielikumā izklāstītajā tehniskajā dokumentācijā.

Ražotājiem ir atbilstīga politika un procedūras, tostarp I pielikuma II daļas 5. punktā minētā koordinētā ievainojamības atklāšanas politika, lai apstrādātu un izlabotu produkta ar digitāliem elementiem iespējamo ievainojamību, par kuru saņemts ziņojums no iekšējiem vai ārējiem avotiem.

9. Ražotāji nodrošina, ka katrs I pielikuma II daļas 8. punktā minētais drošības atjauninājums, kas lietotājiem darīts pieejams atbalsta periodā, pēc tā izdošanas ir pieejams vismaz 10 gadus vai atlikušajā atbalsta periodā atkarībā no tā, kurš termiņš ir ilgāks.

10. Ja ražotājs ir laidis tirgū vēlāk būtiski modificētas programmatūras versijas, minētais ražotājs var nodrošināt atbilstību I pielikuma II daļas 2. punktā noteiktajai kiberdrošības pamatprasībai tikai attiecībā uz to versiju, kuru ražotājs pēdējo reizi laidis tirgū, ar noteikumu, ka iepriekš tirgū laisto versiju lietotājiem bez maksas ir piekļuve pēdējai tirgū laistai versijai un viņiem nerodas papildu izmaksas, lai pielāgotu aparatūras un programmatūras vidi, kurā viņi izmanto minētā produkta oriģinālo versiju.

11. Ražotāji var uzturēt publiskus programmatūras arhīvus, kas uzlabo lietotāju piekļuvi vēsturiskajām versijām. Šādos gadījumos lietotājus viegli pieejamā veidā skaidri informē par riskiem, kas saistīti ar neatbalstītas programmatūras izmantošanu.

12. Pirms produkta ar digitāliem elementiem laišanas tirgū ražotāji sagatavo 31. pantā norādīto tehnisko dokumentāciju.

Tie veic izvēlētās atbilstības novērtēšanas procedūras, kā minēts 32. pantā, vai nodrošina to veikšanu.

Ja minētajā atbilstības novērtēšanas procedūrā ir pierādīts, ka produkts ar digitāliem elementiem atbilst I pielikuma I daļā noteiktajām kiberdrošības pamatprasībām un ražotāja ieviestie procesi atbilst I pielikuma II daļā noteiktajām kiberdrošības pamatprasībām, ražotāji sagatavo ES atbilstības deklarāciju saskaņā ar 28. pantu un uzliek CE zīmi saskaņā ar 30. pantu.

13. Ražotāji tehnisko dokumentāciju un ES atbilstības deklarāciju glabā pieejamu tirgus uzraudzības iestādēm vismaz 10 gadus pēc produkta ar digitāliem elementiem laišanas tirgū vai atbalsta periodā atkarībā no tā, kurš termiņš ir ilgāks.

14. Ražotāji nodrošina, ka ir ieviestas procedūras, ar kurām attiecībā uz produktiem ar digitāliem elementiem, kas ietverti ražojumu sērijās, tiek panākta pastāvīga atbilstība šai regulai. Ražotāji pienācīgi ņem vērā izmaiņas izstrādes un ražošanas procesā vai produkta ar digitāliem elementiem projektējumā vai īpašībās, kā arī izmaiņas saskaņotajos standartos, Eiropas kiberdrošības sertifikācijas shēmās vai kopīgajās specifikācijās, kā minēts 27. pantā, uz kurām atsaucoties deklarēta produkta ar digitāliem elementiem atbilstība vai kuras piemērojot verificēta tā atbilstība.

15. Ražotāji nodrošina, ka uz viņu produktiem ar digitāliem elementiem ir tipa, partijas vai sērijas numurs vai cits identifikācijas elements vai, ja tas nav iespējams, ka minētā informācija ir sniegta uz iepakojuma vai produktam ar digitāliem elementiem pievienotajā dokumentā.

16. Ražotāji uz produkta ar digitāliem elementiem, tā iepakojuma vai produktam ar digitāliem elementiem pievienotajā dokumentā norāda ražotāja nosaukumu, reģistrēto komercnosaukumu vai reģistrēto preču zīmi un pasta adresi, e-pasta adresi vai citu digitālu kontaktinformāciju, kā arī attiecīgā gadījumā tīmekļa vietni, kurā var sazināties ar ražotāju. Minēto informāciju iekļauj arī II pielikumā izklāstītajā informācijā un norādījumos lietotājiem. Kontaktinformācija ir lietotājiem un tirgus uzraudzības iestādēm viegli saprotamā valodā.

17. Šīs regulas nolūkiem ražotāji izraugās vienotu kontaktpunktu, lai lietotāji varētu tieši un ātri sazināties ar tiem, tostarp, lai atvieglotu ziņošanu par produkta ar digitāliem elementiem ievainojamībām.

Ražotāji nodrošina, ka lietotāji var viegli identificēt vienoto kontaktpunktu. Tie arī iekļauj informāciju par vienoto kontaktpunktu II pielikumā noteiktajā informācijā un norādījumos lietotājiem.

Vienotais kontaktpunkts ļauj lietotājiem izvēlēties vēlamos saziņas līdzekļus, un šādi līdzekļi neaprobežojas ar automatizētiem rīkiem.

18. Ražotāji nodrošina, ka produktiem ar digitāliem elementiem tiek pievienota II pielikumā noteiktā informācija un norādījumi lietotājiem papīra vai elektroniskā formātā. Šādu informāciju un norādījumus sniedz lietotājiem un tirgus uzraudzības iestādēm viegli saprotamā valodā. Tie ir skaidri, saprotami, nepārprotami un salasāmi. Tie ļauj droši instalēt, ekspluatēt un lietot produktus ar digitāliem elementiem. Ražotāji II pielikumā noteikto informāciju un norādījumus lietotājam glabā pieejamus lietotājiem un tirgus uzraudzības iestādēm vismaz 10 gadus pēc produkta ar digitāliem elementiem laišanas tirgū vai atbalsta periodā atkarībā no tā, kurš laikposms ir ilgāks. Ja šādu informāciju un instrukcijas sniedz tiešsaistē, ražotāji nodrošina, ka ir piekļūstami, lietotājdraudzīgi un pieejami tiešsaistē vismaz 10 gadus pēc produkta ar digitāliem elementiem laišanas tirgū vai atbalsta periodā atkarībā no tā, kurš laikposms ir ilgāks.

19. Ražotāji nodrošina, ka 8. punktā minētā atbalsta perioda beigu datums, tostarp vismaz gads un mēnesis, pirkuma brīdī ir skaidri un saprotami norādīts viegli piekļūstamā veidā un attiecīgā gadījumā uz produkta ar digitāliem elementiem, tā iepakojuma vai ar digitāliem līdzekļiem.

Ja tas ir tehniski iespējams, ņemot vērā produkta ar digitāliem elementiem raksturu, ražotāji izvieto paziņojumu lietotājiem, lai informētu, ka viņu produkts ar digitāliem elementiem ir sasniedzis atbalsta perioda beigas.

20. Ražotāji vai nu pievieno produktam ar digitāliem elementiem ES atbilstības deklarācijas kopiju, vai vienkāršotu ES atbilstības deklarāciju. Ja tiek pievienota vienkāršota ES atbilstības deklarācija, tajā norāda precīzu interneta adresi, kurā var piekļūt pilnīgai ES atbilstības deklarācijai.

21. Sākot no laišanas tirgū un atbalsta periodā ražotāji, kas zina vai kam ir iemesls uzskatīt, ka produkts ar digitāliem elementiem vai ražotāja ieviestie procesi neatbilst I pielikumā izklāstītajām kiberdrošības pamatprasībām, nekavējoties veic korektīvus pasākumus, kas nepieciešami, lai panāktu produkta ar digitāliem elementiem vai ražotāja procesu atbilstību, vai attiecīgā gadījumā šo produktu izņemtu vai atsauktu.

22. Pēc tirgus uzraudzības iestādes pamatota pieprasījuma ražotāji minētajai iestādei viegli saprotamā valodā papīra vai elektroniskā formātā sniedz visu informāciju un dokumentāciju, kas nepieciešama, lai pierādītu produkta ar digitāliem elementiem un ražotāja ieviesto procesu atbilstību I pielikumā izklāstītajām kiberdrošības pamatprasībām. Pēc minētās iestādes pieprasījuma ražotāji ar to sadarbojas visos pasākumos, kas tiek veikti, lai novērstu kiberdrošības riskus, ko rada produkts ar digitāliem elementiem, ko tie laiduši tirgū.

23. Ražotājs, kas pārtrauc darbību un līdz ar to nespēj nodrošināt atbilstību šai regulai, pirms faktiskās darbības pārtraukšanas informē attiecīgās tirgus uzraudzības iestādes, kā arī – izmantojot jebkādus pieejamos līdzekļus un ciktāl iespējams – attiecīgo tirgū laisto produktu ar digitāliem elementiem lietotājus par gaidāmo darbības pārtraukšanu.

24. Komisija, ņemot vērā Eiropas un starptautiskos standartus un labāko praksi, ar īstenošanas aktiem var precizēt I pielikuma II daļas 1. punktā noteikto programmatūras materiālu komplekta formātu un elementus. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 62. panta 2. punktā.

25. Lai novērtētu dalībvalstu un visas Savienības atkarību no programmatūras komponentiem un jo īpaši no komponentiem, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra, ADCO var nolemt veikt Savienības mēroga atkarības novērtējumu konkrētām produktu ar digitāliem elementiem kategorijām. Šajā nolūkā tirgus uzraudzības iestādes var pieprasīt šādu produktu ar digitāliem elementiem kategoriju ražotājiem iesniegt attiecīgos programmatūras materiālu komplektus, kā minēts I pielikuma II daļas 1. punktā. Pamatojoties uz šādu informāciju, tirgus uzraudzības iestādes var sniegt ADCO anonimizētu un apkopotu informāciju par atkarību programmatūras jomā. ADCO iesniedz ziņojumu par atkarības novērtējuma rezultātiem sadarbības grupai, kas izveidota, ievērojot Direktīvas (ES) 2022/2555 14. pantu.

Ražotāju ziņošanas pienākumi

1. Ražotājs par jebkuru aktīvi izmantotu ievainojamību, ko satur produkts ar digitāliem elementiem un par ko tam kļūst zināms, saskaņā ar šā panta 7. punktu paziņo vienlaikus par koordinatoru izraudzītajai CSIRT un ENISA. Ražotājs paziņo par šo aktīvi izmantoto ievainojamību, izmantojot vienoto ziņošanas platformu, kas izveidota, ievērojot 16. pantu.

2. Šā panta 1. punktā minētā paziņojuma nolūkos ražotājs iesniedz:

3. Ražotājs par jebkuru nopietnu incidentu, kas ietekmē produkta ar digitāliem elementiem drošību un par ko tam kļūst zināms, saskaņā ar šā panta 7. punktu paziņo vienlaikus par koordinatoru izraudzītajai CSIRT un ENISA. Ražotājs par šo incidentu paziņo, izmantojot vienoto ziņošanas platformu, kas izveidota, ievērojot 16. pantu.

4. Šā panta 3. punktā minētās paziņošanas nolūkos ražotājs iesniedz:

5. Šā panta 3. punkta nolūkos incidentu, kas ietekmē produkta ar digitāliem elementiem drošību, uzskata par nopietnu, ja:

6. Vajadzības gadījumā par koordinatoru izraudzītā CSIRT, kas saņēmusi sākotnējo paziņojumu, var pieprasīt ražotājiem iesniegt starpposma ziņojumu par attiecīgajiem statusa atjauninājumiem saistībā ar aktīvi izmantotu ievainojamību vai nopietnu incidentu, kas ietekmē produkta ar digitāliem elementiem drošību.

7. Šā panta 1. un 3. punktā minētos paziņojumus iesniedz 16. pantā minētajā vienotajā ziņošanas platformā, izmantojot vienu no 16. panta 1. punktā minētajiem elektroniskā paziņojuma galapunktiem. Paziņojumu iesniedz, izmantojot tās CSIRT elektroniskā paziņojuma galapunktu, kas izraudzīta par tās dalībvalsts koordinatoru, kurā ir ražotāju galvenā iedibinājuma vieta Savienībā, un tas vienlaikus ir pieejams ENISA.

Šīs regulas nolūkos tiks uzskatīts, ka ražotāja galvenā iedibinājuma vieta Savienībā ir tajā dalībvalstī, kurā lielākoties tiek pieņemti lēmumi saistībā ar tā produktu ar digitāliem elementiem kiberdrošības riska pārvaldības pasākumiem. Ja šādu dalībvalsti nevar noteikt, uzskata, ka galvenais iedibinājums ir dalībvalstī, kurā attiecīgajam ražotājam ir iedibinājums ar vislielāko darbinieku skaitu Savienībā.

Ja ražotājam Savienībā nav galvenās iedibinājuma vietas, tas 1. un 3. punktā minētos paziņojumus iesniedz, izmantojot tās CSIRT elektroniskā paziņojuma galapunktu, kas izraudzīta par koordinatoru dalībvalstī, kura noteikta saskaņā ar šādu secību un pamatojoties uz ražotājam pieejamo informāciju:

Saistībā ar trešās daļas d) apakšpunktu ražotājs var iesniegt paziņojumus par jebkuru turpmāku aktīvi izmantotu ievainojamību vai nopietnu incidentu, kas ietekmē produkta ar digitāliem elementiem drošību, tai pašai CSIRT, kura izraudzīta par koordinatoru un kurai tas ziņojis pirmoreiz.

8. Pēc tam, kad ražotājs uzzinājis par aktīvi izmantotu ievainojamību vai nopietnu incidentu, kas ietekmē produkta ar digitāliem elementiem drošību, ražotājs informē skartos produkta ar digitāliem elementiem lietotājus un attiecīgā gadījumā visus lietotājus par minēto ievainojamību vai incidentu, un vajadzības gadījumā par jebkādu riska mazināšanu un korektīviem pasākumiem, ko lietotāji var veikt, lai mazinātu minētās ievainojamības vai incidenta ietekmi, attiecīgā gadījumā strukturētā, mašīnlasāmā formātā, kas ir viegli automātiski apstrādājams. Ja ražotājs laikus neinformē produkta ar digitāliem elementiem lietotājus, paziņotās CSIRT, kas izraudzītas par koordinatoriem, var sniegt šādu informāciju lietotājiem, ja tā tiek uzskatīta par samērīgu un nepieciešamu, lai novērstu vai mazinātu minētās ievainojamības vai incidenta ietekmi.

9. Līdz 2025. gada 11. decembrim Komisija pieņem deleģētos aktus saskaņā ar 61. pantu, lai papildinātu šo regulu, precizējot noteikumus ar kiberdrošību saistītu iemeslu izmantošanai par attaisnojumu 16. panta 2. punktā minēto paziņojumu par aktīvi izmantotām ievainojamībām izplatīšanas atlikšanai. Sagatavojot deleģēto aktu projektus, Komisija sadarbojas ar CSIRT tīklu, kas izveidots, ievērojot Direktīvas (ES) 2022/2555 15. pantu, un ENISA.

10. Komisija ar īstenošanas aktiem var papildus precizēt šajā pantā, kā arī 15. un 16. pantā minēto paziņojumu formātu un paziņošanas procedūras. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 62. panta 2. punktā. Komisija minēto īstenošanas aktu projektu sagatavošanā sadarbojas ar CSIRT tīklu un ENISA.

Brīvprātīga ziņošana

1. Ražotāji, kā arī citas fiziskas vai juridiskas personas var brīvprātīgi paziņot par koordinatoru izraudzītajai CSIRT vai ENISA par jebkuru ievainojamību, ko satur produkts ar digitāliem elementiem, kā arī par kiberdraudiem, kas varētu ietekmēt produkta ar digitāliem elementiem riska profilu.

2. Ražotāji, kā arī citas fiziskas vai juridiskas personas par jebkuru incidentu, kas ietekmē produkta ar digitāliem elementiem drošību, kā arī par gandrīz notikušajiem notikumiem, kuru rezultātā varētu būt noticis šāds incidents, brīvprātīgi var paziņot par koordinatoru izraudzītajai CSIRT vai ENISA.

3. Par koordinatoru izraudzītā CSIRT vai ENISA šā panta 1. un 2. punktā minētos paziņojumus apstrādā saskaņā ar 16. pantā noteikto procedūru.

Par koordinatoru izraudzītā CSIRT var prioritārā kārtībā apstrādāt vispirms obligātos paziņojumus un pēc tam brīvprātīgos paziņojumus.

4. Ja fiziska vai juridiska persona, kas nav ražotājs, paziņo par aktīvi izmantotu ievainojamību vai nopietnu incidentu, kas ietekmē produkta ar digitāliem elementiem drošību, saskaņā ar 1. vai 2. punktu, par koordinatoru izraudzītā CSIRT bez liekas kavēšanās informē ražotāju.

5. Par koordinatoru izraudzītā CSIRT kā arī ENISA nodrošina konfidencialitāti un pienācīgu tās informācijas aizsardzību, ko sniegusi fiziskā vai juridiskā persona, kura iesniegusi paziņojumu. Neskarot noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem, brīvprātīgās paziņošanas rezultātā paziņotājai fiziskai vai juridiskai personai netiek uzlikti nekādi papildu pienākumi, kādi tai nebūtu jāievēro, ja tā nebūtu iesniegusi minēto paziņojumu.

Vienotās ziņošanas platformas izveide

1. Lai sniegtu 14. panta 1. un 3. punktā un 15. panta 1. un 2. punktā minētos paziņojumus un lai vienkāršotu ražotāju ziņošanas pienākumus, ENISA izveido vienotu ziņošanas platformu. Minētās vienotās ziņošanas platformas ikdienas darbības pārvalda un uztur ENISA. Vienotās ziņošanas platformas uzbūve ļauj dalībvalstīm un ENISA ieviest savus elektroniskās paziņošanas galapunktus.

2. Pēc paziņojuma saņemšanas par koordinatoru izraudzītā CSIRT, kas ir sākotnējā paziņojuma saņēmēja, vienotajā ziņošanas platformā paziņojumu nekavējoties nosūta tām CSIRT, kuras izraudzītas par koordinatoriem un kuru teritorijā saskaņā ar ražotāja sniegto informāciju produkts ar digitāliem elementiem ir darīts pieejams.

Ārkārtas apstākļos un jo īpaši pēc ražotāja pieprasījuma un ņemot vērā paziņotās informācijas sensitivitātes līmeni, ko ražotājs norādījis saskaņā ar šīs regulas 14. panta 2. punkta a) apakšpunktu, pamatotu, ar kiberdrošību saistītu iemeslu dēļ, tostarp tad, ja uz ievainojamību attiecas koordinēta ievainojamības atklāšanas procedūra, kā minēts Direktīvas (ES) 2022/2555 12. panta 1. punktā, paziņojuma izplatīšanu var atlikt uz laiku, kas ir absolūti nepieciešams. Ja CSIRT nolemj aizturēt paziņojumu, tā nekavējoties informē ENISA par šo lēmumu un sniedz gan pamatojumu paziņojuma aizturēšanai, gan norādi par to, kad tā izplatīs paziņojumu saskaņā ar šajā punktā noteikto izplatīšanas procedūru. ENISA var atbalstīt CSIRT ar kiberdrošību saistītu iemeslu piemērošanā saistībā ar paziņojuma izplatīšanas aizkavēšanu.

Īpaši izņēmuma apstākļi ir tad, ja ražotājs 14. panta 2. punkta b) apakšpunktā minētajā paziņojumā norāda, ka:

tikai informāciju par to, ka ražotājs ir iesniedzis paziņojumu, vispārīgu informāciju par produktu, informāciju par izmantošanas vispārīgo raksturu un informāciju, attiecībā uz kuru tika sniegts ar drošību saistīts pamatojums jādara vienlaikus pieejamu ENISA, līdz pilnīgs paziņojums tiek izplatīts attiecīgajām CSIRT un ENISA. Ja, pamatojoties uz minēto informāciju, ENISA uzskata, ka pastāv sistēmisks risks, kas ietekmē drošību iekšējā tirgū, tā iesaka saņēmējai CSIRT izplatīt pilnīgu paziņojumu pārējām par koordinatoriem izraudzītajām CSIRT un pašai ENISA.

3. Pēc tam, kad ir saņemts paziņojums par produkta ar digitāliem elementiem aktīvi izmantotu ievainojamību vai nopietnu incidentu, kas ietekmē produkta ar digitāliem elementiem drošību, par koordinatoriem izraudzītās CSIRT sniedz savu attiecīgo dalībvalstu tirgus uzraudzības iestādēm paziņoto informāciju, kas vajadzīga, lai tirgus uzraudzības iestādes varētu pildīt savus pienākumus saskaņā ar šo regulu.

4. ENISA veic atbilstīgus un samērīgus tehniskus, operatīvus un organizatoriskus pasākumus, lai pārvaldītu riskus, kas radīti vienotās ziņošanas platformai un vienotajā ziņošanas platformā iesniegtās vai izplatītās informācijas drošībai. Tā bez liekas kavēšanās paziņo CSIRT tīklam, kā arī Komisijai par visiem drošības incidentiem, kas ietekmē vienoto ziņošanas platformu.

5. ENISA sadarbībā ar CSIRT tīklu nodrošina un īsteno specifikācijas par tehniskajiem, operatīvajiem un organizatoriskajiem pasākumiem attiecībā uz 1. punktā minētās vienotās ziņošanas platformas izveidi, uzturēšanu un drošu darbību, tostarp vismaz drošības pasākumus, kas saistīti ar vienotās ziņošanas platformas izveidi, darbību un uzturēšanu, kā arī par elektroniskās paziņošanas galapunktiem, ko izveidojušas CSIRT, kuras izraudzītas par koordinatoriem valsts līmenī, un ENISA Savienības līmenī, tostarp procedūras aspektus, lai nodrošinātu, ka gadījumā, ja attiecībā uz paziņoto ievainojamību nav pieejami korektīvi vai riska mazināšanas pasākumi, informācija par minēto ievainojamību tiek kopīgota saskaņā ar stingriem drošības protokoliem un pamatojoties uz vajadzību pēc informācijas.

6. Ja par koordinatoru izraudzītā CSIRT ir informēta par aktīvi izmantotu ievainojamību kā daļu no koordinētās ievainojamības atklāšanas procedūras, kā minēts Direktīvas (ES) 2022/2555 12. panta 1. punktā, tā par koordinatoru izraudzītā CSIRT, kas saņem sākotnējo paziņojumu, var atlikt attiecīgā paziņojuma izplatīšanu vienotajā ziņošanas platformā, balstoties uz pamatotiem ar kiberdrošību saistītiem iemesliem, uz laikposmu, kas nav ilgāks par absolūti nepieciešamo, un līdz brīdim, kad koordinētās ievainojamības izpaušanā iesaistītās puses ir devušas piekrišanu informācijas izpaušanai. Minētā prasība neliedz ražotājiem brīvprātīgi paziņot par šādu ievainojamību saskaņā ar šajā pantā noteikto procedūru.

Citi noteikumi, kas saistīti ar ziņošanu

1. ENISA var iesniegt saskaņā ar Direktīvas (ES) 2022/2555 16. pantu izveidotajam Eiropas Kiberkrīžu sadarbības organizāciju tīklam (EU-CyCLONe) informāciju, kas paziņota, ievērojot šīs regulas 14. panta 1. un 3. punktu un 15. panta 1. un 2. punktu, ja šāda informācija ir noderīga plaša mēroga kiberdrošības incidentu un krīžu koordinētai pārvaldībai operatīvā līmenī. Lai noteiktu šādu noderīgumu, ENISA var apsvērt CSIRT tīkla veiktās tehniskās analīzes, ja tādas ir pieejamas.

2. Ja sabiedrības informētība ir nepieciešama, lai novērstu vai mazinātu nopietnu incidentu, kas ietekmē produkta ar digitāliem elementiem drošību, vai lai risinātu notiekošu incidentu, vai ja informācijas par incidentu izpaušana kā citādi ir sabiedrības interesēs, attiecīgajā dalībvalstī par koordinatoru izraudzītā CSIRT pēc apspriešanās ar attiecīgo ražotāju un attiecīgā gadījumā sadarbībā ar ENISA var informēt sabiedrību par incidentu vai prasīt to darīt ražotājam.

3. ENISA, pamatojoties uz paziņojumiem, kas saņemti, ievērojot šīs regulas 14. panta 1. un 3. punktu vai 15. panta 1. un 2. punktu, reizi 24 mēnešos sagatavo tehnisko ziņojumu par jaunākajām tendencēm attiecībā uz kiberdrošības riskiem produktos ar digitāliem elementiem un to iesniedz sadarbības grupai, kas izveidota, ievērojot Direktīvas (ES) 2022/2555 14. pantu. Pirmo šādu ziņojumu iesniedz 24 mēnešu laikā no dienas, kad sāk piemērot 14. panta 1. un 3. punktā noteiktos pienākumus. ENISA ziņojumā par kiberdrošības stāvokli Savienībā, ievērojot Direktīvas (ES) 2022/2555 18. pantu, iekļauj attiecīgo informāciju no tās tehniskajiem ziņojumiem.

4. Tikai paziņošanas darbība vien saskaņā ar 14. panta 1. un 3. punktu vai 15. panta 1. un 2. punktu nerada lielāku atbildību paziņojošajai fiziskajai vai juridiskajai personai.

5. Pēc tam, kad ir pieejams drošības atjauninājums vai cita veida korektīvs vai riska mazināšanas pasākums, ENISA, vienojoties ar attiecīgā produkta ar digitāliem elementiem ražotāju, iekļauj Eiropas ievainojamību datubāzē, kas izveidota, ievērojot Direktīvas (ES) 2022/2555 12. panta 2. punktu, publiski zināmo ievainojamību, par ko paziņots, ievērojot šīs regulas 14. panta 1. punktu vai 15. panta 1. punktu.

6. Par koordinatoriem izraudzītās CSIRT sniedz ražotājiem un jo īpaši ražotājiem, kas kvalificējami kā mikrouzņēmumi vai mazie vai vidējie uzņēmumi, atbalstu kā palīdzības dienests saistībā ar 14. pantā paredzētajiem ziņošanas pienākumiem.

Pilnvarotie pārstāvji

1. Ražotājs var ar rakstisku pilnvaru iecelt pilnvaroto pārstāvi.

2. Pilnvarotā pārstāvja pilnvarās neietilpst pienākumi, kas noteikti 13. panta 1. līdz 11. punktā un 12. punkta pirmajā daļā, un 14. punktā.

3. Pilnvarotais pārstāvis veic uzdevumus, kas noteikti no ražotāja saņemtajā pilnvarojumā. Pilnvarotais pārstāvis pēc pieprasījuma iesniedz tirgus uzraudzības iestādēm pilnvarojuma kopiju. Pilnvarojums pilnvarotajam pārstāvim ļauj veikt vismaz šādas darbības:

Importētāju pienākumi

1. Importētāji laiž tirgū tikai tādus produktus ar digitāliem elementiem, kuri atbilst I pielikuma I daļā izklāstītajām kiberdrošības pamatprasībām, un tikai tad, ja ražotāja ieviestie procesi atbilst I pielikuma II daļā izklāstītajām kiberdrošības pamatprasībām.

2. Pirms produkta ar digitāliem elementiem laišanas tirgū importētāji nodrošina, ka:

Šā punkta nolūkos importētāji var iesniegt vajadzīgos dokumentus, kas apliecina šajā pantā noteikto prasību izpildi.

3. Ja importētājs uzskata vai tam ir iemesls uzskatīt, ka produkts ar digitāliem elementiem vai ražotāja ieviestie procesi neatbilst šai regulai, importētājs produktu nelaiž tirgū, kamēr nav panākta minētā produkta vai ražotāja ieviesto procesu atbilstība šai regulai. Turklāt, ja produkts ar digitāliem elementiem rada būtisku kiberdrošības risku, importētājs par to informē ražotāju un tirgus uzraudzības iestādes.

Ja importētājam ir iemesls uzskatīt, ka produkts ar digitāliem elementiem var radīt ievērojamu kiberdrošības risku netehnisku riska faktoru dēļ, importētājs par to informē tirgus uzraudzības iestādes. Saņemot šādu informāciju, tirgus uzraudzības iestādes rīkojas saskaņā ar 54. panta 2. punktā minētajām procedūrām.

4. Importētāji uz produkta ar digitāliem elementiem vai uz tā iepakojuma, vai produktam ar digitāliem elementiem pievienotajā dokumentā norāda sava uzņēmuma nosaukumu, reģistrēto komercnosaukumu vai reģistrēto preču zīmi un pasta adresi, e-pasta adresi vai citu digitālu kontaktinformāciju, kā arī attiecīgā gadījumā tīmekļa vietni, kurā ar tiem var sazināties. Kontaktinformācija ir lietotājiem un tirgus uzraudzības iestādēm viegli saprotamā valodā.

5. Importētāji, kas zina vai kam ir iemesls uzskatīt, ka produkts ar digitāliem elementiem, kuru tie ir laiduši tirgū, neatbilst šai regulai, nekavējoties veic nepieciešamos korektīvos pasākumus, lai nodrošinātu to, ka produkts ar digitāliem elementiem atbilst šai regulai, vai arī, ja vajadzīgs, lai to izņemtu vai atsauktu.

Uzzinot par ievainojamību produktā ar digitāliem elementiem, importētāji bez nepamatotas kavēšanās informē ražotāju par šo ievainojamību. Turklāt, ja produkts ar digitāliem elementiem rada būtisku kiberdrošības risku, importētāji nekavējoties par to informē to dalībvalstu tirgus uzraudzības iestādes, kurās viņi produktu ar digitāliem elementiem darījuši pieejamu tirgū, norādot sīku informāciju, jo īpaši par neatbilstību un veiktajiem korektīvajiem pasākumiem.

6. Importētāji vismaz 10 gadus pēc produkta ar digitāliem elementiem laišanas tirgū vai atbalsta periodā atkarībā no tā, kurš termiņš ir ilgāks, glabā ES atbilstības deklarācijas kopiju, lai tā būtu pieejama tirgus uzraudzības iestādēm, un nodrošina, ka minētajām iestādēm pēc pieprasījuma ir pieejama tehniskā dokumentācija.

7. Pēc tirgus uzraudzības iestādes pamatota pieprasījuma importētāji šai iestādei tai viegli saprotamā valodā papīra vai elektroniskā formātā sniedz visu informāciju un dokumentāciju, kas vajadzīga, lai pierādītu, ka produkts ar digitāliem elementiem atbilst I pielikumā I daļā izklāstītajām kiberdrošības pamatprasībām un ka ražotāja ieviestie procesi atbilst I pielikuma II daļā izklāstītajām kiberdrošības pamatprasībām. Importētāji pēc minētās iestādes pieprasījuma sadarbojas ar to visos pasākumos, kas tiek veikti, lai novērstu kiberdrošības riskus, ko rada produkts ar digitāliem elementiem, kuru tie laiduši tirgū.

8. Ja produkta ar digitāliem elementiem importētājam ir kļuvis zināms, ka minētā produkta ražotājs ir pārtraucis darbību un līdz ar to nespēj izpildīt šajā regulā noteiktos pienākumus, importētājs par šo situāciju informē attiecīgās tirgus uzraudzības iestādes, kā arī – izmantojot jebkādus pieejamos līdzekļus un ciktāl iespējams – attiecīgo tirgū laisto produktu ar digitāliem elementiem lietotājus.

Izplatītāju pienākumi

1. Darot produktu ar digitāliem elementiem pieejamu tirgū, izplatītāji rūpīgi ievēro šajā regulā noteiktās prasības.

2. Pirms produktu ar digitāliem elementiem dara pieejamu tirgū, izplatītāji pārliecinās, ka:

3. Ja izplatītājs, pamatojoties uz tā rīcībā esošo informāciju, uzskata vai ja tam ir iemesls uzskatīt, ka produkts ar digitāliem elementiem vai ražotāja ieviestie procesi neatbilst I pielikumā izklāstītajām kiberdrošības pamatprasībām, izplatītājs produktu ar digitāliem elementiem nedara pieejamu tirgū, kamēr nav panākta šā produkta vai ražotāja ieviesto procesu atbilstība šai regulai. Turklāt, ja produkts ar digitāliem elementiem rada būtisku kiberdrošības risku, izplatītājs par to bez nepamatotas kavēšanās informē ražotāju un tirgus uzraudzības iestādes.

4. Izplatītāji, kuri, pamatojoties uz to rīcībā esošo informāciju, zina vai kuriem ir iemesls uzskatīt, ka produkts ar digitāliem elementiem, ko tie darījuši pieejamu tirgū, vai tā ražotāja ieviestie procesi neatbilst šai regulai, pārliecinās, ka tiek veikti korektīvi pasākumi, kas nepieciešami, lai panāktu minētā produkta ar digitāliem elementiem vai tā ražotāja ieviesto procesu atbilstību vai attiecīgā gadījumā šo produktu izņemtu vai atsauktu.

Uzzinot par ievainojamību produktā ar digitāliem elementiem, izplatītāji bez nepamatotas kavēšanās par šo ievainojamību informē ražotāju. Turklāt, ja produkts ar digitāliem elementiem rada būtisku kiberdrošības risku, izplatītāji nekavējoties par to informē to dalībvalstu tirgus uzraudzības iestādes, kurās viņi produktu ar digitāliem elementiem darījuši pieejamu tirgū, norādot sīku informāciju, jo īpaši par neatbilstību un veiktajiem korektīvajiem pasākumiem.

5. Pēc tirgus uzraudzības iestādes pamatota pieprasījuma izplatītāji šai iestādei viegli saprotamā valodā papīra vai elektroniskā formātā sniedz visu informāciju un dokumentāciju, kas vajadzīga, lai pierādītu, ka produkts ar digitāliem elementiem un tā ražotāja ieviestie procesi atbilst šai regulai. Izplatītāji pēc minētās iestādes pieprasījuma sadarbojas ar to visos pasākumos, kas tiek veikti, lai novērstu kiberdrošības riskus, ko rada produkts ar digitāliem elementiem, kuru tie darījuši pieejamu tirgū.

6. Ja produkta ar digitāliem elementiem izplatītājam, pamatojoties uz tā rīcībā esošo informāciju, ir kļuvis zināms, ka minētā produkta ražotājs ir pārtraucis darbību un līdz ar to nespēj izpildīt šajā regulā noteiktos pienākumus, izplatītājs par šo situāciju bez nepamatotas kavēšanās informē attiecīgās tirgus uzraudzības iestādes, kā arī – izmantojot jebkādus pieejamos līdzekļus un ciktāl iespējams – attiecīgo tirgū laisto produktu ar digitāliem elementiem lietotājus.

Gadījumi, kad ražotāju pienākumus piemēro importētājiem un izplatītājiem

Ja importētājs vai izplatītājs laiž tirgū produktu ar digitāliem elementiem ar savu vārdu vai preču zīmi vai veic jau tirgū laista produkta ar digitāliem elementiem būtisku modifikāciju, minēto importētāju vai izplatītāju šīs regulas vajadzībām uzskata par ražotāju un uz viņu attiecas 13. un 14. pants.

Citi gadījumi, kad piemēro ražotāja pienākumus

1. Fizisku vai juridisku personu, kas nav ražotājs, importētājs vai izplatītājs un kas veic produkta ar digitāliem elementiem būtisku modifikāciju un minēto produktu dara pieejamu tirgū, šīs regulas vajadzībām uzskata par ražotāju.

2. Šā panta 1. punktā minētajai personai 13. un 14. pantā noteiktos pienākumus piemēro attiecībā uz to produkta ar digitāliem elementiem daļu, kuru ir skārusi būtiskā modifikācija, vai attiecībā uz visu produktu, ja būtiskā modifikācija ietekmē produkta ar digitāliem elementiem kiberdrošību kopumā.

Uzņēmēju identifikācija

1. Uzņēmēji pēc pieprasījuma sniedz tirgus uzraudzības iestādēm šādu informāciju:

2. Uzņēmēji spēj sniegt 1. punktā minēto informāciju 10 gadus pēc tam, kad produkts ar digitāliem elementiem viņiem piegādāts, un 10 gadus pēc tam, kad viņi ir piegādājuši produktu ar digitāliem elementiem.

Atvērtā pirmkoda programmatūras pārziņa pienākumi

1. Atvērtā pirmkoda programmatūras pārziņi ievieš un pārbaudāmā veidā dokumentē kiberdrošības politiku, lai veicinātu droša produkta ar digitāliem elementiem izstrādi, kā arī šā produkta izstrādātāju efektīvu rīcību attiecībā uz ievainojamībām. Minētā politika arī veicina to, ka minētā produkta izstrādātāji brīvprātīgi ziņo par ievainojamībām, kā noteikts 15. pantā, un ņem vērā atvērtā pirmkoda programmatūras pārziņa īpašo raksturu un juridiskos un organizatoriskos pasākumus, kas uz to attiecas. Minētā politika jo īpaši ietver aspektus, kas saistīti ar ievainojamību dokumentēšanu, risināšanu un novēršanu, un veicina informācijas apmaiņu par konstatētajām ievainojamībām atvērtā pirmkoda kopienā.

2. Atvērtā pirmkoda programmatūras pārziņi pēc tirgus uzraudzības iestāžu pieprasījuma sadarbojas ar tām, lai mazinātu kiberdrošības riskus, ko rada produkts ar digitāliem elementiem, kurš kvalificējams kā brīvi pieejama atvērtā pirmkoda programmatūra.

Pēc tirgus uzraudzības iestādes pamatota pieprasījuma atvērtā pirmkoda programmatūras pārziņi minētajai iestādei viegli saprotamā valodā papīra vai elektroniskā formātā iesniedz 1. punktā minēto dokumentāciju.

3. Uz atvērtā pirmkoda programmatūras pārziņiem attiecas 14. panta 1. punktā noteiktie pienākumi, ciktāl tie ir iesaistīti produktu ar digitāliem elementiem izstrādē. Pienākumi, kas noteikti 14. panta 3. un 8. punktā, uz atvērtā pirmkoda programmatūras pārziņiem attiecas, ciktāl nopietni incidenti, kas ietekmē produktu ar digitāliem elementiem drošību, ietekmē tīklu un informācijas sistēmas, ko atvērtā pirmkoda programmatūras pārziņi nodrošina šādu produktu izstrādei.

Brīvi pieejamas atvērtā pirmkoda programmatūras drošības apliecinājums

Lai atvieglotu 13. panta 5. punktā noteiktā pienācīgas pārbaudes pienākuma izpildi, jo īpaši attiecībā uz ražotājiem, kuri savos produktos ar digitāliem elementiem integrē brīvi pieejamas atklātā pirmkoda programmatūras komponentus, Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 61. pantu, lai papildinātu šo regulu, izveidojot brīvprātīgas drošības apliecinājuma programmas, kas ļauj tādu produktu ar digitāliem elementiem izstrādātājiem vai lietotājiem, kuri kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra, kā arī citām trešām personām novērtēt šādu produktu atbilstību visām vai konkrētām kiberdrošības pamatprasībām vai citiem šajā regulā noteiktajiem pienākumiem.

Norādījumi

1. Lai veicinātu īstenošanu un nodrošinātu šādas īstenošanas konsekvenci, Komisija publisko norādījumus, kas uzņēmējiem palīdz piemērot šo regulu, un pievērš īpašu uzmanību tam, lai sekmētu to, ka mikrouzņēmumi un mazie un vidējie uzņēmumi panāk atbilstību.

2. Ja Komisija plāno sniegt 1. punktā minētos norādījumus, tā pievēršas vismaz šādiem aspektiem:

Komisija arī uztur viegli pieejamu sarakstu ar deleģētajiem un īstenošanas aktiem, kas pieņemti, ievērojot šo regulu.

3. Izstrādājot norādījumus saskaņā ar šo pantu, Komisija apspriežas ar attiecīgajām ieinteresētajām personām.

Pieņēmums par atbilstību

1. Produktus ar digitāliem elementiem un ražotāja ieviestos procesus, kas atbilst tiem saskaņotajiem standartiem vai to daļām, uz kuriem atsauces ir publicētas Eiropas Savienības Oficiālajā Vēstnesī, uzskata par atbilstīgiem I pielikumā izklāstītajām kiberdrošības pamatprasībām, uz kurām attiecas minētie standarti vai to daļas.

Komisija saskaņā ar Regulas (ES) Nr. 1025/2012 10. panta 1. punktu prasa vienai vai vairākām Eiropas standartizācijas organizācijām izstrādāt saskaņotu standartu projektu šīs regulas I pielikumā izklāstītajām kiberdrošības pamatprasībām. Sagatavojot standartizācijas pieprasījumus šīs regulas vajadzībām, Komisija cenšas ņemt vērā pastāvošos Eiropas un starptautiskos kiberdrošības standartus, kas jau ir ieviesti vai tiek izstrādāti, lai vienkāršotu saskaņoto standartu izstrādi, saskaņā ar Regulu (ES) Nr. 1025/2012.

2. Komisija var pieņemt īstenošanas aktus, ar kuriem nosaka kopīgās specifikācijas, kas aptver vajadzīgās tehniskās prasības, lai varētu ievērot I pielikumā noteiktās kiberdrošības pamatprasības attiecībā uz produktiem ar digitāliem elementiem, kas ietilpst šīs regulas darbības jomā.

Minētos īstenošanas aktus pieņem tikai tad, ja ir izpildīti šādi nosacījumi:

Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 62. panta 2. punktā.

3. Pirms šā panta 2. punktā minētā īstenošanas akta projekta sagatavošanas Komisija informē Regulas (ES) Nr. 1025/2012 22. pantā minēto komiteju, ka tā uzskata, ka šā panta 2. punkta nosacījumi ir izpildīti.

4. Sagatavojot 2. punktā minēto īstenošanas akta projektu, Komisija ņem vērā attiecīgo struktūru viedokli un pienācīgi apspriežas ar visām attiecīgajām ieinteresētajām personām.

5. Produktus ar digitāliem elementiem un ražotāja ieviestos procesus, kas atbilst kopīgajām specifikācijām, kuras ieviestas ar šā panta 2. punktā minētajiem īstenošanas aktiem, vai to daļām, uzskata par atbilstīgiem I pielikumā izklāstītajām kiberdrošības pamatprasībām, kas ietvertas minētajās kopīgajās specifikācijas vai to daļās.

6. Ja saskaņotais standarts ir pieņemts Eiropas standartizācijas organizācijā un Komisijai ir ierosināts atsauci uz attiecīgo standartu publicēt Eiropas Savienības Oficiālajā Vēstnesī, Komisija saskaņoto standartu izvērtē saskaņā ar Regulu (ES) Nr. 1025/2012. Pēc tam, kad atsauce uz saskaņoto standartu ir publicēta Eiropas Savienības Oficiālajā Vēstnesī, Komisija atceļ šā panta 2. punktā minētos īstenošanas aktus vai to daļas, kas attiecas uz tām pašām kiberdrošības pamatprasībām, kuras ietvertas attiecīgajā saskaņotajā standartā.

7. Ja kāda dalībvalsts uzskata, ka kopīgā specifikācija pilnībā neizpilda I pielikumā izklāstītās kiberdrošības pamatprasības, tā par to informē Komisiju un iesniedz detalizētu skaidrojumu. Komisija izvērtē detalizēto skaidrojumu un vajadzības gadījumā var grozīt īstenošanas aktu, ar ko nosaka attiecīgo kopīgo specifikāciju.

8. Produktus ar digitāliem elementiem un ražotāja ieviestos procesus, par kuriem ir izdots ES atbilstības apliecinājums vai sertifikāts atbilstīgi Eiropas kiberdrošības sertifikācijas shēmai, kas pieņemta, ievērojot Regulu (ES) 2019/881, uzskata par atbilstīgiem I pielikumā izklāstītajām kiberdrošības pamatprasībām, ciktāl ES atbilstības apliecinājums vai Eiropas kiberdrošības sertifikāts vai tā daļas attiecas uz minētajām prasībām.

9. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar šīs regulas 61. pantu, lai papildinātu šo regulu, precizējot Eiropas kiberdrošības sertifikācijas shēmas, kuras pieņemtas, ievērojot Regulu (ES) 2019/881, un kuras var izmantot, lai pierādītu produktu ar digitāliem elementiem atbilstību šīs regulas I pielikumā izklāstītajām kiberdrošības pamatprasībām vai to daļām. Turklāt Eiropas kiberdrošības sertifikāts, ja tas izdots saskaņā ar šādām shēmām, kuru apliecinājuma līmenis ir vismaz “būtisks”, atceļ ražotāja pienākumu īstenot trešās personas veiktu atbilstības novērtēšanu attiecīgajām prasībām, kā noteikts šīs regulas 32. panta 2. punkta a) un b) apakšpunktā un 32. panta 3. punkta a) un b) apakšpunktā.

ES atbilstības deklarācija

1. ES atbilstības deklarāciju sagatavo ražotāji saskaņā ar 13. panta 12. punktu, un tā norāda, ka ir pierādīta atbilstība piemērojamām I pielikumā izklāstītajām kiberdrošības pamatprasībām.

2. ES atbilstības deklarāciju veido pēc V pielikumā norādītās parauga struktūras, un tajā ir elementi, kas precizēti attiecīgajās atbilstības novērtēšanas procedūrās, kas izklāstītas VIII pielikumā. Šādu deklarāciju pēc vajadzības atjaunina. To dara pieejamu valodās, ko noteikusi dalībvalsts, kurā produkts ar digitāliem elementiem tiek laists tirgū vai ir darīts pieejams tirgū.

Šīs regulas 13. panta 20. punktā minētās vienkāršotās ES atbilstības deklarācijas struktūra atbilst VI pielikumā norādītajam paraugam. To dara pieejamu valodās, ko noteikusi dalībvalsts, kurā produkts ar digitāliem elementiem tiek laists tirgū vai ir darīts pieejams tirgū.

3. Ja uz produktu ar digitāliem elementiem attiecas vairāk nekā viens Savienības tiesību akts, kurš prasa ES atbilstības deklarāciju, tiek sagatavota vienota ES atbilstības deklarācija attiecībā uz visiem šādiem Savienības tiesību aktiem. Minētajā deklarācijā norāda attiecīgos Savienības tiesību aktus, kā arī atsauces uz to publicēšanu.

4. Sagatavojot ES atbilstības deklarāciju, ražotājs uzņemas atbildību par produkta ar digitāliem elementiem atbilstību.

5. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 61. pantu nolūkā papildināt šo regulu, pievienojot elementus V pielikumā sniegtās ES atbilstības deklarācijas minimālajam saturam, lai ņemtu vērā tehnoloģiju attīstību.

CE zīmes vispārējie principi

Uz CE zīmi attiecas Regulas (EK) Nr. 765/2008 30. pantā izklāstītie vispārējie principi.

CE zīmes uzlikšanas noteikumi un nosacījumi

1. CE zīmi produktam ar digitāliem elementiem uzliek tā, lai tā būtu redzama, salasāma un neizdzēšama. Ja produkta ar digitāliem elementiem īpatnību dēļ tas nav iespējams vai nodrošināms, zīmi uzliek uz iepakojuma un 28. pantā minētajā ES atbilstības deklarācijā, kas pievienota produktam ar digitāliem elementiem. Tādiem produktiem ar digitāliem elementiem, kas ir programmatūra, CE zīmi norāda vai nu 28. pantā minētajā ES atbilstības deklarācijā, vai attiecīgo programmatūras produktu papildinošajā tīmekļvietnē. Ja CE zīme tiek norādīta tīmekļvietnē, tās attiecīgā sadaļa ir viegli un tieši pieejama patērētājiem.

2. Ievērojot produkta ar digitāliem elementiem īpatnības, tādas CE zīmes augstums, ko uzliek produktam ar digitāliem elementiem, var būt mazāks par 5 mm, ja tas joprojām ir redzams un salasāms.

3. CE zīmi uzliek pirms produkta ar digitāliem elementiem laišanas tirgū. Aiz tās var ievietot piktogrammu vai jebkādu citu zīmi, kas norāda uz īpašu kiberdrošības risku vai lietojumu, kas noteikts 6. punktā minētajos īstenošanas aktos.

4. Aiz CE zīmes norāda paziņotās struktūras identifikācijas numuru, ja minētā struktūra ir iesaistīta 32. pantā minētajā atbilstības novērtēšanas procedūrā, kuras pamatā ir visaptveroša kvalitātes nodrošināšana (pamatojoties uz H moduli).

Paziņotās struktūras identifikācijas numuru uzliek pati struktūra vai pēc tās norādījumiem to uzliek ražotājs vai ražotāja pilnvarotais pārstāvis.

5. Dalībvalstis izmanto esošos mehānismus, lai nodrošinātu CE zīmes izmantošanas kārtības pareizu piemērošanu, un minētās zīmes neatbilstīgas izmantošanas gadījumā attiecīgi rīkojas. Ja produkts ar digitāliem elementiem ir reglamentēts ar Savienības saskaņošanas tiesību aktiem, kas nav šī regula un kas arī paredz CE zīmes uzlikšanu, CE zīme norāda uz to, ka šis produkts arī atbilst prasībām, kas noteiktas šādos citos Savienības saskaņošanas tiesību aktos.

6. Komisija ar īstenošanas aktiem var noteikt tehniskās specifikācijas marķējumam, piktogrammām vai citām zīmēm, kas saistītas ar produktu ar digitāliem elementiem drošību, kā arī var noteikt šādu produktu atbalsta periodus un mehānismus to lietošanas veicināšanai un sabiedrības labākai informēšanai par produktu ar digitāliem elementiem drošību. Sagatavojot īstenošanas aktu projektus, Komisija apspriežas ar attiecīgajām ieinteresētajām personām un gadījumā, ja īstenošanas akti jau ir pieņemti, ievērojot 52. panta 15. punktu, Komisija apspriežas ar ADCO. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 62. panta 2. punktā.

Tehniskā dokumentācija

1. Tehniskajā dokumentācijā ietver visus attiecīgos datus vai informāciju par līdzekļiem, ko ražotājs izmantojis, lai nodrošinātu, ka produkts ar digitāliem elementiem un ražotāja ieviestie procesi atbilst I pielikumā izklāstītajām kiberdrošības pamatprasībām. Tajā ir ietverti vismaz tie elementi, kas izklāstīti VII pielikumā.

2. Tehnisko dokumentāciju sagatavo pirms produkta ar digitāliem elementiem laišanas tirgū un vajadzības gadījumā pastāvīgi atjaunina vismaz atbalsta periodā.

3. Attiecībā uz 12. pantā minētajiem produktiem ar digitāliem elementiem, kam piemēro arī citus Savienības tiesību aktus, kuros izklāstīta tehniskā dokumentācija, sagatavo vienu vienotu tehnisko dokumentāciju, kurā tiek ietverta VII pielikumā minētā informācija un attiecīgajos Savienības tiesību aktos prasītā informācija.

4. Tehnisko dokumentāciju un korespondenci, kas attiecas uz jebkuru atbilstības novērtēšanas procedūru, sagatavo tās dalībvalsts oficiālajā valodā, kurā paziņotā struktūra ir iedibināta, vai citā šai struktūrai pieņemamā valodā.

5. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 61. pantu nolūkā papildināt šo regulu, pievienojot elementus, kas iekļaujami VII pielikumā izklāstītajā tehniskajā dokumentācijā, lai ņemtu vērā tehnoloģiju attīstību, kā arī šīs regulas īstenošanas procesā konstatētās attīstības norises. Šajā nolūkā Komisija cenšas nodrošināt, lai mikrouzņēmumiem un maziem un vidējiem uzņēmumiem radītais administratīvais slogs būtu samērīgs.

Atbilstības novērtēšanas procedūras attiecībā uz produktiem ar digitāliem elementiem

1. Ražotājs veic produkta ar digitāliem elementiem un ražotāja ieviesto procesu atbilstības novērtēšanu, lai noteiktu, vai ir izpildītas I pielikumā noteiktās kiberdrošības pamatprasības. Ražotājs pierāda atbilstību kiberdrošības pamatprasībām, izmantojot jebkuru no šādām procedūrām:

2. Ja, izvērtējot nozīmīga produkta ar digitāliem elementiem, kas ietilpst I klasē, kā noteikts III pielikumā, un tā ražotāja ieviesto procesu atbilstību I pielikumā izklāstītajām kiberdrošības pamatprasībām, ražotājs nav piemērojis vai ir tikai daļēji piemērojis 27. pantā minētos saskaņotos standartus, kopīgās specifikācijas vai Eiropas kiberdrošības sertifikācijas shēmas, kuru apliecinājuma līmenis ir vismaz “būtisks”, vai ja šādu saskaņotu standartu, kopīgu specifikāciju vai Eiropas kiberdrošības sertifikācijas shēmu nav, attiecīgajam produktam ar digitāliem elementiem un ražotāja ieviestajiem procesiem attiecībā uz minētajām kiberdrošības pamatprasībām paredz jebkuru no šādām procedūrām:

3. Ja produkts ir nozīmīgs produkts ar digitāliem elementiem, kas ietilpst II klasē, kā noteikts III pielikumā, ražotājs pierāda atbilstību I pielikumā izklāstītajām kiberdrošības pamatprasībām, izmantojot jebkuru no šādām procedūrām:

4. IV pielikumā uzskaitīto kritiski svarīgo produktu ar digitāliem elementiem atbilstību I pielikumā izklāstītajām kiberdrošības pamatprasībām pierāda, izmantojot vienu no šādām procedūrām:

5. Tādu produktu ar digitāliem elementiem ražotāji, kas uzskatāmi par brīvi pieejamu un atvērtā pirmkoda programmatūru, kura ietilpst III pielikumā minētajās kategorijās, atbilstību I pielikumā izklāstītajām kiberdrošības pamatprasībām pierāda, izmantojot vienu no šā panta 1. punktā minētajām procedūrām, ar noteikumu, ka brīdī, kad šie produkti tiek laisti tirgū, 31. pantā minētā tehniskā dokumentācija ir publiski pieejama.

6. Nosakot maksas par atbilstības novērtēšanas procedūrām, ņem vērā mikrouzņēmumu un mazo un vidējo uzņēmumu, tostarp jaunuzņēmumu, specifiskās intereses un vajadzības un šīs maksas samazina proporcionāli minēto uzņēmumu specifiskajām interesēm un vajadzībām.

Atbalsta pasākumi mikrouzņēmumiem un maziem un vidējiem uzņēmumiem, tostarp jaunuzņēmumiem

1. Dalībvalstis vajadzības gadījumā veic šādas darbības, kas ir pielāgotas mikrouzņēmumu un mazo uzņēmumu vajadzībām:

2. Dalībvalstis vajadzības gadījumā var izveidot kibernoturības “regulatīvās smilškastes”. Šādas “regulatīvās smilškastes” nodrošina kontrolētu testēšanas vidi inovatīviem produktiem ar digitāliem elementiem, lai atvieglotu šādu produktu izstrādi, projektēšanu, validēšanu un testēšanu un ierobežotā termiņā pirms to laišanas tirgū nodrošinātu atbilstību šai regulai. Komisija un attiecīgā gadījumā ENISA var sniegt tehnisko atbalstu, konsultācijas un rīkus “regulatīvo smilškastu” izveidei un darbībai. “Regulatīvās smilškastes” izveido tirgus uzraudzības iestāžu tiešā uzraudzībā, tiešā vadībā un ar šo iestāžu atbalstu. Dalībvalstis ar ADCO starpniecību informē Komisiju un pārējās tirgus uzraudzības iestādes par “regulatīvās smilškastes” izveidi. “Regulatīvās smilškastes” neietekmē kompetento iestāžu uzraudzības un korektīvās pilnvaras. Dalībvalstis nodrošina atvērtu, taisnīgu un pārredzamu piekļuvi “regulatīvajām smilškastēm” un jo īpaši veicina mikrouzņēmumu un mazo uzņēmumu, tostarp jaunuzņēmumu, piekļuvi tām.

3. Komisija saskaņā ar 26. pantu sniedz norādījumus mikrouzņēmumiem un maziem un vidējiem uzņēmumiem par šīs regulas īstenošanu.

4. Komisija esošo Savienības programmu tiesiskajā regulējumā cenšas nodrošināt finansiālā atbalsta pieejamību, jo īpaši nolūkā atvieglot mikrouzņēmumiem un maziem un vidējiem uzņēmumiem radīto finansiālo slogu.

5. Mikrouzņēmumi un mazie uzņēmumi visus VII pielikumā norādītās tehniskās dokumentācijas elementus var iesniegt vienkāršotā formātā. Šajā nolūkā Komisija ar īstenošanas aktiem precizē vienkāršoto tehniskās dokumentācijas formātu, kas pielāgots mikrouzņēmumu un mazo uzņēmumu vajadzībām, tostarp izklāsta, kā iesniedzami VII pielikumā norādītie elementi. Ja mikrouzņēmums vai mazais uzņēmums VII pielikumā noteikto informāciju izvēlas sniegt vienkāršotā veidā, tas izmanto šajā punktā minēto formātu. Paziņotās struktūras pieņem, ka minētais formāts ir derīgs atbilstības novērtēšanas vajadzībām.

Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 62. panta 2. punktā.

Savstarpējās atzīšanas nolīgumi

Ņemot vērā trešās valsts tehniskās attīstības līmeni un pieeju atbilstības novērtēšanai, Savienība saskaņā ar LESD 218. pantu var noslēgt savstarpējās atzīšanas nolīgumus ar trešām valstīm, lai veicinātu un atvieglotu starptautisko tirdzniecību.

Paziņošana

1. Dalībvalstis Komisijai un pārējām dalībvalstīm paziņo struktūras, kas ir pilnvarotas veikt atbilstības novērtēšanu saskaņā ar šo regulu.

2. Dalībvalstis līdz 2026. gada 11. decembrim cenšas nodrošināt, ka Savienībā ir pietiekams skaits paziņoto struktūru atbilstības novērtējumu veikšanai, lai izvairītos no šķēršļiem un traucējumiem ienākšanai tirgū.

Paziņojošās iestādes

1. Katra dalībvalsts nozīmē paziņojošo iestādi, kuras pienākums ir noteikt un veikt procedūras, kas nepieciešamas, lai novērtētu, izraudzītu un paziņotu atbilstības novērtēšanas struktūras un pārraudzītu tās, tostarp izpildīt 41. panta prasības.

2. Dalībvalstis var nolemt, ka 1. punktā minēto novērtēšanu un pārraudzību veic kāda valsts akreditācijas struktūra Regulas (EK) Nr. 765/2008 nozīmē un saskaņā ar to.

3. Ja šā panta 1. punktā minēto novērtēšanu, paziņošanu vai pārraudzību paziņojošā iestāde deleģē vai kā citādi uztic struktūrai, kas nav valdības vienība, attiecīgā struktūra ir tiesību subjekts un mutatis mutandis ievēro 37. pantu. Turklāt tā ir ieviesusi nepieciešamos pasākumus, lai pildītu saistības, kas izriet no tās darbībām.

4. Paziņojošā iestāde uzņemas pilnu atbildību par 3. punktā minētās struktūras veiktajiem uzdevumiem.

Prasības paziņojošajām iestādēm

1. Paziņojošo iestādi izveido tā, lai nebūtu interešu konfliktu ar atbilstības novērtēšanas struktūrām.

2. Paziņojošā iestāde ir organizēta un darbojas tā, lai nodrošinātu tās darbības objektivitāti un taisnīgumu.

3. Paziņojošā iestāde ir organizēta tā, lai visus lēmumus par atbilstības novērtēšanas struktūras paziņošanu pieņemtu kompetentas personas, kas nav tās pašas personas, kuras veikušas novērtēšanu.

4. Paziņojošā iestāde nepiedāvā vai neveic darbības, ko veic atbilstības novērtēšanas struktūras, un nesniedz konsultāciju pakalpojumus komerciālā vai konkurences nolūkā.

5. Paziņojošā iestāde nodrošina iegūtās informācijas konfidencialitāti.

6. Paziņojošās iestādes rīcībā ir pietiekams skaits kompetentu darbinieku tās uzdevumu pienācīgai veikšanai.

Paziņojošo iestāžu pienākums informēt

1. Dalībvalstis informē Komisiju par atbilstības novērtēšanas struktūru novērtēšanas un paziņošanas procedūrām un paziņoto struktūru uzraudzības procedūrām, kā arī par visām izmaiņām šajā informācijā.

2. Komisija 1. punktā minēto informāciju dara publiski pieejamu.

Prasības paziņotajām struktūrām

1. Paziņošanas nolūkos atbilstības novērtēšanas struktūra atbilst 2. līdz 12. punkta prasībām.

2. Atbilstības novērtēšanas struktūru izveido saskaņā ar valsts tiesību aktiem, un tā ir juridiska persona.

3. Atbilstības novērtēšanas struktūra ir trešā persona, kas ir neatkarīga no organizācijas vai produkta ar digitāliem elementiem, ko tā novērtē.

Struktūra, kas pieder uzņēmumu apvienībai vai profesionālajai federācijai, kura pārstāv uzņēmumus, kas iesaistīti novērtējamo produktu ar digitāliem elementiem projektēšanā, izstrādē, ražošanā, piegādē, uzstādīšanā, lietošanā vai uzturēšanā, ar nosacījumu, ka ir pierādīta tās neatkarība un interešu konflikta neesamība, tiek uzskatīta par šādu trešo personu

4. Atbilstības novērtēšanas struktūra, tās augstākā vadība un darbinieki, kas ir atbildīgi par atbilstības novērtēšanas uzdevumu veikšanu, nav vērtējamo produktu ar digitāliem elementiem projektētāji, izstrādātāji, ražotāji, piegādātāji, importētāji, izplatītāji, instalētāji, pircēji, īpašnieki, lietotāji vai uzturētāji, ne arī to pilnvaroti pārstāvji. Tas neliedz izmantot novērtētos produktus, kas ir vajadzīgi atbilstības novērtēšanas struktūras darbībai, vai izmantot šādus produktus personiskiem mērķiem.

Atbilstības novērtēšanas struktūra, tās augstākā vadība un darbinieki, kas ir atbildīgi par atbilstības novērtēšanas uzdevumu veikšanu, nav tieši saistīti ar produktu ar digitāliem elementiem, ko tie novērtē, projektēšanu, izstrādi, ražošanu, importu, izplatīšanu, tirdzniecību, instalēšanu, lietošanu vai uzturēšanu un nepārstāv šajās darbībās iesaistītās personas. Tā neiesaistās darbībās, kas var būt pretrunā viņu lēmuma neatkarībai vai integritātei attiecībā uz tām novērtēšanas darbībām, kuru dēļ tā ir paziņotā struktūra. Tas jo īpaši attiecas uz konsultāciju pakalpojumiem.

Atbilstības novērtēšanas struktūras nodrošina, lai to meitasuzņēmumu vai apakšlīgumu slēdzēju darbības neietekmētu atbilstības novērtēšanas darbību konfidencialitāti, objektivitāti vai taisnīgumu.

5. Atbilstības novērtēšanas struktūras un to darbinieki veic atbilstības novērtēšanas darbības ar visaugstāko profesionālo godprātību un vajadzīgo tehnisko kompetenci konkrētajā jomā bez spiediena un pamudinājumiem, arī finansiāliem, kas varētu ietekmēt viņu lēmumu vai atbilstības novērtēšanas darbību rezultātus, īpaši attiecībā uz personām vai personu grupām, kuras ir ieinteresētas šo darbību rezultātos.

6. Atbilstības novērtēšanas struktūra ir spējīga veikt visus atbilstības novērtēšanas uzdevumus, kuri minēti VIII pielikumā un kuru dēļ tā ir paziņotā struktūra, neatkarīgi no tā, vai šos uzdevumus veic pati atbilstības novērtēšanas struktūra vai tie tiek veikti tās vārdā un uz tās atbildību.

Atbilstības novērtēšanas struktūrai vienmēr un par visām atbilstības novērtēšanas procedūrām un produktu ar digitāliem elementiem veidiem un kategorijām, saistībā ar ko tā ir paziņotā struktūra, ir vajadzīgie:

Atbilstības novērtēšanas struktūrai ir nepieciešamie līdzekļi, lai pienācīgi veiktu tehniskos un administratīvos uzdevumus saistībā ar atbilstības novērtēšanas darbībām, un ir piekļuve visam nepieciešamajam aprīkojumam un iekārtām.

7. Personālam, kas atbildīgs par atbilstības novērtēšanas darbību veikšanu, ir:

8. Tiek garantēta atbilstības novērtēšanas struktūru, tās augstākā līmeņa vadības un personāla, kas veic novērtēšanu, objektivitāte.

Atalgojums, ko saņem atbilstības novērtēšanas struktūras augstākā līmeņa vadība un personāls, kas veic novērtēšanu, nav atkarīgs no veikto novērtējumu skaita vai to rezultātiem.

9. Atbilstības novērtēšanas struktūrām ir apdrošināta civiltiesiskā atbildība, ja vien atbildību neuzņemas attiecīgo struktūru dalībvalsts saskaņā ar valsts tiesību aktiem vai ja dalībvalsts pati nav tieši atbildīga par atbilstības novērtēšanu.

10. Atbilstības novērtēšanas struktūras personāls glabā dienesta noslēpumus attiecībā uz visu informāciju, kas iegūta, veicot pienākumus, uz kuriem attiecas VIII pielikums vai valstu tiesību aktu noteikumi, kas to īsteno, izņemot attiecībā uz tās dalībvalsts tirgus uzraudzības iestādēm, kurā darbības tiek veiktas. Īpašumtiesības ir aizsargātas. Atbilstības novērtēšanas struktūrai ir dokumentētas procedūras, kas nodrošina atbilstību šim punktam.

11. Atbilstības novērtēšanas struktūras nodrošina, ka personāls, kas ir atbildīgs par atbilstības novērtēšanas uzdevumu veikšanu, ir informēts par attiecīgajām standartizācijas darbībām un saskaņā ar 51. pantu izveidotās paziņoto struktūru koordinācijas grupas darbībām, vai pašas piedalās šo darbību veikšanā un piemēro kā pamatnostādnes šīs darba grupas administratīvos lēmumus un sagatavotos dokumentus.

12. Atbilstības novērtēšanas struktūras darbojas saskaņā ar konsekventiem, taisnīgiem, samērīgiem un saprātīgiem noteikumiem, vienlaikus izvairoties no nevajadzīga sloga radīšanas uzņēmējiem, un attiecībā uz maksām jo īpaši ņem vērā mikrouzņēmumu un mazo un vidējo uzņēmumu intereses.

Pieņēmums par paziņoto struktūru atbilstību

Ja atbilstības novērtēšanas struktūra pierāda savu atbilstību kritērijiem, kas noteikti attiecīgajos saskaņotajos standartos vai to daļās, uz kuriem atsauces publicētas Eiropas Savienības Oficiālajā Vēstnesī, to uzskata par atbilstīgu 39. panta prasībām, ciktāl piemērojamie saskaņotie standarti attiecas uz minētajām prasībām.

Paziņoto struktūru meitasuzņēmumi un apakšlīgumu slēgšana

1. Ja paziņotā struktūra slēdz apakšlīgumus par konkrētu uzdevumu veikšanu saistībā ar atbilstības novērtēšanu vai izmanto meitasuzņēmumu, tā pārliecinās, ka apakšuzņēmējs vai meitasuzņēmums atbilst 39. panta prasībām, un attiecīgi informē paziņojošo iestādi.

2. Paziņotās struktūras uzņemas pilnu atbildību par apakšuzņēmēju vai meitasuzņēmumu veiktajiem uzdevumiem neatkarīgi no tā, kur tie iedibināti.

3. Par darbībām var slēgt apakšlīgumu vai tās var veikt meitasuzņēmums tikai tad, ja ražotājs tam piekrīt.

4. Paziņotās struktūras glabā paziņojošajai iestādei pieejamus attiecīgos dokumentus par apakšuzņēmēja vai meitasuzņēmuma kvalifikāciju novērtēšanu un to veikto darbu saskaņā ar šo regulu.

Paziņošanas pieteikums

1. Atbilstības novērtēšanas struktūra iesniedz paziņošanas pieteikumu tās dalībvalsts paziņojošajai iestādei, kur tā veic darbību.

2. Minētajam pieteikumam pievieno aprakstu par atbilstības izvērtēšanas darbībām, atbilstības izvērtēšanas procedūru vai procedūrām un produktu vai produktiem ar digitāliem elementiem, attiecībā uz kuriem struktūra sevi piesaka par kompetentu, kā arī attiecīgā gadījumā akreditācijas sertifikātu, ja tāds ir, ko izsniegusi valsts akreditācijas struktūra, apliecinot, ka atbilstības izvērtēšanas struktūra atbilst 39. panta prasībām.

3. Ja attiecīgajai atbilstības novērtēšanas struktūrai nav akreditācijas sertifikāta, tā paziņojošajai iestādei iesniedz visus dokumentāros pierādījumus, kas nepieciešami, lai verificētu, atzītu un regulāri uzraudzītu tās atbilstību 39. panta prasībām

Paziņošanas procedūra

1. Paziņojošās iestādes paziņo tikai tās atbilstības novērtēšanas struktūras, kas atbilst 39. pantā noteiktajām prasībām.

2. Paziņojošā iestāde Komisiju un pārējās dalībvalstis informē, izmantojot atbilstīgi jaunajai pieejai paziņoto un izraudzīto organizāciju informācijas sistēmu, ko ir izveidojusi un pārvalda Komisija.

3. Paziņojumā iekļauj sīku informāciju par atbilstības novērtēšanas darbībām, atbilstības novērtēšanas moduli vai moduļiem, attiecīgo produktu vai produktiem ar digitāliem elementiem un attiecīgo kompetences apliecinājumu.

4. Ja paziņošana ir veikta, neizmantojot 42. panta 2. punktā minēto akreditācijas sertifikātu, paziņojošā iestāde iesniedz Komisijai un pārējām dalībvalstīm dokumentārus pierādījumus, kuri apliecina atbilstības novērtēšanas struktūras kompetenci un veiktos pasākumus, ar ko nodrošina, ka minētā struktūra tiek regulāri uzraudzīta un ka tā joprojām atbilst 39. panta prasībām.

5. Attiecīgā struktūra drīkst veikt paziņotās struktūras darbības tikai tad, ja divu nedēļu laikā pēc paziņošanas Komisija vai pārējās dalībvalstis nav izteikušas iebildumus, ja tiek izmantots akreditācijas sertifikāts vai ja divu mēnešu laikā no paziņošanas nav izmantota akreditācijas procedūra.

Šajā regulā tikai šādu struktūru uzskata par paziņoto struktūru.

6. Komisijai un pārējām dalībvalstīm paziņo par attiecīgām turpmākām izmaiņām paziņojumā.

Paziņoto struktūru identifikācijas numuri un saraksti

1. Komisija paziņotajai struktūrai piešķir identifikācijas numuru.

Tā piešķir tikai vienu šādu numuru arī tad, ja struktūra ir paziņota atbilstīgi vairākiem Savienības tiesību aktiem.

2. Komisija dara publiski pieejamu to struktūru sarakstu, kas paziņotas saskaņā ar šo regulu, ieskaitot tām piešķirtos identifikācijas numurus un darbības, kuru dēļ tās ir paziņotās struktūras.

Komisija nodrošina minētā saraksta atjaunināšanu.

Izmaiņas paziņojumos

1. Ja paziņojošā iestāde ir noskaidrojusi vai tikusi informēta par to, ka paziņotā struktūra vairs neatbilst 39. panta prasībām vai nepilda savus pienākumus, vajadzības gadījumā paziņojošā iestāde attiecīgi ierobežo, aptur vai atsauc paziņojumu atkarībā no tā, kādā ziņā attiecīgā struktūra nav spējusi nodrošināt atbilstību minētajām prasībām vai pildīt minētos pienākumus. Tā nekavējoties par to attiecīgi informē Komisiju un pārējās dalībvalstis.

2. Ja paziņojums ir ierobežots, apturēts vai anulēts vai ja paziņotā struktūra ir beigusi darbību, paziņojošā dalībvalsts veic atbilstīgus pasākumus, lai nodrošinātu, ka minētās struktūras dokumentus vai nu apstrādā cita paziņotā struktūra, vai arī tie pēc pieprasījuma ir pieejami atbildīgajām paziņojošajām un tirgus uzraudzības iestādēm.

Paziņoto struktūru kompetences apšaubīšana

1. Komisija izmeklē visus gadījumus, kad tai ir radušās šaubas vai kad tai ir ziņots par šaubām attiecībā uz kādas paziņotās struktūras kompetenci vai tās spēju joprojām pildīt tai piemērojamās prasības un pienākumus.

2. Paziņotāja dalībvalsts pēc pieprasījuma sniedz Komisijai visu informāciju saistībā ar attiecīgās struktūras paziņošanas pamatojumu vai tās kompetences saglabāšanu.

3. Komisija nodrošina, lai visa sensitīvā informācija, kas saņemta izmeklēšanas gaitā, tiktu apstrādāta kā konfidenciāla informācija.

4. Ja Komisija noskaidro, ka paziņotā struktūra neatbilst vai vairs neatbilst paziņošanas prasībām, tā par to informē paziņotāju dalībvalsti un lūdz tai veikt nepieciešamos korektīvos pasākumus, ieskaitot – vajadzības gadījumā – paziņojuma atsaukšanu.

Paziņoto struktūru darba pienākumi

1. Paziņotās struktūras veic atbilstības novērtēšanu saskaņā ar 32. pantā un VIII pielikumā paredzētajām atbilstības novērtēšanas procedūrām.

2. Atbilstības novērtēšanu veic samērīgi, neradot lieku slogu uzņēmējiem. Atbilstības novērtēšanas struktūras īsteno savu darbību, pienācīgi ņemot vērā uzņēmuma lielumu, jo īpaši attiecībā uz mikrouzņēmumiem un maziem un vidējiem uzņēmumiem, nozari, kurā tie darbojas, to struktūru, to sarežģītības pakāpi, attiecīgo produktu ar digitāliem elementiem kiberdrošības riska līmeni un attiecīgo tehnoloģiju, kā arī to, vai ražošanas process ir masveidīgs vai sērijveida.

3. Paziņotās struktūras tomēr ievēro tādu stingrību un aizsardzības līmeni, kāds vajadzīgs, lai produkti ar digitāliem elementiem atbilstu šai regulai.

4. Ja paziņotā struktūra konstatē, ka ražotājs nav izpildījis I pielikumā vai atbilstīgajos saskaņotajos standartos, vai 27. pantā minētajās kopīgajās specifikācijās noteiktās prasības, tā pieprasa, lai ražotājs veiktu attiecīgus korektīvos pasākumus, un neizdod atbilstības sertifikātu.

5. Ja, uzraugot atbilstību pēc sertifikāta izdošanas, paziņotā struktūra atklāj, ka kāds produkts ar digitāliem elementiem vairs nav atbilstīgs šajā regulā noteiktajām prasībām, tā pieprasa, lai ražotājs veiktu attiecīgus korektīvos pasākumus, un vajadzības gadījumā sertifikātu aptur vai atsauc.

6. Ja korektīvie pasākumi netiek veikti vai tie nedod vēlamo rezultātu, paziņotā struktūra attiecīgos sertifikātus attiecīgi ierobežo, aptur vai atsauc.

Paziņoto struktūru lēmumu apstrīdēšana

Dalībvalstis nodrošina, ka ir pieejama paziņoto struktūru lēmumu apstrīdēšanas procedūra.

Paziņoto struktūru pienākums informēt

1. Paziņotās struktūras informē paziņojošo iestādi par:

2. Paziņotās struktūras pārējām struktūrām, kas paziņotas atbilstīgi šai regulai un kas veic līdzīgas atbilstības novērtēšanas darbības, kuras attiecas uz tiem pašiem produktiem ar digitāliem elementiem, sniedz attiecīgu informāciju par jautājumiem saistībā ar negatīviem un, pēc pieprasījuma, arī pozitīviem atbilstības novērtēšanas rezultātiem.

Pieredzes apmaiņa

Komisija gādā, lai starp dalībvalstu iestādēm, kas ir atbildīgas par paziņošanas politiku, tiktu organizēta pieredzes apmaiņa.

Paziņoto struktūru koordinācija

1. Komisija nodrošina to, lai starp paziņotajām struktūrām tiktu izveidota attiecīga koordinācija un sadarbība un lai tā tiktu pienācīgi īstenota paziņoto struktūru starpnozaru grupas veidā.

2. Dalībvalstis nodrošina, lai to paziņotās struktūras tieši vai ar ieceltu pārstāvju palīdzību piedalītos minētās grupas darbā.

Tirgus uzraudzība un produktu ar digitāliem elementiem kontrole Savienības tirgū

1. Produktiem ar digitāliem elementiem, kas ietilpst šīs regulas darbības jomā, piemēro Regulu (ES) 2019/1020.

2. Katra dalībvalsts izraugās vienu vai vairākas tirgus uzraudzības iestādes, lai nodrošinātu šīs regulas efektīvu īstenošanu. Dalībvalstis var izraudzīties esošu vai jaunu iestādi, lai tā darbotos kā tirgus uzraudzības iestāde saistībā ar šo regulu.

3. Tirgus uzraudzības iestādes, kas izraudzītas saskaņā ar šā panta 2. punktu, ir atbildīgas arī par tirgus uzraudzības darbību veikšanu saistībā ar 24. pantā noteiktajiem atvērtā pirmkoda programmatūras pārziņu pienākumiem. Ja tirgus uzraudzības iestāde konstatē, ka atvērtā pirmkoda programmatūras pārzinis nepilda minētajā pantā noteiktos pienākumus, tā pieprasa atvērtā pirmkoda programmatūras pārzinim nodrošināt, ka tiek veikti visi vajadzīgie korektīvie pasākumi. Atklātā pirmkoda programmatūras pārziņi nodrošina, ka tiek veikti visi vajadzīgie korektīvie pasākumi attiecībā uz pienākumiem, kas tiem noteikti šajā regulā.

4. Attiecīgā gadījumā tirgus uzraudzības iestādes sadarbojas ar valsts kiberdrošības sertifikācijas iestādēm, kas izraudzītas, ievērojot Regulas (ES) 2019/881 58. pantu, kā arī regulāri apmainās ar informāciju. Izraudzītās tirgus uzraudzības iestādes attiecībā uz šīs regulas 14. pantā noteikto ziņošanas pienākumu īstenošanas uzraudzību sadarbojas un veic regulāru informācijas apmaiņu ar CSIRT, kas izraudzītas par koordinatoriem, un ar ENISA.

5. Tirgus uzraudzības iestādes var pieprasīt par koordinatoru izraudzītajai CSIRT vai ENISA sniegt tehniskas konsultācijas jautājumos, kuri saistīti ar šīs regulas īstenošanu un izpildi. Veicot izmeklēšanu saskaņā ar 54. pantu, tirgus uzraudzības iestādes var pieprasīt par koordinatoru izraudzītajai CSIRT vai ENISA sniegt analīzi, kas palīdz sagatavot produktu ar digitāliem elementiem atbilstības novērtējumus.

6. Vajadzības gadījumā tirgus uzraudzības iestādes sadarbojas ar citām tirgus uzraudzības iestādēm, kas izraudzītas, pamatojoties uz Savienības saskaņošanas tiesību aktiem, kas nav šī regula, kā arī regulāri apmainās ar informāciju.

7. Tirgus uzraudzības iestādes attiecīgā gadījumā sadarbojas ar iestādēm, kas uzrauga Savienības datu aizsardzības tiesību aktus. Šāda sadarbība ietver minēto iestāžu informēšanu par visiem konstatējumiem, kas ir būtiski to kompetences īstenošanai, tostarp, kad tiek sniegti norādījumi un padomi, ievērojot šā panta 10. punktu, ja šādi norādījumi un padomi attiecas uz personas datu apstrādi.

Iestādes, kas uzrauga Savienības datu aizsardzības tiesību aktus, ir pilnvarotas pieprasīt dokumentāciju, kas izveidota vai tiek uzturēta saskaņā ar šo regulu, un tai piekļūt, ja piekļuve minētajai dokumentācijai ir nepieciešama to uzdevumu izpildei. Tās informē attiecīgās dalībvalsts izraudzītās tirgus uzraudzības iestādes par jebkuru šādu pieprasījumu.

8. Dalībvalstis nodrošina, ka izraudzītajām tirgus uzraudzības iestādēm tiek sniegti atbilstoši finanšu resursi un tehniskie resursi, tostarp vajadzības gadījumā automatizētas apstrādes rīki, kā arī cilvēkresursi ar nepieciešamajām kiberdrošības prasmēm, lai tās varētu pildīt uzdevumus, kas tām noteikti šajā regulā.

9. Komisija mudina apmainīties ar pieredzi un veicina pieredzes apmaiņu starp izraudzītajām tirgus uzraudzības iestādēm.

10. Tirgus uzraudzības iestādes ar Komisijas un vajadzības gadījumā ar CSIRT un ENISA atbalstu var sniegt uzņēmējiem norādījumus un padomus par šīs regulas īstenošanu.

11. Tirgus uzraudzības iestādes saskaņā ar Regulas (ES) 2019/1020 11. pantu sniedz patērētājiem informāciju par to, kur iesniegt sūdzības par iespējamu neatbilstību šai regulai, un par to, kur un kā piekļūt mehānismiem, kas atvieglotu ziņošanu par ievainojamībām, incidentiem un kiberdraudiem, kuri var ietekmēt produktus ar digitāliem elementiem.

12. Tirgus uzraudzības iestādes attiecīgā gadījumā veicina sadarbību ar ieinteresētajam personām, tostarp zinātnes, pētniecības un patērētāju organizācijām.

13. Tirgus uzraudzības iestādes katru gadu ziņo Komisijai par attiecīgo tirgus uzraudzības darbību rezultātiem. Izraudzītās tirgus uzraudzības iestādes nekavējoties ziņo Komisijai un attiecīgajām valsts konkurences iestādēm par visu tirgus uzraudzības darbībās identificēto informāciju, kas varētu tās interesēt Savienības konkurences tiesību normu piemērošanā.

14. Produktiem ar digitāliem elementiem, kas ietilpst šīs regulas darbības jomā un ir klasificēti kā augsta riska MI sistēmas, ievērojot Regulas (ES) 2024/1689 6. pantu, tirgus uzraudzības iestādes, kas izraudzītas minētās regulas vajadzībām, ir iestādes, kas atbild par šajā regulā noteiktajām tirgus uzraudzības darbībām. Atbilstīgi Regulai (ES) 2024/1689 izraudzītās tirgus uzraudzības iestādes attiecīgā gadījumā sadarbojas ar atbilstīgi šai regulai izraudzītajām tirgus uzraudzības iestādēm un – attiecībā uz šīs regulas 14. pantā noteikto ziņošanas pienākumu īstenošanas uzraudzību – ar CSIRT, kas izraudzītas par koordinatoriem, un ENISA. Tirgus uzraudzības iestādes, kas izraudzītas, ievērojot Regulu (ES) 2024/1689, jo īpaši informē tirgus uzraudzības iestādes, kas izraudzītas saskaņā ar šo regulu, par visiem konstatējumiem, kas ir būtiski to uzdevumu izpildei, kas tām noteikti saistībā ar šīs regulas īstenošanu.

15. Šīs regulas vienotai piemērošanai izveido ADCO, ievērojot Regulas (ES) 2019/1020 30. panta 2. punktu. ADCO sastāvā ir izraudzīto tirgus uzraudzības iestāžu pārstāvji un attiecīgā gadījumā arī vienoto sadarbības biroju pārstāvji. ADCO risina arī konkrētus jautājumus, kas attiecas uz tirgus uzraudzības darbībām, kuras ir saistītas ar atvērtā pirmkoda programmatūras pārziņiem uzticētajiem pienākumiem.

16. Tirgus uzraudzības iestādes uzrauga, kā ražotāji, nosakot atbalsta periodu saviem produktiem ar digitāliem elementiem, ir piemērojuši 13. panta 8. punktā minētos kritērijus.

ADCO publiski pieejamā un lietotājdraudzīgā veidā publicē attiecīgu statistiku par produktu ar digitāliem elementiem kategorijām, tostarp vidējos atbalsta periodus, ko ražotājs noteicis, ievērojot 13. panta 8. punktu, kā arī sniedz norādījumus, kas ietver indikatīvus atbalsta periodus produktu ar digitāliem elementiem kategorijām.

Ja dati liecina, ka konkrētām produktu ar digitāliem elementiem kategorijām atbalsta periodi nav pietiekami, ADCO var izdot ieteikumus tirgus uzraudzības iestādēm, lai tās rūpīgāk pievērstos attiecīgajām produktu ar digitāliem elementiem kategorijām.

Piekļuve datiem un dokumentācijai

Ja tas nepieciešams, lai novērtētu produktu ar digitāliem elementiem un to ražotāju ieviesto procesu atbilstību I pielikumā izklāstītajām kiberdrošības pamatprasībām, tirgus uzraudzības iestādēm pēc pamatota pieprasījuma un tām viegli saprotamā valodā piešķir piekļuvi šādu produktu projektēšanas, izstrādes, ražošanas un ievainojamību novēršanas izvērtēšanai vajadzīgajiem datiem, ieskaitot attiecīgā uzņēmēja saistīto iekšējo dokumentāciju.

Valsts līmeņa procedūra attiecībā uz produktiem ar digitāliem elementiem, kas rada būtisku kiberdrošības risku

1. Ja dalībvalsts tirgus uzraudzības iestādei ir pietiekams iemesls uzskatīt, ka produkts ar digitāliem elementiem, ieskaitot ievainojamību novēršanu, rada būtisku kiberdrošības risku, tā, lieki nekavējoties un vajadzības gadījumā sadarbojoties ar attiecīgo CSIRT, veic attiecīgā produkta ar digitāliem elementiem izvērtēšanu attiecībā uz tā atbilstību visām šajā regulā noteiktajām prasībām. Attiecīgie uzņēmēji pēc vajadzības sadarbojas ar tirgus uzraudzības iestādi.

Ja izvērtēšanā tirgus uzraudzības iestāde konstatē, ka produkts ar digitāliem elementiem neatbilst šajā regulā noteiktajām prasībām, tā nekavējoties pieprasa attiecīgajam uzņēmējam veikt visus attiecīgos korektīvos pasākumus, kas vajadzīgi, lai panāktu šā produkta ar digitāliem elementiem atbilstību vai lai samērīgi kiberdrošības riskam to izņemtu no tirgus vai atsauktu tirgus uzraudzības iestādes noteiktā pienācīgā termiņā.

Tirgus uzraudzības iestāde attiecīgi informē attiecīgo paziņoto struktūru. Korektīvajiem pasākumiem piemēro Regulas (ES) 2019/1020 18. pantu.

2. Nosakot šā panta 1. punktā minētā kiberdrošības riska nozīmīgumu, tirgus uzraudzības iestādes ņem vērā arī netehniskos riska faktorus, jo īpaši tos, kas identificēti, saskaņā ar Direktīvas (ES) 2022/2555 22. pantu veicot kritisko piegādes ķēžu koordinēto drošības riska novērtējumus. Ja tirgus uzraudzības iestādei ir pamatots iemesls uzskatīt, ka, ņemot vērā netehniskos riska faktorus, produkts ar digitāliem elementiem rada būtisku kiberdrošības risku, tā informē saskaņā ar Direktīvas (ES) 2022/2555 8. pantu izraudzītās vai izveidotās kompetentās iestādes un pēc vajadzības sadarbojas ar šīm iestādēm.

3. Ja tirgus uzraudzības iestāde uzskata, ka neatbilstība ir vērojama ne tikai tās valsts teritorijā, tā informē Komisiju un pārējās dalībvalstis par izvērtēšanas rezultātiem un par pasākumiem, ko tā pieprasījusi veikt uzņēmējam.

4. Uzņēmējs nodrošina, ka visi piemērotie korektīvie pasākumi tiek veikti attiecībā uz visiem attiecīgajiem produktiem ar digitāliem elementiem, ko tas darījis pieejamus tirgū visā Savienībā.

5. Ja uzņēmējs neveic pienācīgus korektīvus pasākumus 1. punkta otrajā daļā noteiktajā termiņā, tirgus uzraudzības iestāde veic visus vajadzīgos pagaidu pasākumus, lai aizliegtu vai ierobežotu to, ka minētais produkts ar digitāliem elementiem tiek darīts pieejams tās valsts tirgū, izņemtu to no minētā tirgus vai atsauktu to.

Par šiem pasākumiem šī iestāde nekavējoties paziņo Komisijai un pārējām dalībvalstīm.

6. Šā panta 5. punktā minētajā informācijā ietver visas pieejamās ziņas, jo īpaši datus neatbilstīgā produkta ar digitāliem elementiem identificēšanai, datus par attiecīgā produkta ar digitāliem elementiem izcelsmi, attiecīgo neatbilstības veidu un ar to saistīto apdraudējumu, veikto valsts pasākumu veidu un ilgumu, kā arī attiecīgā uzņēmēja viedokli. Tirgus uzraudzības iestāde īpaši norāda, vai neatbilstība ir saistīta ar vienu vai vairākiem šādiem aspektiem:

7. Dalībvalstu tirgus uzraudzības iestādes, kas nav procedūru sākušās dalībvalsts tirgus uzraudzības iestādes, nekavējoties informē Komisiju un pārējās dalībvalstis par visiem pieņemtajiem pasākumiem un visu savā rīcībā esošo papildu informāciju par attiecīgā produkta ar digitāliem elementiem neatbilstību un – ja tās nepiekrīt paziņotajam valsts pasākumam – par saviem iebildumiem.

8. Ja triju mēnešu laikā pēc šā panta 5. punktā minētā paziņojuma saņemšanas neviena dalībvalsts vai Komisija nav cēlusi iebildumus pret kādas dalībvalsts veiktu pagaidu pasākumu, minēto pasākumu uzskata par pamatotu. Tas neskar attiecīgā uzņēmēja procesuālās tiesības saskaņā ar Regulas (ES) 2019/1020 18. pantu.

9. Visu dalībvalstu tirgus uzraudzības iestādes nodrošina, ka attiecībā uz attiecīgo produktu ar digitāliem elementiem nekavējoties tiek veikti atbilstoši ierobežojoši pasākumi, piemēram, attiecīgo produktu izņem no to tirgus.

Savienības drošības procedūra

1. Ja triju mēnešu laikā pēc 54. panta 5. punktā minētā paziņojuma saņemšanas dalībvalsts ceļ iebildumus par citas dalībvalsts veiktu pasākumu vai ja Komisija uzskata, ka pasākums ir pretrunā Savienības tiesību aktiem, Komisija nekavējoties uzsāk apspriešanos ar attiecīgo dalībvalsti un uzņēmēju vai uzņēmējiem un izvērtē valsts pasākumu. Pamatojoties uz šā izvērtējuma rezultātiem, Komisija deviņu mēnešu laikā pēc 54. panta 5. punktā minētā paziņojuma saņemšanas izlemj, vai valsts pasākums ir vai nav pamatots, un attiecīgo lēmumu dara zināmu attiecīgajai dalībvalstij.

2. Ja valsts pasākums tiek uzskatīts par pamatotu, visas dalībvalstis veic nepieciešamos pasākumus, lai nodrošinātu neatbilstīgā produkta ar digitāliem elementiem izņemšanu no sava tirgus, un par to attiecīgi informē Komisiju. Ja valsts pasākums tiek uzskatīts par nepamatotu, attiecīgā dalībvalsts atsauc šo pasākumu.

3. Ja valsts pasākums tiek uzskatīts par pamatotu un produkta ar digitāliem elementiem neatbilstība tiek saistīta ar trūkumiem saskaņotajos standartos, Komisija piemēro Regulas (ES) Nr. 1025/2012 11. pantā paredzēto procedūru.

4. Ja valsts pasākums tiek uzskatīts par pamatotu un produkta ar digitāliem elementiem neatbilstība tiek saistīta ar trūkumiem 27. pantā minētajā Eiropas kiberdrošības sertifikācijas shēmā, Komisija apsver, vai grozīt vai atcelt kādu deleģēto aktu, kas pieņemts, ievērojot 27. panta 9. punktu, un kas attiecībā uz šo sertifikācijas shēmu precizē pieņēmumu par atbilstību.

5. Ja valsts pasākums tiek uzskatīts par pamatotu un produkta ar digitāliem elementiem neatbilstība tiek saistīta ar trūkumiem 27. pantā minētajās kopīgajās specifikācijās, Komisija apsver, vai grozīt vai atcelt jebkuru saskaņā ar 27. panta 2. punktu pieņemto īstenošanas aktu, kurā izklāstītas šīs kopīgās specifikācijas.

Savienības līmeņa procedūra attiecībā uz produktiem ar digitāliem elementiem, kas rada būtisku kiberdrošības risku

1. Ja Komisijai, pamatojoties uz ENISA sniegto informāciju, ir pietiekams iemesls uzskatīt, ka produkts ar digitāliem elementiem, kas rada būtisku kiberdrošības risku, neatbilst šajā regulā noteiktajām prasībām, tā informē attiecīgās tirgus uzraudzības iestādes. Kad tirgus uzraudzības iestādes izvērtē attiecīgā produkta ar digitāliem elementiem, kas var radīt būtisku kiberdrošības risku, atbilstību šajā regulā noteiktajām prasībām, tās piemēro 54. un 55. pantā minētās procedūras.

2. Ja Komisijai ir pamatots iemesls uzskatīt, ka produkts ar digitāliem elementiem, ņemot vērā netehniskos riska faktorus, rada būtisku kiberdrošības risku, tā informē tirgus uzraudzības iestādes un attiecīgā gadījumā saskaņā ar Direktīvas (ES) 2022/2555 8. pantu izraudzītās vai izveidotās kompetentās iestādes un pēc vajadzības sadarbojas ar šīm iestādēm. Komisija arī apsver, cik būtiski ir identificētie minētā produkta ar digitāliem elementiem riski, ņemot vērā savus uzdevumus attiecībā uz Savienības līmenī koordinētiem kritisko piegādes ķēžu drošības riska novērtējumiem, kas paredzēti Direktīvas (ES) 2022/2555 22. pantā, un vajadzības gadījumā apspriežas ar sadarbības grupu, kas izveidota, ievērojot Direktīvas (ES) 2022/2555 14. pantu, un ar ENISA.

3. Apstākļos, kas pamato tūlītēju intervenci ar mērķi saglabāt iekšējā tirgus pienācīgu darbību, un ja Komisijai ir pietiekams pamats uzskatīt, ka 1. punktā minētais produkts ar digitāliem elementiem joprojām neatbilst šajā regulā noteiktajām prasībām un attiecīgās tirgus uzraudzības iestādes nav veikušas efektīvus pasākumus, Komisija veic atbilstības novērtējumu un var pieprasīt ENISA sniegt analīzi, kas palīdzētu izvērtēšanā. Komisija attiecīgi informē attiecīgās tirgus uzraudzības iestādes. Attiecīgie uzņēmēji pēc vajadzības sadarbojas ar ENISA.

4. Pamatojoties uz 3. punktā minēto izvērtējumu, Komisija var noteikt, ka ir nepieciešams korektīvs vai ierobežojošs pasākums Savienības līmenī. Šajā nolūkā tā nekavējoties apspriežas ar attiecīgajām dalībvalstīm un attiecīgo uzņēmēju vai uzņēmējiem.

5. Pamatojoties uz šā panta 4. punktā minēto apspriešanos, Komisija var pieņemt īstenošanas aktus, lai paredzētu korektīvus vai ierobežojošus pasākumus Savienības līmenī, tajā skaitā pieprasot pienācīgā termiņā, kas ir samērīgs ar risku, attiecīgos produktus ar digitāliem elementiem izņemt no tirgus vai tos atsaukt. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 62. panta 2. punktā.

6. Komisija nekavējoties informē attiecīgo uzņēmēju vai uzņēmējus par 5. punktā minētajiem īstenošanas aktiem. Dalībvalstis nekavējoties īsteno minētos īstenošanas aktus un attiecīgi informē Komisiju.

7. Šā panta 3. līdz 6. punktu piemēro uz laiku, kamēr ir spēkā ārkārtas situācija, kas ir pamatojusi Komisijas intervenci, ja vien nav panākta attiecīgā produkta ar digitāliem elementiem atbilstība šai regulai.

Atbilstīgi produkti ar digitāliem elementiem, kas rada būtisku kiberdrošības risku

1. Dalībvalsts tirgus uzraudzības iestāde pieprasa uzņēmējam veikt visus piemērotos pasākumus, ja tā pēc 54. pantā minētās izvērtēšanas konstatē, ka, neraugoties uz to, ka produkts ar digitāliem elementiem un ražotāja ieviestie procesi atbilst šai regulai, tie tomēr rada būtisku kiberdrošības risku, kā arī risku, kas saistīts ar:

Pirmajā daļā minētie pasākumi var ietvert pasākumus, ar kuriem nodrošina, lai attiecīgais produkts ar digitāliem elementiem un ražotāja ieviestie procesi vairs neradītu konkrētos riskus brīdī, kad attiecīgo produktu ar digitāliem elementiem dara pieejamu tirgū, izņem no tirgus vai atsauc, un minētajiem pasākumiem jābūt samērīgiem ar šo risku būtību.

2. Ražotājs vai citi attiecīgie uzņēmēji nodrošina, ka termiņā, ko noteikusi 1. punktā minētā dalībvalsts tirgus uzraudzības iestāde, tiek veikti korektīvi pasākumi attiecībā uz attiecīgajiem produktiem ar digitāliem elementiem, ko tie darījuši pieejamus tirgū visā Savienībā.

3. Dalībvalsts nekavējoties informē Komisiju un pārējās dalībvalstis par saskaņā ar 1. punktu veiktajiem pasākumiem. Informācijā ietver visas pieejamās ziņas, jo īpaši datus, kas nepieciešami attiecīgo produktu ar digitāliem elementiem identificēšanai, datus par šo produktu ar digitāliem elementiem izcelsmi un piegādes ķēdi, konkrētā riska veidu un veikto valsts pasākumu veidu un ilgumu.

4. Komisija nekavējoties sāk apspriešanos ar dalībvalstīm un attiecīgo uzņēmēju un izvērtē valsts veiktos pasākumus. Pamatojoties uz minētā izvērtējuma rezultātiem, Komisija pieņem lēmumu par to, vai pasākums ir vai nav pamatots, un attiecīgā gadījumā ierosina pienācīgus pasākumus.

5. Šā panta 4. punktā minēto lēmumu Komisija adresē dalībvalstīm.

6. Ja Komisijai, arī pamatojoties uz ENISA sniegto informāciju, ir pietiekams iemesls uzskatīt, ka, lai gan produkts ar digitāliem elementiem atbilst šai regulai, tas rada šā panta 1. punktā minētos riskus, Komisija informē attiecīgo tirgus uzraudzības iestādi vai iestādes un var pieprasīt attiecīgajai iestādei veikt izvērtēšanu un rīkoties atbilstoši 54. pantā un šā panta 1., 2. un 3. punktā minētajām procedūrām.

7. Apstākļos, kas pamato tūlītēju intervenci ar mērķi saglabāt iekšējā tirgus pienācīgu darbību, un ja Komisijai ir pietiekams iemesls uzskatīt, ka 6. punktā minētais produkts ar digitāliem elementiem joprojām rada 1. punktā minētos riskus un attiecīgās valsts tirgus uzraudzības iestādes nav veikušas efektīvus pasākumus, Komisija veic minētā produkta ar digitāliem elementiem radīto risku izvērtēšanu un var pieprasīt ENISA sniegt analīzi, kas palīdzētu izvērtēšanā, un atbilstīgi informē attiecīgās tirgus uzraudzības iestādes. Attiecīgie uzņēmēji pēc vajadzības sadarbojas ar ENISA.

8. Pamatojoties uz 7. punktā minēto ENISA izvērtējumu, Komisija var noteikt, ka ir nepieciešams korektīvs vai ierobežojošs pasākums Savienības līmenī. Šajā nolūkā tā nekavējoties apspriežas ar attiecīgajām dalībvalstīm un attiecīgo uzņēmēju vai uzņēmējiem.

9. Pamatojoties uz šā panta 8. punktā minēto apspriešanos, Komisija var pieņemt īstenošanas aktus, lai lemtu par korektīviem vai ierobežojošiem pasākumiem Savienības līmenī, tajā skaitā pieprasīt attiecīgā produkta ar digitāliem elementiem izņemšanu no tirgus vai atsaukšanu pienācīgā termiņā, kas ir samērīgs ar risku. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 62. panta 2. punktā.

10. Komisija nekavējoties informē attiecīgo uzņēmēju vai uzņēmējus par 9. punktā minētajiem īstenošanas aktiem. Dalībvalstis nekavējoties īsteno minētos īstenošanas aktus un attiecīgi informē Komisiju.

11. Šā panta 6. līdz 10. punktu piemēro uz laiku, kamēr ir spēkā ārkārtas situācija, kas ir pamatojusi Komisijas intervenci, un tik ilgi, kamēr attiecīgais produkts ar digitāliem elementiem turpina radīt 1. punktā minētos riskus.

Formāla neatbilstība

1. Ja dalībvalsts tirgus uzraudzības iestāde konstatē kādu no tālāk norādītajām problēmām, tā pieprasa, lai attiecīgais ražotājs novērš attiecīgo neatbilstību:

2. Ja 1. punktā minētā neatbilstība saglabājas, attiecīgā dalībvalsts veic visus atbilstīgos pasākumus, lai ierobežotu vai aizliegtu produktu ar digitāliem elementiem darīt pieejamu tirgū vai nodrošinātu tās atsaukšanu vai izņemšanu no tirgus.

Tirgus uzraudzības iestāžu kopīgās darbības

1. Tirgus uzraudzības iestādes var vienoties ar citām attiecīgajām iestādēm par tādu kopīgu darbību veikšanu, kuru mērķis ir nodrošināt kiberdrošību un patērētāju aizsardzību attiecībā uz konkrētiem produktiem ar digitāliem elementiem, kas tiek laisti tirgū vai darīti pieejami tirgū, jo īpaši produktiem ar digitāliem elementiem, par kuriem bieži konstatēts, ka tie rada kiberdrošības riskus.

2. Komisija vai ENISA nolūkā pārbaudīt atbilstību šai regulai ierosina kopīgas darbības, kas jāveic tirgus uzraudzības iestādēm, pamatojoties uz norādēm vai informāciju par to, ka produkti ar digitāliem elementiem, kuri ietilpst šīs regulas darbības jomā, varētu neatbilst šajā regulā noteiktajām prasībām vairākās dalībvalstīs.

3. Tirgus uzraudzības iestādes un attiecīgā gadījumā Komisija nodrošina, ka vienošanās par kopīgu darbību veikšanu nerada negodīgu konkurenci starp uzņēmējiem un nelabvēlīgi neietekmē vienošanās pušu objektivitāti, neatkarību un neitralitāti.

4. Tirgus uzraudzības iestāde var izmantot jebkādu informāciju, kas iegūta kopīgajās darbībās, ko veic kā daļu no attiecīgās izmeklēšanas.

5. Attiecīgā tirgus uzraudzības iestāde un attiecīgā gadījumā Komisija publisko vienošanos par kopīgām darbībām, arī iesaistīto pušu nosaukumus.

Kontrolreidi

1. Tirgus uzraudzības iestādes veic vienlaicīgas koordinētas kontroles darbības (“kontrolreidi”) attiecībā uz konkrētiem produktiem ar digitāliem elementiem vai to kategorijām, lai pārbaudītu atbilstību šai regulai vai konstatētu pārkāpumus. Šādi kontrolreidi var ietvert produktu ar digitāliem elementiem pārbaudes, kuru veicēja identitāte netiek izpausta.

2. Izņemot gadījumus, kad iesaistītās tirgus uzraudzības iestādes vienojas citādi, kontrolreidus koordinē Komisija. Kontrolreida koordinators attiecīgā gadījumā publisko apkopotos rezultātus.

3. Ja ENISA, veicot savus uzdevumus, tostarp tos, kuru pamatā ir paziņojumi, kas saņemti, ievērojot 14. panta 1. un 3. punktu, identificē produktu ar digitāliem elementiem kategorijas, attiecībā uz kurām var organizēt kontrolreidus, tā priekšlikumu par kontrolreidiem iesniedz šā panta 2. punktā minētajam koordinatoram izskatīšanai tirgus uzraudzības iestādēs.

4. Veicot kontrolreidus, iesaistītās tirgus uzraudzības iestādes var izmantot 52. līdz 58. pantā noteiktās izmeklēšanas pilnvaras un jebkādas citas pilnvaras, kas tām piešķirtas ar valsts tiesību aktiem.

5. Tirgus uzraudzības iestādes var uzaicināt Komisijas amatpersonas un citas pavadošās personas, ko pilnvarojusi Komisija, piedalīties kontrolreidos.

Deleģēšanas īstenošana

1. Pilnvaras pieņemt deleģētos aktus Komisijai piešķir, ievērojot šajā pantā izklāstītos nosacījumus.

2. Pilnvaras pieņemt 2. panta 5. punkta otrajā daļā, 7. panta 3. punktā, 8. panta 1. un 2. punktā, 13. panta 8. punkta ceturtajā daļā, 14. panta 9. punktā, 25. pantā, 27. panta 9. punktā, 28. panta 5. punktā un 31. panta 5. punktā minētos deleģētos aktus piešķir Komisijai uz piecu gadu laikposmu no 2024. gada 10. decembra. Komisija sagatavo ziņojumu par pilnvaru deleģēšanu vēlākais deviņus mēnešus pirms piecu gadu laikposma beigām. Pilnvaru deleģēšana tiek automātiski pagarināta uz tāda paša ilguma laikposmiem, ja vien Eiropas Parlaments vai Padome neiebilst pret šādu pagarinājumu vēlākais trīs mēnešus pirms katra laikposma beigām.

3. Eiropas Parlaments vai Padome jebkurā laikā var atsaukt 2. panta 5. punkta otrajā daļā, 7. panta 3. punktā, 8. panta 1. un 2. punktā, 13. panta 8. punkta ceturtajā daļā, 14. panta 9. punktā, 25. pantā, 27. panta 9. punktā, 28. panta 5. punktā un 31. panta 5. punktā minēto pilnvaru deleģēšanu. Ar lēmumu par atsaukšanu izbeidz tajā norādīto pilnvaru deleģēšanu. Lēmums stājas spēkā nākamajā dienā pēc tā publicēšanas Eiropas Savienības Oficiālajā Vēstnesī vai vēlākā dienā, kas tajā norādīta. Tas neskar jau spēkā esošos deleģētos aktus.

4. Pirms deleģētā akta pieņemšanas Komisija apspriežas ar katras dalībvalsts ieceltajiem ekspertiem saskaņā ar principiem, kas noteikti 2016. gada 13. aprīļa Iestāžu nolīgumā par labāku likumdošanas procesu.

5. Tiklīdz Komisija pieņem deleģēto aktu, tā par to paziņo vienlaikus Eiropas Parlamentam un Padomei.

6. Saskaņā ar 2. panta 5. punkta otro daļu, 7. panta 3. punktu, 8. panta 1. un 2. punktu, 13. panta 8. punkta ceturto daļu, 14. panta 9. punktu, 25. pantu, 27. panta 9. punktu, 28. panta 5. punktu un 31. panta 5. punktu pieņemts deleģētais akts stājas spēkā tikai tad, ja divos mēnešos no dienas, kad minētais akts paziņots Eiropas Parlamentam un Padomei, ne Eiropas Parlaments, ne Padome nav izteikuši iebildumus vai ja pirms minētā laikposma beigām gan Eiropas Parlaments, gan Padome ir informējuši Komisiju par savu nodomu neizteikt iebildumus. Pēc Eiropas Parlamenta vai Padomes iniciatīvas šo laikposmu pagarina par diviem mēnešiem.

Komiteju procedūra

1. Komisijai palīdz komiteja. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 nozīmē.

2. Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu.

3. Ja komitejas atzinums jāsaņem rakstiskā procedūrā, minēto procedūru izbeidz, nepanākot rezultātu, ja atzinuma sniegšanas termiņā tā nolemj komitejas priekšsēdētājs vai to pieprasa kāds no komitejas locekļiem.

Konfidencialitāte

1. Visas puses, kas ir iesaistītas šīs regulas piemērošanā, ievēro savu uzdevumu un darbību veikšanā iegūtās informāciju un datu konfidencialitāti tādā veidā, lai jo īpaši aizsargātu:

2. Neskarot 1. punktu, informācija, ar ko konfidenciāli savā starpā apmainās tirgus uzraudzības iestādes, kā arī tirgus uzraudzības iestādes un Komisija, netiek izpausta bez iepriekšējas vienošanās ar informācijas izcelsmes tirgus uzraudzības iestādi.

3. Šā panta 1. un 2. punkts neskar Komisijas, dalībvalstu un paziņoto struktūru tiesības un pienākumus attiecībā uz informācijas apmaiņu un brīdinājumu izplatīšanu, ne arī attiecīgo personu pienākumus sniegt informāciju saskaņā ar dalībvalstu krimināltiesībām.

4. Vajadzības gadījumā Komisija un dalībvalstis var apmainīties ar sensitīvu informāciju ar attiecīgajām trešo valstu iestādēm, ar kurām tās ir noslēgušas divpusējus vai daudzpusējus konfidencialitātes nolīgumus, kas garantē pietiekamu konfidencialitātes līmeni.

Sodi

1. Dalībvalstis paredz noteikumus par sodiem, ko piemēro par šīs regulas pārkāpumiem, un veic visus vajadzīgos pasākumus, lai nodrošinātu to īstenošanu. Paredzētie sodi ir efektīvi, samērīgi un atturoši. Dalībvalstis attiecīgos noteikumus un pasākumus nekavējoties dara zināmus Komisijai un nekavējoties paziņo tai par jebkādiem turpmākiem grozījumiem, kas tos ietekmē.

2. Par neatbilstību I pielikumā noteiktajām kiberdrošības pamatprasībām un 13. un 14. pantā noteiktajiem pienākumiem piemēro administratīvos naudas sodus līdz 15 000 000 EUR vai, ja pārkāpējs ir uzņēmums, līdz 2,5 % no tā kopējā globālā apgrozījuma iepriekšējā finanšu gadā, atkarībā no tā, kura no šīm summām ir lielāka.

3. Par 18. līdz 23. pantā, 28. pantā, 30. panta 1. līdz 4. punktā, 31. panta 1. līdz 4. punktā, 32. panta 1., 2. un 3. punktā, 33. panta 5. punktā un 39., 41., 47., 49. un 53. pantā noteikto pienākumu neizpildi piemēro administratīvos naudas sodus līdz 10 000 000 EUR vai, ja pārkāpējs ir uzņēmums, līdz 2 % no tā kopējā globālā apgrozījuma iepriekšējā finanšu gadā, atkarībā no tā, kura no šīm summām ir lielāka.

4. Par nepareizas, nepilnīgas vai maldinošas informācijas sniegšanu paziņotajām struktūrām un tirgus uzraudzības iestādēm atbildē uz pieprasījumu piemēro administratīvos naudas sodus līdz 5 000 000 EUR vai, ja pārkāpējs ir uzņēmums, līdz 1 % no tā kopējā globālā apgrozījuma iepriekšējā finanšu gadā, atkarībā no tā, kura no šīm summām ir lielāka.

5. Lemjot par administratīvā naudas soda apmēru, katrā atsevišķā gadījumā ņem vērā visus īpašos konkrētās situācijas apstākļus un rūpīgi izvērtē šādus elementus:

6. Tirgus uzraudzības iestādes, kas piemēro administratīvos naudas sodus, sniedz informāciju par piemērotajiem sodiem citu dalībvalstu tirgus uzraudzības iestādēm, izmantojot Regulas (ES) 2019/1020 34. pantā minēto informācijas un saziņas sistēmu.

7. Katra dalībvalsts pieņem noteikumus par to, vai šīs dalībvalsts publiskā sektora iestādēm un publiskā sektora struktūrām var uzlikt administratīvos naudas sodus un cik lielā apmērā.

8. Atkarībā no dalībvalstu tiesību sistēmas noteikumus par administratīvajiem naudas sodiem var piemērot tādā veidā, ka naudas sodus uzliek kompetentās valsts tiesas vai citas struktūras saskaņā ar kompetenci, kas šajās dalībvalstīs noteikta valsts līmenī. Šādu noteikumu piemērošanai šajās dalībvalstīs ir līdzvērtīga ietekme.

9. Administratīvos naudas sodus atkarībā no katra atsevišķā gadījuma apstākļiem var uzlikt papildus jebkādiem citiem korektīviem vai ierobežojošiem pasākumiem, kurus tirgus uzraudzības iestādes piemēro attiecībā uz to pašu pārkāpumu.

10. Atkāpjoties no 3. līdz 9. punkta, minētajos punktos norādītos administratīvos naudas sodus nepiemēro:

Pārstāvības prasības

Direktīvu (ES) 2020/1828 piemēro pārstāvības prasībām, kuras celtas par uzņēmēju izdarītiem šīs regulas noteikumu pārkāpumiem, kas kaitē vai var kaitēt patērētāju kolektīvajām interesēm.

Grozījums Regulā (ES) 2019/1020

Regulas (ES) 2019/1020 I pielikumā pievieno šādu punktu:

“72.

Eiropas Parlamenta un Padomes Regula (ES) 2024/2847 (*1).

Grozījums Direktīvā (ES) 2020/1828

Direktīvas (ES) 2020/1828 I pielikumā pievieno šādu punktu:

“69)

Eiropas Parlamenta un Padomes Regula (ES) 2024/2847 (*2).

Grozījums Regulā (ES) Nr. 168/2013

Eiropas Parlamenta un Padomes Regulas (ES) Nr. 168/2013 (38) II pielikuma tabulas C1. daļā iekļauj šādu ierakstu:

“

”

Pārejas noteikumi

1. ES tipa pārbaudes sertifikāti un apstiprinājuma lēmumi, kas izdoti attiecībā uz kiberdrošības prasībām par produktiem ar digitāliem elementiem, uz kuriem attiecas Savienības saskaņošanas tiesību akti, kas nav šī regula, paliek spēkā līdz 2028. gada 11. jūnijam, ja vien to derīguma termiņš nav beidzies pirms minētās dienas vai ja šādos citos Savienības saskaņošanas tiesību aktos nav noteikts citādi, un tādā gadījumā tie paliek spēkā termiņā, kas norādīts minētajos Savienības tiesību aktos.

2. Uz produktiem ar digitāliem elementiem, kas laisti tirgū pirms 2027. gada 11. decembra, šīs regulas prasības attiecas tikai tad, ja no minētās dienas šajos produktos notikušas būtiskas modifikācijas.

3. Atkāpjoties no šā panta 2. punkta, pienākumus, kas noteikti 14. pantā, piemēro visiem šīs regulas darbības jomā ietilpstošajiem produktiem ar digitāliem elementiem, kuri laisti tirgū pirms 2027. gada 11. decembra.

Izvērtēšana un pārskatīšana

1. Līdz 2030. gada 11. decembrim un pēc tam ik pēc četriem gadiem Komisija iesniedz Eiropas Parlamentam un Padomei ziņojumu par šīs regulas izvērtēšanu un pārskatīšanu. Minētos ziņojumus publisko.

2. Līdz 2028. gada 11. septembrim Komisija pēc apspriešanās ar ENISA un CSIRT tīklu iesniedz Eiropas Parlamentam un Padomei ziņojumu, kurā izvērtē 16. pantā izklāstītās vienotās ziņošanas platformas efektivitāti, kā arī 16. panta 2. punktā minēto ar kiberdrošību saistīto iemeslu piemērošanas ietekmi uz vienotās ziņošanas platformas efektivitāti attiecībā uz saņemto paziņojumu savlaicīgu izplatīšanu citām attiecīgajām CSIRT.

Stāšanās spēkā un piemērošana

1. Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

2. Šo regulu piemēro no 2027. gada 11. decembra.

Tomēr 14. pantu piemēro no 2026. gada 11. septembra un IV nodaļu (35. līdz 51. pants) piemēro no 2026. gada 11. jūnija.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Strasbūrā, 2024. gada 23. oktobrī