Regulamentul privind reziliența cibernetică

Obiect

Prezentul regulament stabilește:

Domeniul de aplicare

(1) Prezentul regulament se aplică produselor cu elemente digitale puse la dispoziție pe piață al căror scop preconizat sau a căror utilizare previzibilă în mod rezonabil include o conexiune de date logică sau fizică directă sau indirectă la un dispozitiv sau la o rețea.

(2) Prezentul regulament nu se aplică produselor cu elemente digitale cărora li se aplică următoarele acte juridice ale Uniunii:

(3) Prezentul regulament nu se aplică produselor cu elemente digitale care au fost certificate în conformitate cu Regulamentul (UE) 2018/1139.

(4) Prezentul regulament nu se aplică echipamentelor care intră în domeniul de aplicare al Directivei 2014/90/UE a Parlamentului European și a Consiliului (36).

(5) Aplicarea prezentului regulament în cazul unor produse cu elemente digitale care fac obiectul altor norme ale Uniunii care stabilesc cerințe care abordează toate sau unele dintre riscurile acoperite de cerințele esențiale de securitate cibernetică prevăzute în anexa I poate fi limitată sau exclusă dacă:

Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 61 pentru a completa prezentul regulament specificând dacă o astfel de limitare sau excludere este necesară, produsele și normele în cauză, precum și domeniul de aplicare al limitării, dacă este cazul.

(6) Prezentul regulament nu se aplică pieselor de schimb care sunt puse la dispoziție pe piață pentru a înlocui componente identice din produse cu elemente digitale și care sunt fabricate în conformitate cu aceleași specificații ca și componentele pe care sunt destinate să le înlocuiască.

(7) Prezentul regulament nu se aplică produselor cu elemente digitale dezvoltate sau modificate exclusiv în scopuri de securitate națională sau apărare sau produselor proiectate în mod specific pentru prelucrarea informațiilor clasificate.

(8) Obligațiile prevăzute în prezentul regulament nu implică furnizarea de informații a căror divulgare ar contraveni intereselor esențiale ale statelor membre în materie de securitate națională, siguranță publică sau apărare.

Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

Libera circulație

(1) Statele membre nu împiedică, în ceea ce privește aspectele reglementate de prezentul regulament, punerea la dispoziție pe piață a produselor cu elemente digitale care sunt conforme cu prezentul regulament.

(2) La târguri comerciale, expoziții, demonstrații sau evenimente similare, statele membre nu împiedică prezentarea sau utilizarea unui produs cu elemente digitale care nu este conform cu prezentul regulament, inclusiv a prototipurilor sale, cu condiția ca un anunț vizibil să indice în mod clar că produsul nu este conform cu prezentul regulament și că nu poate fi pus la dispoziție pe piață până când nu va fi conform.

(3) Statele membre nu împiedică punerea la dispoziție pe piață a unui software nefinalizat care nu este conform cu prezentul regulament, cu condiția ca software-ul respectiv să fie pus la dispoziție numai pentru o perioadă limitată, necesară pentru testare, și ca un anunț vizibil să indice în mod clar că produsul nu este conform cu prezentul regulament și că nu va fi disponibil pe piață în alte scopuri decât pentru testare.

(4) Alineatul (3) nu se aplică componentelor de siguranță menționate în legislația de armonizare a Uniunii diferită de prezentul regulament.

Achizițiile sau utilizarea de produse cu elemente digitale

(1) Prezentul regulament nu împiedică statele membre să supună produsele cu elemente digitale unor cerințe suplimentare în materie de securitate cibernetică pentru achiziționarea sau utilizarea produselor respective în scopuri specifice, inclusiv în cazul în care produsele respective sunt achiziționate sau utilizate în scopuri de securitate națională sau apărare, cu condiția ca aceste cerințe să fie în concordanță cu obligațiile statelor membre prevăzute în dreptul Uniunii și să fie necesare și proporționale pentru realizarea scopurilor respective.

(2) Fără a aduce atingere Directivelor 2014/24/UE și 2014/25/UE, atunci când sunt achiziționate produse cu elemente digitale care intră în domeniul de aplicare al prezentului regulament, statele membre se asigură că respectarea cerințelor esențiale de securitate cibernetică prevăzute în anexa I la prezentul regulament, inclusiv capacitatea producătorilor de a gestiona în mod eficace vulnerabilitățile, este luată în considerare în procesul de achiziție.

Cerințe pentru produsele cu elemente digitale

Produsele cu elemente digitale sunt puse la dispoziție pe piață numai în cazul în care:

Produsele importante cu elemente digitale

(1) Produsele cu elemente digitale care au funcționalitatea de bază a unei categorii de produse prevăzute în anexa III sunt considerate produse importante cu elemente digitale și fac obiectul procedurilor de evaluare a conformității menționate la articolul 32 alineatele (2) și (3). Integrarea unui produs cu elemente digitale care are funcționalitatea de bază a unei categorii de produse prevăzute în anexa III nu implică, în sine, faptul că produsul în care acesta este integrat face obiectul procedurilor de evaluare a conformității menționate la articolul 32 alineatele (2) și (3).

(2) Categoriile de produse cu elemente digitale menționate la alineatul (1) din prezentul articol, împărțite în clasele I și II astfel cum sunt prevăzute în anexa III, îndeplinesc cel puțin unul dintre următoarele criterii:

(3) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 61 pentru a modifica anexa III prin includerea în listă a unei noi categorii în cadrul fiecărei clase de categorii de produse cu elemente digitale și prin stabilirea definiției sale, prin mutarea unei categorii de produse dintr-o clasă în alta sau prin retragerea unei categorii existente din lista respectivă. Atunci când evaluează necesitatea de a modifica lista din anexa III, Comisia ține seama de funcționalitățile legate de securitatea cibernetică sau de funcția și de nivelul riscului de securitate cibernetică prezentat de produsele cu elemente digitale, astfel cum se prevede în criteriile menționate la alineatul (2) de la prezentul articol.

Actele delegate menționate la primul paragraf de la prezentul alineat prevăd, după caz, o perioadă de tranziție minimă de 12 luni, în special dacă o nouă categorie de produse importante cu elemente digitale este adăugată în clasa I sau II sau este mutată din clasa I în clasa II, astfel cum se prevede în anexa III, înainte de începerea aplicării procedurilor relevante de evaluare a conformității astfel cum se menționează la articolul 32 alineatele (2) și (3), cu excepția cazului în care se justifică o perioadă de tranziție mai scurtă din motive imperative de urgență.

(4) Până la 11 decembrie 2025, Comisia adoptă un act de punere în aplicare care precizează descrierea tehnică a categoriilor de produse cu elemente digitale din clasa I și clasa II, astfel cum sunt prevăzute în anexa III, și descrierea tehnică a categoriilor de produse cu elemente digitale astfel cum sunt prevăzute în anexa IV. Acest act de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 62 alineatul (2).

Produsele critice cu elemente digitale

(1) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 61 pentru a completa prezentul regulament cu scopul de a stabili ce produse cu elemente digitale care au funcționalitatea de bază a unei categorii de produse ce este prevăzută în anexa IV la prezentul regulament trebuie să obțină un certificat european de securitate cibernetică cu un nivel de asigurare cel puțin „substanțial”, emis în cadrul unui sistem european de certificare a securității cibernetice adoptat în temeiul Regulamentului (UE) 2019/881, pentru a demonstra conformitatea cu cerințele esențiale de securitate cibernetică prevăzute în anexa I la prezentul regulament sau cu părți ale acestora, cu condiția să fi fost adoptat un sistem european de certificare a securității cibernetice care să acopere aceste categorii de produse cu elemente digitale în temeiul Regulamentului (UE) 2019/881 și ca un astfel de sistem să fie disponibil pentru producători. Actele delegate respective specifică nivelul de asigurare necesar care este proporțional cu nivelul riscului de securitate cibernetică asociat produselor cu elemente digitale și țin seama de scopul preconizat al acestora, inclusiv de dependența critică de acestea a entităților esențiale menționate la articolul 3 alineatul (1) din Directiva (UE) 2022/2555.

Înainte de adoptarea unor astfel de acte delegate, Comisia efectuează o evaluare a impactului potențial asupra pieței al măsurilor avute în vedere și desfășoară consultări cu părțile interesate relevante, inclusiv cu Grupul european pentru certificarea securității cibernetice instituit prin Regulamentul (UE) 2019/881. Evaluarea ține seama de gradul de pregătire și de capacitatea statelor membre pentru punerea în aplicare a sistemului european de certificare a securității cibernetice relevant. În cazul în care nu au fost adoptate acte delegate, astfel cum se menționează la primul paragraf al prezentului alineat, produsele cu elemente digitale care au funcționalitatea de bază a unei categorii de produse prevăzute în anexa IV fac obiectul procedurilor de evaluare a conformității menționate la articolul 32 alineatul (3).

Actele delegate menționate la primul paragraf prevăd o perioadă minimă de tranziție de șase luni, cu excepția cazului în care se justifică o perioadă de tranziție mai scurtă din motive imperative de urgență.

(2) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 61 pentru a modifica anexa IV prin adăugarea sau retragerea unor categorii de produse critice cu elemente digitale. La determinarea acestor categorii de produse critice cu elemente digitale și a nivelului de asigurare necesar, în conformitate cu alineatul (1) de la prezentul articol, Comisia ține seama de criteriile menționate la articolul 7 alineatul (2) și asigură faptul că cel puțin unul dintre următoarele criterii este îndeplinit de categoria de produse cu elemente digitale:

Înainte de adoptarea unor astfel de acte delegate, Comisia efectuează o evaluare a tipului menționat la alineatul (1).

Actele delegate menționate la primul paragraf prevăd o perioadă minimă de tranziție de șase luni, cu excepția cazului în care se justifică o perioadă de tranziție mai scurtă din motive imperative de urgență.

Consultarea părților interesate

(1) Atunci când pregătește măsurile de punere în aplicare a prezentului regulament, Comisia consultă părțile interesate relevante și ține seama de opiniile acestora, spre exemplu de ale autorităților relevante ale statelor membre, ale întreprinderile din sectorul privat, inclusiv de ale microîntreprinderilor și ale întreprinderilor mici și mijlocii, ale comunității de software cu sursă deschisă, ale asociațiilor de consumatori, ale mediului academic și ale agențiilor și organelor relevante ale Uniunii, precum și de ale grupurilor de experți instituite la nivelul Uniunii. În special, Comisia consultă și solicită punctele de vedere ale părților interesate respective, într-un mod structurat, după caz, atunci când:

(2) Comisia organizează sesiuni periodice de consultare și informare, cel puțin o dată pe an, pentru a colecta opiniile părților interesate menționate la alineatul (1) cu privire la punerea în aplicare a prezentului regulament.

Consolidarea competențelor într-un mediu digital rezilient din punct de vedere cibernetic

În sensul prezentului regulament și pentru a răspunde nevoilor profesioniștilor în sprijinul punerii în aplicare a prezentului regulament, statele membre, cu sprijinul, după caz, al Comisiei, al Centrului european de competențe în materie de securitate cibernetică și al ENISA, respectând pe deplin responsabilitatea statelor membre în domeniul educației, promovează măsuri și strategii care vizează:

Siguranța generală a produselor

Prin derogare de la articolul 2 alineatul (1) al treilea paragraf litera (b) din Regulamentul (UE) 2023/988, capitolul III, secțiunea 1, capitolele V și VII și capitolele IX-XI din regulamentul respectiv se aplică produselor cu elemente digitale în ceea ce privește aspectele și riscurile sau categoriile de riscuri care nu sunt acoperite de prezentul regulament, în cazul în care produsele respective nu fac obiectul unor cerințe de siguranță specifice prevăzute în alte acte din „legislația de armonizare a Uniunii” în sensul definiției de la articolul 3 punctul 27 din Regulamentul (UE) 2023/988.

Sistemele de IA cu grad ridicat de risc

(1) Fără a aduce atingere cerințelor privind acuratețea și robustețea prevăzute la articolul 15 din Regulamentul (UE) 2024/1689, produsele cu elemente digitale care intră în domeniul de aplicare al prezentului regulament și care sunt clasificate drept sisteme de IA cu grad ridicat de risc în temeiul articolului 6 din regulamentul respectiv sunt considerate conforme cu cerințele de securitate cibernetică prevăzute la articolul 15 din regulamentul respectiv în cazul în care:

(2) Pentru produsele cu elemente digitale și cerințele de securitate cibernetică menționate la alineatul (1) din prezentul articol, se aplică procedura relevantă de evaluare a conformității prevăzută la articolul 43 din Regulamentul (UE) 2024/1689. În scopul efectuării acestei evaluări, organismele notificate care au competența de a verifica conformitatea sistemelor de IA cu grad ridicat de risc în temeiul Regulamentului (UE) 2024/1689 au, de asemenea, competența de a verifica conformitatea sistemelor de IA cu grad ridicat de risc care intră în domeniul de aplicare al prezentului regulament cu cerințele prevăzute în anexa I la prezentul regulament, cu condiția ca respectarea de către organismele notificate respective a cerințelor prevăzute la articolul 39 din prezentul regulament să fi fost evaluată în contextul procedurii de notificare în temeiul Regulamentului (UE) 2024/1689.

(3) Prin derogare de la alineatul (2) de la prezentul articol, produsele importante cu elemente digitale enumerate în anexa III la prezentul regulament, care fac obiectul procedurilor de evaluare a conformității menționate la articolul 32 alineatul (2) literele (a) și (b) și la articolul 32 alineatul (3) din prezentul regulament și produsele critice cu elemente digitale astfel cum sunt enumerate în anexa IV la prezentul regulament, în cazul cărora trebuie să fie obținut un certificat european de securitate cibernetică în temeiul articolului 8 alineatul (1) din prezentul regulament, sau, dacă această obligație nu este aplicabilă, care fac obiectul procedurilor de evaluare a conformității menționate la articolul 32 alineatul (3) din prezentul regulament și care sunt clasificate ca sisteme de IA cu grad ridicat de risc în temeiul articolului 6 din Regulamentul (UE) 2024/1689 și cărora li se aplică procedura de evaluare a conformității bazată pe control intern menționată în anexa VI la Regulamentul (UE) 2024/1689, fac obiectul procedurilor de evaluare a conformității prevăzute de prezentul regulament în ceea ce privește cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament.

(4) Producătorii de produse cu elemente digitale astfel cum sunt menționate la alineatul (1) de la prezentul articol pot participa la spațiile de testare în materie de reglementare a IA menționate la articolul 57 din Regulamentul (UE) 2024/1689.

Obligațiile producătorilor

(1) Atunci când introduc pe piață un produs cu elemente digitale, producătorii se asigură că acesta a fost proiectat, dezvoltat și produs în conformitate cu cerințele esențiale de securitate cibernetică prevăzute în anexa I partea I.

(2) În scopul respectării obligației prevăzute la alineatul (1), producătorii efectuează o evaluare a riscurilor de securitate cibernetică asociate cu un produs cu elemente digitale și iau în considerare rezultatul evaluării respective în cursul etapelor de planificare, proiectare, dezvoltare, producție, livrare și întreținere a produsului cu elemente digitale, cu scopul de a reduce la minimum riscurile de securitate cibernetică, de a preveni incidentele și de a reduce cât mai mult impactul acestora, inclusiv în ceea ce privește sănătatea și siguranța utilizatorilor.

(3) Evaluarea riscurilor de securitate cibernetică este documentată și actualizată, după caz, pe parcursul unei perioade de asistență care urmează să fie stabilită în conformitate cu alineatul (8) din prezentul articol. Respectiva evaluare a riscurilor de securitate cibernetică cuprinde cel puțin o analiză a riscurilor în materie de securitate cibernetică, efectuată pe baza scopului preconizat și a utilizării previzibile în mod rezonabil, precum și a condițiilor de utilizare a produsului cu elemente digitale, cum ar fi mediul operațional sau activele care urmează să fie protejate, ținând seama de perioada de timp în care se preconizează că produsul va fi în uz. Evaluarea riscurilor de securitate cibernetică indică dacă și, în caz afirmativ, în ce mod cerințele de securitate prevăzute în partea I punctul 2 din anexa I sunt aplicabile produsului relevant cu elemente digitale și modul în care aceste cerințe sunt puse în aplicare, în conformitate cu prevederile evaluării riscurilor de securitate cibernetică. Aceasta indică, de asemenea, modul în care producătorul trebuie să aplice partea I punctul 1 din anexa I, precum și cerințele de gestionare a vulnerabilităților prevăzute în anexa I partea II.

(4) Atunci când introduce pe piață un produs cu elemente digitale, producătorul include o evaluare a riscurilor de securitate cibernetică menționate la alineatul (3) din prezentul articol în documentația tehnică solicitată în temeiul articolului 31 și în anexa VII. În cazul produselor cu elemente digitale astfel cum sunt menționate la articolul 12 care fac, de asemenea, obiectul altor acte juridice ale Uniunii, evaluarea riscurilor de securitate cibernetică poate face parte din evaluarea riscurilor impusă de respectivele acte juridice ale Uniunii. În cazul în care anumite cerințe esențiale de securitate cibernetică nu sunt aplicabile produsului cu elemente digitale, producătorul include o justificare clară în acest sens în documentația tehnică respectivă.

(5) În scopul respectării obligației prevăzute la alineatul (1), producătorii exercită diligența necesară atunci când integrează componente obținute de la terți, astfel încât respectivele componente să nu compromită securitatea cibernetică a produsului cu elemente digitale, inclusiv atunci când integrează componente ale unui software liber și cu sursă deschisă care nu au fost puse la dispoziție pe piață în cursul unei activități comerciale.

(6) La identificarea vulnerabilității unei componente, inclusiv a unei componente cu sursă deschisă, care este integrată în produsul cu elemente digitale, producătorii raportează vulnerabilitatea respectivă persoanei sau entității care produce sau întreține componenta în cauză și abordează și remediază vulnerabilitatea în conformitate cu cerințele privind gestionarea vulnerabilităților prevăzute în anexa I partea II. În cazul în care producătorii au realizat o modificare a software-ului sau a hardware-ului pentru a aborda vulnerabilitatea componentei respective, aceștia partajează codul sau documentația relevantă cu persoana sau entitatea care produce sau întreține componenta, după caz, într-un format care poate fi citit automat.

(7) Producătorii documentează în mod sistematic, într-un mod proporțional cu natura și cu riscurile de securitate cibernetică, aspectele de securitate cibernetică relevante ale produselor cu elemente digitale, inclusiv vulnerabilitățile de care iau cunoștință și orice informații relevante furnizate de terți, și, după caz, actualizează evaluarea riscurilor de securitate cibernetică pentru produsele respective.

(8) Producătorii se asigură, atunci când introduc pe piață un produs cu elemente digitale, precum și pe parcursul perioadei de asistență, că vulnerabilitățile produsului respectiv, inclusiv ale componentelor sale, sunt gestionate în mod eficace și în conformitate cu cerințele esențiale de securitate cibernetică prevăzute în anexa I partea II.

Producătorii stabilesc perioada de asistență astfel încât aceasta să reflecte perioada de timp în care se preconizează că produsul va fi în uz, ținând seama, în special, de așteptările rezonabile ale utilizatorilor, de natura produsului, inclusiv de scopul său preconizat, precum și de dreptul relevant al Uniunii care stabilește durata de viață a produselor cu elemente digitale. Atunci când stabilesc perioada de asistență, producătorii pot lua în considerare, de asemenea, perioadele de asistență aferente produselor cu elemente digitale care oferă o funcționalitate similară introduse pe piață de alți producători, disponibilitatea mediului de operare, perioadele de asistență aferente componentelor integrate care oferă funcții de bază și care sunt furnizate de părți terțe, precum și orientările relevante furnizate de grupul specific de cooperare administrativă (ADCO) instituit în temeiul articolului 52 alineatul (15) și de către Comisie. Aspectele de care trebuie să se țină seama pentru a determina perioada de asistență sunt luate în considerare într-un mod care să asigure proporționalitatea.

Fără a aduce atingere celui de-al doilea paragraf, perioada de asistență este de cel puțin cinci ani. În cazul în care se preconizează că produsul cu elemente digitale va fi utilizat mai puțin de cinci ani, perioada de asistență trebuie să corespundă duratei de utilizare preconizate.

Ținând seama de recomandările ADCO menționate la articolul 52 alineatul (16), Comisia poate adopta acte delegate în conformitate cu articolul 61 pentru a completa prezentul regulament prin specificarea perioadei minime de asistență pentru anumite categorii de produse în cazul în care datele de supraveghere a pieței sugerează perioade de asistență inadecvate.

Producătorii includ în documentația tehnică informațiile care au fost luate în considerare pentru a stabili perioada de asistență a unui produs cu elemente digitale, astfel cum se prevede în anexa VII.

Producătorii trebuie să dispună de politici și proceduri adecvate, inclusiv de politici coordonate de divulgare a vulnerabilităților, menționate în partea II punctul 5 din anexa I, pentru a prelucra și a remedia vulnerabilitățile potențiale ale produsului cu elemente digitale raportate din surse interne sau externe.

(9) Producătorii se asigură că fiecare actualizare de securitate, astfel cum se menționează în partea II punctul 8 din anexa I, care a fost pusă la dispoziția utilizatorilor în cursul perioadei de asistență, rămâne disponibilă după ce a fost emisă pentru o perioadă de cel puțin 10 ani sau pentru restul perioadei de asistență, oricare dintre acestea este mai lungă.

(10) În cazul în care un producător a introdus pe piață versiuni ulterioare modificate substanțial ale unui produs software, producătorul respectiv poate asigura conformitatea cu cerința esențială de securitate cibernetică prevăzută în partea II punctul 2 din anexa I numai pentru versiunea pe care producătorul a introdus-o ultima dată pe piață, cu condiția ca utilizatorii versiunilor introduse anterior pe piață să aibă acces gratuit la ultima versiune introdusă pe piață și să nu suporte costuri suplimentare pentru a ajusta echipamentele hardware și programele software în care utilizează versiunea originală a produsului respectiv.

(11) Producătorii pot întreține arhive software publice care să îmbunătățească accesul utilizatorilor la versiunile istorice. În aceste cazuri, utilizatorii sunt informați într-un mod clar și ușor accesibil, cu privire la riscurile asociate utilizării software-ului care nu beneficiază de asistență.

(12) Înainte de a introduce pe piață un produs cu elemente digitale, producătorii întocmesc documentația tehnică menționată la articolul 31.

Aceștia efectuează procedurile alese de evaluare a conformității astfel cum sunt menționate la articolul 32 sau dispun efectuarea acestora.

În cazul în care conformitatea produsului cu elemente digitale cu cerințele esențiale de securitate cibernetică prevăzute în anexa I partea I și a proceselor instituite de producător cu cerințele esențiale de securitate cibernetică prevăzute în anexa I partea II fost demonstrată prin respectiva procedură de evaluare a conformității, producătorii întocmesc declarația de conformitate UE în conformitate cu articolul 28 și aplică marcajul CE în conformitate cu articolul 30.

(13) Producătorii păstrează documentația tehnică și declarația de conformitate UE la dispoziția autorităților de supraveghere a pieței timp de cel puțin 10 ani de la introducerea pe piață a produsului cu elemente digitale sau pe parcursul perioadei de asistență, oricare dintre acestea este mai lungă.

(14) Producătorii se asigură că există proceduri care să garanteze conformitatea continuă cu prezentul regulament a produselor cu elemente digitale care fac parte dintr-o producție în serie. Producătorii țin seama în mod adecvat de modificările survenite în procesul de dezvoltare și de producție sau în proiectarea ori caracteristicile produsului cu elemente digitale și de modificările standardelor armonizate, ale sistemelor europene de certificare de securitate cibernetică sau ale specificațiilor comune astfel cum sunt menționate la articolul 27 în raport cu care se declară conformitatea produsului cu elemente digitale sau prin aplicarea cărora este verificată conformitatea acestuia.

(15) Producătorii se asigură de faptul că produsele lor cu elemente digitale poartă tipul, lotul sau numărul de serie sau un alt element de identificare sau, în cazul în care acest lucru nu este posibil, că informațiile respective sunt furnizate pe ambalaj sau într-un document care însoțește produsul cu elemente digitale.

(16) Producătorii indică pe produsul cu elemente digitale, pe ambalajul acestuia sau într-un document care însoțește produsul cu elemente digitale numele, denumirea comercială înregistrată sau marca înregistrată a producătorului, precum și adresa poștală, adresa de e-mail și alte date de contact digitale, precum și, dacă este cazul, site-ul web la care pot fi contactați. Aceste informații se includ, de asemenea, în informațiile și instrucțiunile pentru utilizator prevăzute în anexa II. Datele de contact sunt redactate într-o limbă ușor de înțeles de către utilizatori și autoritățile de supraveghere a pieței.

(17) În sensul prezentului regulament, producătorii desemnează un ghișeu unic pentru a le permite utilizatorilor să comunice direct și rapid cu aceștia, inclusiv pentru a facilita raportarea vulnerabilităților produsului cu elemente digitale.

Producătorii se asigură că ghișeul unic este ușor de identificat de către utilizatori. Aceștia includ, de asemenea, ghișeul unic în informațiile și instrucțiunile pentru utilizatori prevăzute în anexa II.

Ghișeul unic permite utilizatorilor să își aleagă mijloacele de comunicare preferate și nu limitează aceste mijloace la instrumente automatizate.

(18) Producătorii se asigură că produsele cu elemente digitale sunt însoțite de informațiile și instrucțiunile pentru utilizatori prevăzute în anexa II, în format electronic sau pe hârtie. Aceste informații și instrucțiuni trebuie să fie furnizate într-o limbă ușor de înțeles de către utilizatori și autoritățile de supraveghere a pieței. Ele trebuie să fie clare, ușor de înțeles, inteligibile și lizibile. De asemenea, trebuie să permită instalarea, funcționarea și utilizarea în condiții de securitate a produselor cu elemente digitale. Producătorii păstrează informațiile și instrucțiunile pentru utilizatori stabilite în anexa II la dispoziția utilizatorilor și a autorităților de supraveghere a pieței timp de cel puțin 10 ani de la introducerea pe piață a produsului cu elemente digitale sau pe parcursul perioadei de asistență, oricare dintre acestea este mai lungă. În cazul în care aceste informații și instrucțiuni sunt furnizate online, producătorii se asigură că ele sunt accesibile, prezentate într-un format ușor de utilizat și disponibile online timp de cel puțin 10 ani după introducerea pe piață a produsului cu elemente digitale sau pe parcursul perioadei de asistență, oricare dintre acestea este mai lungă.

(19) Producătorii se asigură că data de încheiere a perioadei de asistență menționate la alineatul (8), incluzând cel puțin luna și anul, este specificată în mod clar și inteligibil la momentul achiziției într-un mod ușor accesibil și, după caz, pe produsul cu elemente digitale, pe ambalajul acestuia sau prin mijloace digitale.

În cazul în care acest lucru este fezabil din punct de vedere tehnic, având în vedere natura produsului cu elemente digitale, producătorii afișează o notificare adresată utilizatorilor prin care îi informează că produsul lor cu elemente digitale a ajuns la sfârșitul perioadei sale de asistență.

(20) Producătorii fie prezintă o copie a declarației de conformitate UE, fie prezintă o declarație de conformitate simplificată a UE împreună cu produsul cu elemente digitale. În cazul în care este pusă la dispoziție o declarație de conformitate simplificată a UE, aceasta conține adresa de internet exactă la care poate fi accesată declarația de conformitate UE completă.

(21) De la introducerea pe piață și pe parcursul perioadei de asistență, producătorii care știu sau au motive să creadă că produsul cu elemente digitale sau procesele instituite de producător nu sunt conforme cu cerințele esențiale de securitate cibernetică prevăzute în anexa I iau imediat măsurile corective necesare pentru a asigura conformitatea produsului cu elemente digitale sau a proceselor producătorului sau pentru a retrage ori a rechema produsul, după caz.

(22) În urma unei cereri motivate din partea unei autorități de supraveghere a pieței, producătorii furnizează autorității respective, într-o limbă care poate fi ușor înțeleasă de către autoritatea respectivă, toate informațiile și documentația, pe suport de hârtie sau în format electronic, necesare pentru a demonstra conformitatea produsului cu elemente digitale și a proceselor instituite de producător cu cerințele esențiale de securitate cibernetică prevăzute în anexa I. Producătorii cooperează cu autoritatea respectivă, la cererea acesteia, cu privire la adoptarea oricăror măsuri pentru eliminarea riscurilor de securitate cibernetică prezentate de produsul cu elemente digitale pe care l-au introdus pe piață.

(23) Un producător care își încetează activitatea și, în consecință, nu este în măsură să respecte prezentul regulament informează, înainte ca încetarea activității să producă efecte, autoritățile relevante de supraveghere a pieței cu privire la această situație, precum și, prin orice mijloace disponibile și în măsura posibilului, utilizatorii produselor cu elemente digitale relevante introduse pe piață cu privire la încetarea iminentă a activității.

(24) Comisia poate specifica, prin intermediul actelor de punere în aplicare care țin seama de standardele și de bunele practici europene sau internaționale, formatul și elementele listei materialelor software menționate în partea II punctul 1 din anexa I. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 62 alineatul (2).

(25) Pentru a evalua dependența statelor membre și a Uniunii în ansamblu de componentele software și, în special, de componentele care se califică drept software liber și cu sursă deschisă, ADCO poate decide să efectueze o evaluare a dependenței la nivelul Uniunii pentru anumite categorii de produse cu elemente digitale. În acest scop, autoritățile de supraveghere a pieței pot solicita producătorilor acestor categorii de produse cu elemente digitale să furnizeze listele relevante ale materialelor software, astfel cum se menționează în partea II punctul 1 din anexa I. Pe baza acestor informații, autoritățile de supraveghere a pieței pot furniza ADCO informații anonimizate și agregate cu privire la dependențele de software. ADCO prezintă grupului de cooperare instituit în temeiul articolului 14 din Directiva (UE) 2022/2555 un raport privind rezultatele evaluării dependenței.

Obligațiile de raportare ale producătorilor

(1) Un producător notifică orice vulnerabilitate exploatată activ conținută în produsul cu elemente digitale de care ia cunoștință simultan către CSIRT desemnată drept coordonator, în conformitate cu alineatul (7) din prezentul articol, precum și către ENISA. Producătorul notifică vulnerabilitatea exploatată activ prin intermediul platformei unice de raportare instituite în temeiul articolului 16.

(2) În sensul notificării menționate la alineatul (1), producătorul prezintă:

(3) Un producător notifică orice incident sever care afectează securitatea produsului cu elemente digitale de care a luat cunoștință simultan către CSIRT desemnată drept coordonator, în conformitate cu alineatul (7) de la prezentul articol, precum și către ENISA. Producătorul notifică incidentul respectiv prin intermediul platformei unice de raportare instituite în temeiul articolului 16.

(4) În sensul notificării menționate la alineatul (3), producătorul prezintă:

(5) În sensul alineatului (3), un incident care are un impact asupra securității produsului cu elemente digitale este considerat grav în cazul în care:

(6) În cazul în care este necesar, CSIRT desemnată drept coordonator care primește inițial notificarea poate solicita producătorilor să furnizeze un raport intermediar privind actualizările relevante ale statutului în ceea ce privește vulnerabilitatea exploatată activ sau privind incidentul grav care are un impact asupra securității produsului cu elemente digitale.

(7) Notificările menționate la alineatele (1) și (3) din prezentul articol se transmit prin intermediul platformei unice de raportare menționate la articolul 16, utilizând unul dintre punctele terminale de notificare electronică menționate la articolul 16 alineatul (1). Notificarea se transmite utilizând punctul terminal de notificare electronică al CSIRT desemnate drept coordonator a statului membru în care producătorii își au sediul principal în Uniune și este accesibilă simultan ENISA.

În sensul prezentului regulament, se consideră că un producător are sediul principal în Uniune în statul membru în care sunt luate în mod preponderent deciziile legate de securitatea cibernetică a produselor sale cu elemente digitale. Dacă un astfel de stat membru nu poate fi stabilit, sediul principal este considerat a fi în statul membru în care producătorul în cauză are sediul cu cel mai mare număr de angajați din Uniune.

În cazul în care un producător nu are sediul principal în Uniune, acesta transmite notificările menționate la alineatele (1) și (3) utilizând punctul terminal de notificare electronică a CSIRT desemnate drept coordonator din statul membru stabilit pe baza următoarei ordini a criteriilor și pe baza informațiilor aflate la dispoziția producătorului:

În ceea ce privește al treilea paragraf litera (d), un producător poate transmite notificări referitoare la orice vulnerabilitate ulterioară exploatată activ sau la orice incident grav ulterior care are un impact asupra securității produsului cu elemente digitale către aceeași CSIRT desemnată drept coordonator căreia i-a transmis notificarea inițială.

(8) După ce a luat cunoștință de o vulnerabilitate exploatată activ sau de un incident grav care are un impact asupra securității produsului cu elemente digitale, producătorul informează utilizatorii afectați ai produsului cu elemente digitale și, după caz, toți utilizatorii cu privire la vulnerabilitatea sau la incidentul respectiv și, dacă este necesar, cu privire la atenuarea riscurilor și la orice măsuri corective pe care utilizatorii le pot aplica pentru a atenua impactul vulnerabilității sau al incidentului respectiv, după caz, într-un format structurat, ușor de prelucrat automat și care poate fi citit automat. În cazul în care producătorul nu informează utilizatorii produsului cu elemente digitale în timp util, CSIRT notificate desemnate drept coordonatori pot furniza astfel de informații utilizatorilor atunci când ele sunt considerate a fi proporționale și necesare pentru prevenirea sau atenuarea impactului incidentului sau al vulnerabilității respective.

(9) Până la 11 decembrie 2025, Comisia adoptă acte delegate în conformitate cu articolul 61 din prezentul regulament pentru a completa prezentul regulament prin specificarea termenelor și condițiilor de aplicare a motivelor legate de securitatea cibernetică în legătură cu întârzierea difuzării notificărilor, astfel cum se menționează la articolul 16 alineatul (2) din prezentul regulament. Comisia cooperează cu rețeaua CSIRT instituită în temeiul articolului 15 din Directiva (UE) 2022/2555 și cu ENISA la pregătirea proiectelor de acte delegate.

(10) Comisia poate, prin intermediul unor acte de punere în aplicare, să precizeze mai detaliat formatul notificărilor și procedurile de efectuare a notificărilor la care se face referire în prezentul articol, precum și la articolele 15 și 16. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 62 alineatul (2). Comisia cooperează cu rețeaua CSIRT și cu ENISA la pregătirea acestor proiecte de acte de punere în aplicare.

Raportarea voluntară

(1) Producătorii, precum și alte persoane fizice sau juridice pot notifica, în mod voluntar, unei CSIRT desemnate drept coordonator sau ENISA, orice vulnerabilitate conținută într-un produs cu elemente digitale, precum și orice amenințări cibernetice care ar putea afecta profilul de risc al unui produs cu elemente digitale.

(2) Producătorii, precum și alte persoane fizice sau juridice pot notifica, în mod voluntar, unei CSIRT desemnate drept coordonator sau ENISA, orice incident care are un impact asupra securității produsului cu elemente digitale, precum și incidentele evitate la limită care ar fi putut avea drept rezultat un astfel de incident.

(3) CSIRT desemnată drept coordonator sau ENISA prelucrează notificările menționate la alineatele (1) și (2) din prezentul articol în conformitate cu procedura prevăzută la articolul 16.

CSIRT desemnată drept coordonator poate acorda prioritate prelucrării notificărilor obligatorii în detrimentul notificărilor voluntare.

(4) În cazul în care o persoană fizică sau juridică, alta decât producătorul, notifică o vulnerabilitate exploatată activ sau un incident grav care are un impact asupra securității unui produs cu elemente digitale în conformitate cu alineatul (1) sau (2), CSIRT desemnată drept coordonator informează producătorul fără întârzieri nejustificate.

(5) CSIRT desemnate drept coordonatori, precum și ENISA asigură confidențialitatea și protecția adecvată a informațiilor furnizate de o persoană fizică sau juridică care face notificarea. Fără a aduce atingere prevenirii, investigării, depistării și urmăririi penale a infracțiunilor, raportarea voluntară nu are ca rezultat impunerea niciunei obligații suplimentare unei persoane fizice sau juridice care face notificarea și căreia nu i s-ar fi aplicat această obligație dacă nu ar fi transmis notificarea.

Instituirea unei platforme unice de raportare

(1) În scopul notificărilor menționate la articolul 14 alineatele (1) și (3) și la articolul 15 alineatele (1) și (2) și pentru a simplifica obligațiile de raportare ale producătorilor, ENISA instituie o platformă unică de raportare. Operațiunile curente ale respectivei platforme unice de raportare sunt gestionate și întreținute de ENISA. Arhitectura platformei unice de raportare permite statelor membre și ENISA să instituie propriile puncte terminale de notificare electronică.

(2) După primirea unei notificări, CSIRT desemnată drept coordonator care a primit inițial notificarea difuzează fără întârziere notificarea prin intermediul platformei unice de raportare către CSIRT desemnate drept coordonatori pe teritoriul cărora producătorul a indicat că produsul cu elemente digitale a fost pus la dispoziție.

În circumstanțe excepționale și, în special, la cererea producătorului și având în vedere nivelul de sensibilitate a informațiilor notificate indicat de producător în temeiul articolului 14 alineatul (2) litera (a) din prezentul regulament, diseminarea notificării poate fi amânată din motive justificate legate de securitatea cibernetică pentru o perioadă de timp strict necesară, inclusiv în cazul în care o vulnerabilitate face obiectul unei proceduri coordonate de divulgare a vulnerabilităților, astfel cum se menționează la articolul 12 alineatul (1) din Directiva (UE) 2022/2555. În cazul în care CSIRT decide să refuze o notificare, aceasta informează imediat ENISA cu privire la decizie și furnizează atât o justificare pentru refuzul notificării, cât și o indicație cu privire la momentul în care va difuza notificarea în conformitate cu procedura de diseminare prevăzută la prezentul alineat. ENISA poate sprijini CSIRT cu privire la aplicarea motivelor legate de securitatea cibernetică în ceea ce privește întârzierea difuzării notificării.

În circumstanțe excepționale, atunci când producătorul indică în notificarea menționată la articolul 14 alineatul (2) litera (b):

numai informațiile conform cărora producătorul a efectuat o notificare, informațiile generale cu privire la produs, informațiile privind natura generală a exploatării și informațiile cu privire la faptul că au fost invocate motive legate de securitate sunt puse simultan la dispoziția ENISA până când notificarea completă este transmisă către CSIRT în cauză și ENISA. În cazul în care, pe baza informațiilor respective, ENISA consideră că există un risc sistemic care afectează securitatea pe piața internă, aceasta recomandă CSIRT destinatare să disemineze notificarea completă celorlalte CSIRT desemnate drept coordonatori și ENISA.

(3) După primirea unei notificări privind o vulnerabilitate exploatată activ a unui produs cu elemente digitale sau privind un incident grav care are un impact asupra securității unui produs cu elemente digitale, CSIRT desemnate drept coordonatori furnizează autorităților de supraveghere a pieței din statele lor membre informațiile notificate necesare autorităților de supraveghere a pieței pentru a-și îndeplini obligațiile care le revin în temeiul prezentului regulament.

(4) ENISA ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității platformei unice de raportare și informațiile transmise sau difuzate prin intermediul platformei unice de raportare. Aceasta notifică fără întârzieri nejustificate orice incident de securitate care afectează platforma unică de raportare rețelei CSIRT, precum și Comisiei.

(5) ENISA, în cooperare cu rețeaua CSIRT, furnizează și pune în aplicare specificații privind măsurile tehnice, operaționale și organizatorice referitoare la instituirea, întreținerea și funcționarea sigură a platformei unice de raportare menționate la alineatul (1), inclusiv cel puțin mecanismele de securitate legate de instituirea, funcționarea și întreținerea platformei unice de raportare, precum și punctele terminale de notificare electronică instituite de echipele CSIRT desemnate drept coordonatori la nivel național și de ENISA la nivelul Uniunii, inclusiv aspectele procedurale pentru a se asigura că, în cazul în care o vulnerabilitate notificată nu dispune de măsuri corective sau de atenuare, informațiile cu privire la vulnerabilitatea respectivă sunt partajate în conformitate cu protocoale stricte de securitate și pe baza principiului necesității de a cunoaște.

(6) În cazul în care CSIRT desemnată drept coordonator a fost informată cu privire la o vulnerabilitate exploatată activ în cadrul unei proceduri coordonate de divulgare a vulnerabilităților, astfel cum se menționează la articolul 12 alineatul (1) din Directiva (UE) 2022/2555, CSIRT desemnată drept coordonator care primește inițial notificarea poate întârzia diseminarea notificării relevante prin intermediul platformei unice de raportare, pe baza unor motive justificate legate de securitatea cibernetică, pentru o perioadă care nu depășește ceea ce este strict necesar și până când părțile implicate în divulgarea coordonată a vulnerabilităților își dau consimțământul. Această cerință nu împiedică producătorii să notifice o astfel de vulnerabilitate în mod voluntar, în conformitate cu procedura prevăzută la prezentul articol.

Alte dispoziții referitoare la raportare

(1) ENISA poate transmite Rețelei europene a organizațiilor de legătură în materie de crize cibernetice (EU-CyCLONe) instituită prin articolul 16 din Directiva (UE) 2022/2555 informațiile notificate în temeiul articolului 14 alineatele (1) și (3) și articolului 15 alineatele (1) și (2) din prezentul regulament dacă aceste informații sunt relevante pentru gestionarea coordonată la nivel operațional a incidentelor și crizelor de securitate cibernetică de mare amploare. Pentru a stabili această relevanță, ENISA poate lua în considerare analizele tehnice efectuate de rețeaua CSIRT, dacă sunt disponibile.

(2) În cazul în care sensibilizarea publicului este necesară pentru a preveni sau a atenua un incident grav care are un impact asupra securității produsului cu elemente digitale sau pentru a gestiona un incident în curs sau în cazul în care divulgarea incidentului este în alt mod în interesul public, CSIRT desemnată drept coordonator a statului membru relevant poate, după consultarea producătorului în cauză și, după caz, în cooperare cu ENISA, să informeze publicul cu privire la incident sau să solicite producătorului să facă acest lucru.

(3) Pe baza notificărilor primite în temeiul articolului 14 alineatele (1) și (3) și articolului 15 alineatele (1) și (2) din prezentul regulament, ENISA pregătește, la fiecare 24 de luni, un raport tehnic referitor la tendințele emergente în ceea ce privește riscurile de securitate cibernetică ale produselor cu elemente digitale și îl transmite grupului de cooperare menționat la articolul 14 din Directiva (UE) 2022/2555. Primul raport de acest tip se prezintă în termen de 24 de luni de la data la care încep să se aplice obligațiile prevăzute la articolul 14 alineatele (1) și (3) din prezentul regulament. ENISA include informații relevante din rapoartele sale tehnice în raportul său privind situația securității cibernetice în Uniune în temeiul articolului 18 din Directiva (UE) 2022/2555.

(4) Simplul act de notificare în conformitate cu articolul 14 alineatele (1) și (3) sau cu articolul 15 alineatele (1) și (2) nu presupune o răspundere mai mare pentru persoana fizică sau juridică care face notificarea.

(5) După ce este disponibilă o actualizare de securitate sau o altă formă de măsură corectivă sau de atenuare, ENISA, de comun acord cu producătorul produsului cu elemente digitale în cauză, adaugă vulnerabilitatea cunoscută public notificată în temeiul articolului 14 alineatul (1) sau al articolului 15 alineatul (1) din prezentul regulament în baza de date europeană privind vulnerabilitățile instituită în temeiul articolului 12 alineatul (2) din Directiva (UE) 2022/2555.

(6) CSIRT desemnate drept coordonatori oferă asistență tehnică în ceea ce privește obligațiile de raportare în temeiul articolului 14 producătorilor și, în special, producătorilor care se califică drept microîntreprinderi sau întreprinderi mici sau mijlocii.

Reprezentanți autorizați

(1) Un fabricant poate numi, prin mandat scris, un reprezentant autorizat.

(2) Obligațiile stabilite la articolul 13 alineatul (1)-(11), la articolul 13 alineatul (12) primul paragraf și la articolul 13 alineatul (14) nu fac parte din mandatul reprezentantului autorizat.

(3) Reprezentantul autorizat îndeplinește sarcinile prevăzute în mandatul primit de la producător. Reprezentantul autorizat furnizează, la cerere, autorităților de supraveghere a pieței o copie a mandatului. Mandatul permite reprezentantului autorizat să îndeplinească cel puțin următoarele:

Obligațiile importatorilor

(1) Importatorii introduc pe piață numai produse cu elemente digitale care respectă cerințele esențiale de securitate cibernetică prevăzute în anexa I partea I și în cazul cărora procesele instituite de producător respectă cerințele esențiale de securitate cibernetică prevăzute în anexa I partea II.

(2) Înainte de a introduce pe piață un produs cu elemente digitale, importatorii se asigură că:

În sensul prezentului alineat, importatorii sunt în măsură să furnizeze documentele necesare care dovedesc îndeplinirea cerințelor prevăzute la prezentul articol.

(3) În cazul în care un importator consideră sau are motive să creadă că un produs cu elemente digitale sau procesele instituite de producător nu sunt conforme cu prezentul regulament, importatorul nu introduce produsul pe piață până când produsul respectiv sau procesele instituite de producător nu au fost aduse în conformitate cu prezentul regulament. În plus, în cazul în care produsul cu elemente digitale prezintă un risc semnificativ în materie de securitate cibernetică, importatorul informează producătorul și autoritățile de supraveghere a pieței în acest sens.

În cazul în care un importator are motive să creadă că un produs cu elemente digitale poate prezenta un risc semnificativ de securitate cibernetică având în vedere factori de risc fără caracter tehnic, importatorul informează autoritățile de supraveghere a pieței în acest sens. La primirea acestor informații, autoritățile de supraveghere a pieței urmează procedurile menționate la articolul 54 alineatul (2).

(4) Importatorii indică pe produsul cu elemente digitale sau pe ambalaj sau într-un document care însoțește respectivul produs, numele, denumirea lor comercială înregistrată sau marca lor înregistrată, adresa poștală, adresa de e-mail sau orice alte date digitale de contact, și, după caz, site-ul web la care pot fi contactați. Datele de contact trebuie să fie prezentate într-o limbă ușor de înțeles pentru utilizatori și pentru autoritățile de supraveghere a pieței.

(5) Importatorii care știu sau au motive să creadă că un produs cu elemente digitale pe care l-au introdus pe piață nu este conform prezentului regulament, iau de îndată măsurile corective necesare pentru a asigura conformitatea produsului cu prezentul regulament sau pentru a retrage sau a rechema produsul, după caz.

După ce au luat cunoștință de o vulnerabilitate a produsului cu elemente digitale, importatorii informează producătorul fără întârzieri nejustificate cu privire la vulnerabilitatea respectivă. În plus, în cazul în care produsul cu elemente digitale prezintă un risc semnificativ în materie de securitate cibernetică, importatorii informează imediat în acest sens autoritățile de supraveghere a pieței din statele membre în care au pus la dispoziție pe piață respectivul produs cu elemente digitale, oferind detalii, în special cu privire la neconformitate și la eventualele măsuri corective adoptate.

(6) Importatorii păstrează o copie a declarației de conformitate UE la dispoziția autorităților de supraveghere a pieței timp de cel puțin 10 ani de la introducerea pe piață a produsului sau pe durata perioadei de asistență, oricare din ele este mai lungă și se asigură că documentația tehnică poate fi pusă la dispoziția acestor autorități, la cerere.

(7) În urma unei cereri motivate din partea unei autorități de supraveghere a pieței, importatorii furnizează autorității respective, într-o limbă care poate fi ușor înțeleasă de către aceasta, toate informațiile și documentația, pe suport de hârtie sau în format electronic, necesare pentru a demonstra conformitatea produsului cu elemente digitale cu cerințele esențiale de securitate cibernetică prevăzute în anexa I partea I și a proceselor instituite de producător cu cerințele esențiale de securitate cibernetică prevăzute în anexa I partea II. Importatorii cooperează cu autoritatea respectivă, la cererea acesteia, cu privire la orice acțiune întreprinsă pentru eliminarea riscurilor prezentate de produsele cu elemente digitale pe care aceștia le-au introdus pe piață.

(8) Atunci când importatorul unui produs cu elemente digitale constată că producătorul produsului respectiv și-a încetat activitatea și, în consecință, nu este în măsură să respecte obligațiile prevăzute în prezentul regulament, importatorul informează autoritățile relevante de supraveghere a pieței cu privire la această situație, precum și, prin orice mijloace disponibile și în măsura posibilului, utilizatorii produselor cu elemente digitale introduse pe piață.

Obligațiile distribuitorilor

(1) În cazul în care pun la dispoziție pe piață un produs cu elemente digitale, distribuitorii acordă o atenție deosebită cerințelor stabilite în prezentul regulament.

(2) Înainte de a pune la dispoziție pe piață un produs cu elemente digitale, distribuitorii verifică dacă:

(3) În cazul în care un distribuitor consideră sau are motive să creadă, pe baza informațiilor pe care le deține, că un produs cu elemente digitale sau procesele instituite de producător nu sunt conforme cu cerințele esențiale de securitate cibernetică prevăzute în anexa I, distribuitorul nu pune produsul la dispoziție pe piață până când produsul respectiv sau procesele instituite de producător nu au fost aduse la nivel de conformitate cu prezentul regulament. În plus, atunci când produsul cu elemente digitale prezintă un risc semnificativ în materie de securitate cibernetică, distribuitorul informează, fără întârzieri nejustificate, producătorul și autoritățile de supraveghere a pieței în acest sens.

(4) Distribuitorii care știu sau au motive să creadă, pe baza informațiilor pe care le dețin, că un produs cu elemente digitale pe care l-au pus la dispoziție pe piață sau procesele instituite de producătorul acestuia nu sunt conforme cu prezentul regulament se asigură că se iau măsurile corective necesare pentru a aduce produsul cu elemente digitale sau procesele instituite de producătorul acestuia la nivel de conformitate sau pentru a retrage sau a rechema produsul, după caz.

După ce au luat cunoștință de o vulnerabilitate a produsului cu elemente digitale, distribuitorii informează producătorul fără întârzieri nejustificate cu privire la vulnerabilitatea respectivă. În plus, în cazul în care produsul cu elemente digitale prezintă un risc semnificativ în materie de securitate cibernetică, distribuitorii informează imediat în acest sens autoritățile de supraveghere a pieței din statele membre în care au pus la dispoziție pe piață respectivul produs cu elemente digitale, oferind detalii, în special cu privire la neconformitate și la eventualele măsuri corective adoptate.

(5) În urma unei cereri motivate din partea unei autorități de supraveghere a pieței, distribuitorii furnizează într-o limbă care poate fi ușor înțeleasă de către aceasta, toate informațiile și documentația, pe suport de hârtie sau în format electronic, necesare pentru a demonstra conformitatea produsului cu elemente digitale și a proceselor instituite de producătorul acestuia cu prezentul regulament. Distribuitorii cooperează cu autoritatea respectivă, la cererea acesteia, cu privire la orice acțiune întreprinsă pentru eliminarea riscurilor prezentate de produsele cu elemente digitale pe care aceștia le-au pus la dispoziție pe piață.

(6) Atunci când distribuitorul unui produs cu elemente digitale constată, pe baza informațiilor pe care le deține, că producătorul produsului respectiv și-a încetat activitatea și, în consecință, nu este în măsură să respecte obligațiile prevăzute în prezentul regulament, distribuitorul informează, fără întârzieri nejustificate, autoritățile relevante de supraveghere a pieței cu privire la această situație, precum și, prin orice mijloace disponibile și în măsura posibilului, utilizatorii produselor cu elemente digitale introduse pe piață.

Situațiile în care obligațiile producătorilor se aplică importatorilor și distribuitorilor

Importatorul sau distribuitorul este considerat producător în sensul prezentului regulament și i se aplică articolele 13 și 14 atunci când respectivul importator sau distribuitor introduce pe piață un produs cu elemente digitale sub numele sau marca sa ori efectuează o modificare substanțială a unui produs cu elemente digitale deja introdus pe piață.

Alte cazuri în care se aplică obligațiile producătorilor

(1) O persoană fizică sau juridică, alta decât producătorul, importatorul sau distribuitorul, care efectuează o modificare substanțială a unui produs cu elemente digitale și pune produsul respectiv la dispoziție pe piață este considerată producător în sensul prezentului regulament.

(2) Persoana menționată la alineatul (1) de la prezentul articol este supusă obligațiilor prevăzute la articolele 13 și 14 pentru partea produsului cu elemente digitale care este afectată de modificarea substanțială sau, dacă modificarea substanțială are un impact asupra securității cibernetice a produsului cu elemente digitale în ansamblul său, pentru întregul produs.

Identificarea operatorilor economici

(1) Operatorii economici furnizează, la cerere, autorităților de supraveghere a pieței următoarele informații:

(2) Operatorii economici trebuie să fie în măsură să prezinte informațiile menționate la alineatul (1) timp de 10 ani de la data la care le-a fost furnizat produsul cu elemente digitale și timp de 10 ani de la data la care aceștia au furnizat produsul, după caz.

Obligațiile administratorilor de software cu sursă deschisă

(1) Administratorii de software cu sursă deschisă instituie și documentează în mod verificabil o politică de securitate cibernetică pentru a încuraja dezvoltarea unui produs securizat cu elemente digitale, precum și gestionarea eficace a vulnerabilităților de către dezvoltatorii produsului respectiv. Politica respectivă încurajează, de asemenea, raportarea voluntară a vulnerabilităților, astfel cum se prevede la articolul 15, de către dezvoltatorii produsului respectiv și ține seama de natura specifică a administratorului software-ului cu sursă deschisă și de modalitățile juridice și organizatorice care i se aplică. Politica respectivă include, în special, aspecte legate de documentarea, abordarea și remedierea vulnerabilităților și promovează schimbul de informații privind vulnerabilitățile descoperite în cadrul comunității cu sursă deschisă.

(2) Administratorii de software cu sursă deschisă cooperează cu autoritățile de supraveghere a pieței, la cererea acestora, în vederea atenuării riscurilor în materie de securitate cibernetică prezentate de un produs cu elemente digitale care se consideră software liber și cu sursă deschisă.

În urma unei cereri motivate din partea unei autorități de supraveghere a pieței, administratorii de software cu sursă deschisă furnizează autorității respective, într-o limbă ușor de înțeles de către autoritatea respectivă, documentația menționată la alineatul (1), pe suport de hârtie sau în format electronic.

(3) Obligațiile prevăzute la articolul 14 alineatul (1) se aplică administratorilor de software cu sursă deschisă, în măsura în care aceștia sunt implicați în dezvoltarea produselor cu elemente digitale. Obligațiile prevăzute la articolul 14 alineatele (3) și (8) se aplică administratorilor de software cu sursă deschisă în măsura în care incidentele grave care au un impact asupra securității produselor cu elemente digitale afectează rețelele și sistemele informatice furnizate de administratorii de software cu sursă deschisă pentru dezvoltarea unor astfel de produse.

Atestare de securitate a software-ului liber și cu sursă deschisă

Pentru a facilita obligația de diligență prevăzută la articolul 13 alineatul (5), în special în ceea ce privește producătorii care integrează componente de software liber și cu sursă deschisă în produsele lor cu elemente digitale, Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 61 pentru a completa prezentul regulament prin instituirea unor programe voluntare de atestare a securității care să le permită dezvoltatorilor sau utilizatorilor de produse cu elemente digitale care sunt considerate software gratuit și cu sursă deschisă, precum și altor părți terțe să evalueze conformitatea acestor produse cu toate sau cu anumite cerințe esențiale de securitate cibernetică sau cu alte obligații prevăzute în prezentul regulament.

Orientări

(1) Pentru a facilita punerea în aplicare și pentru a asigura coerența acestei puneri în aplicare, Comisia publică orientări pentru a ajuta operatorii economici în aplicarea prezentului regulament, acordând o atenție deosebită facilitării respectării sale de către microîntreprinderi și întreprinderile mici și mijlocii.

(2) În cazul în care intenționează să ofere orientări, astfel cum se menționează la alineatul (1), Comisia abordează cel puțin următoarele aspecte:

Comisia păstrează, de asemenea, o listă ușor de accesat a actelor delegate și a actelor de punere în aplicare adoptate în temeiul prezentului regulament.

(3) La elaborarea orientărilor în temeiul prezentului articol, Comisia consultă părțile interesate relevante.

Prezumția de conformitate

(1) Produsele cu elemente digitale și procesele instituite de producător care sunt conforme cu standardele armonizate sau cu anumite părți ale acestora ale căror referințe au fost publicate în Jurnalul Oficial al Uniunii Europene sunt considerate a fi conforme cu cerințele esențiale de securitate cibernetică prevăzute în anexa I, vizate de respectivele standarde sau părți ale acestora.

Comisia solicită, în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizații europene de standardizare să elaboreze standarde armonizate pentru cerințele esențiale de securitate cibernetică prevăzute în anexa I la prezentul regulament. Atunci când elaborează cererile de standardizare pentru prezentul regulament, Comisia depune eforturi pentru a ține seama de standardele europene și internaționale existente în materie de securitate cibernetică, care sunt în vigoare sau în curs de elaborare, pentru a simplifica elaborarea de standarde armonizate, în conformitate cu Regulamentul (UE) nr. 1025/2012.

(2) Comisia poate adopta acte de punere în aplicare de stabilire a unor specificații comune care să acopere cerințele tehnice care oferă un mijloc de respectare a cerințelor esențiale de securitate cibernetică prevăzute în anexa I pentru produsele cu elemente digitale care intră în domeniul de aplicare al prezentului regulament.

Aceste acte de punere în aplicare se adoptă numai în cazul în care sunt îndeplinite următoarele condiții:

Aceste acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 62 alineatul (2).

(3) Înainte de a pregăti proiectul de act de punere în aplicare menționat la alineatul (2) de la prezentul articol, Comisia informează comitetul menționat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, condițiile de la alineatul (2) de la prezentul articol sunt îndeplinite.

(4) La elaborarea proiectului de act de punere în aplicare menționat la alineatul (2), Comisia ține seama de opiniile organismelor relevante și consultă în mod corespunzător toate părțile interesate relevante.

(5) Produsele cu elemente digitale și procesele instituite de producător care sunt conforme cu specificațiile comune stabilite prin acte de punere în aplicare menționate la alineatul (2) de la prezentul articol sau cu părți din acestea sunt considerate a fi conforme cu cerințele esențiale de securitate cibernetică prevăzute în anexa I acoperite de specificațiile comune respective sau de părți din acestea.

(6) În cazul în care un standard armonizat este adoptat de o organizație de standardizare europeană și este propus Comisiei în vederea publicării referinței sale în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. Atunci când referința unui standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menționate la alineatul (2) de la prezentul articol sau acele părți ale lor care vizează aceleași cerințe esențiale de securitate cibernetică precum cele vizate de respectivul standard armonizat.

(7) În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale de securitate cibernetică prevăzute în anexa I, acesta informează Comisia, prezentând o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

(8) Produsele cu elemente digitale și procesele instituite de producător pentru care s-a emis o declarație de conformitate UE sau un certificat în cadrul unui sistem european de certificare de securitate cibernetică adoptat în conformitate cu Regulamentul (UE) 2019/881 sunt considerate a fi conforme cu cerințele esențiale de securitate cibernetică prevăzute în anexa I în măsura în care declarația de conformitate UE sau certificatul european de securitate cibernetică sau părți ale acestora acoperă cerințele respective.

(9) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 61 pentru a completa prezentul regulament prin specificarea sistemelor europene de certificare de securitate cibernetică adoptate în temeiul Regulamentului (UE) 2019/881 care pot fi utilizate pentru a demonstra conformitatea produselor cu elemente digitale cu cerințele esențiale de securitate cibernetică sau cu anumite părți ale acestora, astfel cum sunt prevăzute în anexa I. În plus, emiterea unui certificat european de securitate cibernetică în cadrul unor astfel de sisteme, la un nivel de asigurare cel puțin „substanțial”, elimină obligația unui producător de a efectua o evaluare a conformității de către terți pentru cerințele corespunzătoare, astfel cum se prevede la articolul 32 alineatul (2) literele (a) și (b) și articolul 32 alineatul (3) literele (a) și (b) din prezentul regulament.

Declarația de conformitate UE

(1) Declarația de conformitate UE este întocmită de producători în conformitate cu articolul 13 alineatul (12) și prevede faptul că îndeplinirea cerințelor esențiale de securitate cibernetică aplicabile prevăzute în anexa I a fost demonstrată.

(2) Declarația de conformitate UE trebuie să fie structurată după modelul prevăzut în anexa V și să conțină elementele specificate în procedurile relevante de evaluare a conformității stabilite în anexa VIII. O astfel de declarație trebuie să fie actualizată după caz. Aceasta trebuie pusă la dispoziție în limba sau limbile solicitate de statul membru în care produsul cu elemente digitale este introdus pe piață sau pus la dispoziție pe piață.

Declarația de conformitate UE menționată la articolul 13 alineatul (20) trebuie să fie structurată după modelul prevăzut în anexa VI. Aceasta trebuie pusă la dispoziție în limba sau limbile solicitate de statul membru în care produsul cu elemente digitale este introdus pe piață sau pus la dispoziție pe piață.

(3) În cazul în care un produs cu elemente digitale face obiectul mai multor acte juridice ale Uniunii care impun o declarație de conformitate UE, se întocmește o singură declarație de conformitate UE în temeiul tuturor acestor acte juridice ale Uniunii. Declarația respectivă conține elementele de identificare a actelor în cauză ale Uniunii, inclusiv referințele de publicare ale acestora.

(4) Prin redactarea declarației de conformitate UE, producătorul își asumă responsabilitatea pentru conformitatea produsului cu elemente digitale.

(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 61 pentru a completa prezentul regulament prin adăugarea de elemente la conținutul minim al declarației de conformitate UE prevăzute în anexa V, pentru a ține seama de evoluțiile tehnologice.

Principii generale ale marcajului CE

Marcajul CE este supus principiilor generale prevăzute la articolul 30 din Regulamentul (CE) nr. 765/2008.

Norme și condiții pentru aplicarea marcajului CE

(1) Marcajul CE se aplică în mod vizibil, lizibil și indelebil pe produsul cu elemente digitale. În cazul în care acest lucru nu este posibil sau nu este justificat din cauza naturii produsului cu elemente digitale, marcajul se aplică pe ambalaj și pe declarația de conformitate UE menționată la articolul 28 care însoțește produsul cu elemente digitale. Pentru produsele cu elemente digitale care sunt sub formă de software, marcajul CE se aplică fie pe declarația de conformitate UE menționată la articolul 28, fie pe site-ul web care însoțește produsul software. În această ultimă situație, secțiunea relevantă a site-ului web trebuie să fie accesibilă cu ușurință și în mod direct pentru consumatori.

(2) În funcție de natura produsului cu elemente digitale, înălțimea marcajului CE aplicat pe produsul respectiv poate fi mai mică de 5 mm, cu condiția ca acesta să rămână vizibil și lizibil.

(3) Marcajul CE se aplică înainte ca produsul cu elemente digitale să fie introdus pe piață. Acesta poate fi urmat de o pictogramă sau de orice alt marcaj care indică un risc special de securitate cibernetică sau o utilizare specială prevăzută în actele de punere în aplicare menționate la alineatul (6).

(4) Marcajul CE este urmat de numărul de identificare al organismului notificat, în cazul în care organismul respectiv este implicat în procedura de evaluare a conformității bazată pe asigurarea totală a calității (pe baza modulului H) menționată la articolul 32.

Numărul de identificare al organismului notificat se aplică chiar de către organismul notificat sau, la instrucțiunile acestuia, de către producător sau de către reprezentantul autorizat al acestuia.

(5) Statele membre se bazează pe mecanismele existente pentru a asigura aplicarea corectă a regimului aplicabil marcajului CE și întreprind acțiuni corespunzătoare în cazul utilizării inadecvate a respectivului marcaj. În cazul în care produsul cu elemente digitale este supus legislației de armonizare a Uniunii, diferită de prezentul regulament, care prevede și aplicarea marcajului CE, marcajul indică faptul că produsul îndeplinește și cerințele prevăzute de respectiva legislație de armonizare a Uniunii.

(6) Comisia poate stabili, prin intermediul unor acte de punere în aplicare, specificații tehnice pentru etichete, pictograme sau orice alte însemne legate de securitatea produselor cu elemente digitale și perioadele lor de asistență tehnică, precum și mecanisme de promovare a utilizării acestora și pentru a îmbunătăți conștientizarea în rândul publicului cu privire la securitatea produselor cu elemente digitale. Atunci când pregătește proiectele de acte de punere în aplicare, Comisia consultă părțile interesate relevante și, dacă a fost deja instituit în temeiul articolului 52 alineatul (15), ADCO. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 62 alineatul (2).

Documentația tehnică

(1) Documentația tehnică conține toate datele sau detaliile relevante referitoare la mijloacele utilizate de producător pentru a se asigura că produsul cu elemente digitale și procesele instituite de producător respectă cerințele esențiale de securitate cibernetică prevăzute în anexa I. Aceasta conține cel puțin elementele prevăzute în anexa VII.

(2) Documentația tehnică se întocmește înainte de introducerea pe piață a produsului cu elemente digitale și se actualizează în permanență, după caz, cel puțin pe durata perioadei de asistență.

(3) Pentru produsele cu elemente digitale menționate la articolul 12, care fac, de asemenea, obiectul altor acte juridice ale Uniunii care prevăd documentația tehnică, se întocmește o singură documentație tehnică care conține informațiile menționate în anexa VII la prezentul regulament și informațiile prevăzute în respectivele acte juridice ale Uniunii.

(4) Documentația tehnică și corespondența referitoare la orice procedură de evaluare a conformității se întocmesc în una dintre limbile oficiale ale statului membru în care este stabilit organismul notificat sau într-o limbă acceptată de acesta.

(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 61 pentru a completa prezentul regulament prin adăugarea elementelor care trebuie incluse în documentația tehnică prevăzută în anexa VII, pentru a ține seama de evoluțiile tehnologice, precum și de situațiile întâlnite în procesul de punere în aplicare a prezentului regulament. În acest scop, Comisia depune eforturi pentru a se asigura că sarcina administrativă pentru microîntreprinderi și întreprinderile mici și mijlocii are un caracter proporționat.

Proceduri de evaluare a conformității pentru produsele cu elemente digitale

(1) Producătorul efectuează o evaluare a conformității produsului cu elemente digitale și a proceselor instituite de producător pentru a stabili dacă sunt îndeplinite cerințele esențiale de securitate cibernetică prevăzute în anexa I. Producătorul demonstrează conformitatea cu cerințele esențiale de securitate cibernetică utilizând oricare dintre procedurile următoare:

(2) În cazul în care, la evaluarea conformității produsului important cu elemente digitale care se încadrează la clasa I prevăzută în anexa III și a proceselor instituite de producătorul său cu cerințele esențiale de securitate cibernetică prevăzute în anexa I, producătorul nu a aplicat sau a aplicat doar parțial standardele armonizate, specificațiile comune sau sistemele europene de certificare de securitate cibernetică cu nivelul de asigurare cel puțin „substanțial” menționate la articolul 27 sau în cazul în care nu există astfel de standarde armonizate, specificații comune sau sisteme europene de certificare de securitate cibernetică, produsul cu elemente digitale și procesele instituite de producător sunt supuse, în ceea ce privește cerințele esențiale de securitate cibernetică respective, oricăreia dintre procedurile următoare:

(3) În cazul în care produsul este un produs important cu elemente digitale care se încadrează la clasa II prevăzută în anexa III, producătorul demonstrează conformitatea cu cerințele esențiale de securitate cibernetică prevăzute în anexa I utilizând oricare dintre procedurile următoare:

(4) Produsele critice cu elemente digitale enumerate în anexa IV demonstrează conformitatea cu cerințele esențiale de securitate cibernetică prevăzute în anexa I utilizând una dintre procedurile următoare:

(5) Producătorii de produse cu elemente digitale care se califică drept software liber și cu sursă deschisă, care se încadrează în categoriile prevăzute în anexa III, sunt în măsură să demonstreze conformitatea cu cerințele esențiale de securitate cibernetică prevăzute în anexa I utilizând una dintre procedurile menționate la alineatul (1) din prezentul articol, cu condiția ca documentația tehnică menționată la articolul 31 să fie pusă la dispoziția publicului în momentul introducerii pe piață a produselor respective.

(6) Interesele și nevoile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii, inclusiv ale întreprinderilor nou-înființate, sunt luate în considerare la stabilirea taxelor pentru procedurile de evaluare a conformității, iar taxele respective se reduc proporțional cu interesele și nevoile specifice ale acestora.

Măsuri de asistență pentru microîntreprinderi și întreprinderile mici și mijlocii, inclusiv pentru întreprinderile nou-înființate

(1) Statele membre întreprind, după caz, următoarele acțiuni, adaptate la nevoile microîntreprinderilor și ale întreprinderilor mici:

(2) Statele membre pot, după caz, să instituie spații de testare în materie de reglementare a rezilienței cibernetice. Astfel de spații de testare în materie de reglementare prevăd medii de testare controlate pentru produse inovatoare cu elemente digitale, pentru a facilita dezvoltarea, proiectarea, validarea și testarea acestora în scopul respectării prezentului regulament pentru o perioadă limitată de timp înainte de introducerea pe piață. Comisia și, după caz, ENISA pot oferi sprijin tehnic, consiliere și instrumente pentru instituirea și operarea spațiilor de testare în materie de reglementare. Spațiile de testare în materie de reglementare sunt instituite sub supravegherea, îndrumarea și sprijinul directe ale autorităților de supraveghere a pieței. Statele membre informează Comisia și celelalte autorități de supraveghere a pieței cu privire la instituirea unui spațiu de testare în materie de reglementare prin intermediul ADCO. Spațiile de testare în materie de reglementare nu afectează competențele de supraveghere și atribuțiile corective ale autorităților competente. Statele membre asigură accesul deschis, echitabil și transparent la spațiile de testare în materie de reglementare și, în special, facilitează accesul microîntreprinderilor și al întreprinderilor mici, inclusiv al întreprinderilor nou-înființate.

(3) În conformitate cu articolul 26, Comisia oferă orientări microîntreprinderilor și întreprinderilor mici și mijlocii în ceea ce privește punerea în aplicare a prezentului regulament.

(4) Comisia promovează public sprijinul financiar disponibil în cadrul de reglementare al programelor existente ale Uniunii, în special pentru a ușura sarcina financiară asupra microîntreprinderilor și a întreprinderilor mici și mijlocii.

(5) Microîntreprinderile și întreprinderile mici pot furniza toate elementele documentației tehnice specificate în anexa VII utilizând un format simplificat. În acest scop, Comisia specifică, prin intermediul unor acte de punere în aplicare, formularul simplificat de documentație tehnică destinat nevoilor microîntreprinderilor și ale întreprinderilor mici, inclusiv modul în care trebuie furnizate elementele prevăzute în anexa VII. În cazul în care o microîntreprindere sau o întreprindere mică optează să furnizeze informațiile prevăzute în anexa VII într-un mod simplificat, aceasta utilizează formularul menționat la prezentul alineat. Organismele notificate acceptă formularul respectiv în scopul evaluării conformității.

Aceste acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 62 alineatul (2).

Acorduri de recunoaștere reciprocă

Ținând seama de nivelul de dezvoltare tehnică și de abordarea privind evaluarea conformității unei țări terțe, Uniunea poate încheia acorduri de recunoaștere reciprocă cu țări terțe, în conformitate cu articolul 218 din TFUE, pentru a promova și a facilita comerțul internațional.

Notificarea

(1) Statele membre notifică Comisiei și celorlalte state membre organismele autorizate să efectueze evaluări ale conformității în conformitate cu prezentul regulament.

(2) În termen de 11 decembrie 2026, statele membre încearcă să garanteze că în Uniune există un număr suficient de organisme notificate pentru efectuarea de evaluări ale conformității, pentru a evita blocajele și obstacolele în calea accesului pe piață.

Autoritățile de notificare

(1) Fiecare stat membru desemnează o autoritate de notificare care este responsabilă cu instituirea și efectuarea procedurilor necesare pentru evaluarea, desemnarea și notificarea organismelor de evaluare a conformității și pentru monitorizarea acestora, inclusiv în ceea ce privește respectarea articolului 41.

(2) Statele membre pot decide ca evaluarea și monitorizarea menționate la alineatul (1) să fie efectuate de un organism național de acreditare în înțelesul Regulamentului (CE) nr. 765/2008 și în conformitate cu acesta.

(3) În cazul în care autoritatea de notificare deleagă sau încredințează în alt mod evaluarea, notificarea sau monitorizarea menționate la alineatul (1) din prezentul articol unui organism care nu reprezintă o entitate guvernamentală, respectivul organism este o entitate juridică și îndeplinește mutatis mutandis cerințele prevăzute la articolul 37. În plus, acesta dispune de modalități de compensare a răspunderilor care decurg din activitățile sale.

(4) Autoritatea de notificare își asumă întreaga răspundere pentru sarcinile îndeplinite de organismul menționat la alineatul (3).

Cerințe privind autoritățile de notificare

(1) Autoritatea de notificare trebuie să fie instituită astfel încât să nu existe conflicte de interese cu organismele de evaluare a conformității.

(2) Autoritatea de notificare trebuie să fie organizată și să funcționeze astfel încât să se garanteze obiectivitatea și imparțialitatea activităților sale.

(3) Autoritatea de notificare trebuie să fie organizată astfel încât fiecare decizie cu privire la notificarea organismului de evaluare a conformității să fie luată de persoanele competente, altele decât cele care au efectuat evaluarea.

(4) Autoritatea de notificare nu oferă și nu prestează activități pe care le desfășoară organismele de evaluare a conformității sau servicii de consultanță în condiții comerciale sau concurențiale.

(5) Autoritatea de notificare garantează confidențialitatea informațiilor obținute.

(6) Autoritatea de notificare trebuie să dispună de personal competent suficient pentru a-și îndeplini sarcinile în mod corespunzător.

Obligația de informare a autorităților de notificare

(1) Statele membre informează Comisia în legătură cu procedurile lor de evaluare și notificare a organismelor de evaluare a conformității și de monitorizare a organismelor notificate, precum și în legătură cu orice modificări ale acestora.

(2) Comisia pune la dispoziția publicului informațiile menționate la alineatul (1).

Cerințe referitoare la organismele notificate

(1) Pentru a fi notificat, un organism de evaluare a conformității trebuie să îndeplinească cerințele prevăzute la alineatele (2)-(12).

(2) Organismul de evaluare a conformității trebuie să fie înființat în temeiul dreptului intern și să aibă personalitate juridică.

(3) Organismul de evaluare a conformității trebuie să fie un organism terț, independent de organizația sau de produsul cu elemente digitale pe care îl evaluează.

Un organism care aparține unei asociații de afaceri sau unei federații profesionale care reprezintă întreprinderile implicate în proiectarea, dezvoltarea, producția, furnizarea, asamblarea, utilizarea sau întreținerea produselor cu elemente digitale pe care le evaluează poate fi considerat a fi un astfel de organism terț, cu condiția să se demonstreze că este independent și că nu există conflicte de interese.

(4) Organismul de evaluare a conformității, personalul de conducere și personalul responsabil cu îndeplinirea sarcinilor de evaluare a conformității nu trebuie să aibă calitatea de proiectant, dezvoltator, producător, furnizor, importator, distribuitor, instalator, cumpărător, proprietar, utilizator sau operator de întreținere al produselor pe care le evaluează, și nici de reprezentant autorizat al vreuneia dintre părțile menționate. Acest lucru nu împiedică utilizarea produselor evaluate care sunt necesare pentru operațiunile organismului de evaluare a conformității sau utilizarea produselor respective în scopuri personale.

Un organism de evaluare a conformității, personalul de conducere și personalul responsabil cu îndeplinirea sarcinilor de evaluare a conformității nu trebuie să aibă o implicare directă în proiectarea, dezvoltarea, producția, importul, distribuirea, comercializarea, instalarea, utilizarea sau întreținerea produselor cu elemente digitale pe care le evaluează, și nici să reprezinte părțile angajate în activitățile menționate. Aceștia nu se implică în activități care le-ar putea afecta imparțialitatea sau integritatea în ceea ce privește activitățile de evaluare a conformității pentru care sunt notificați. Aceste dispoziții se aplică în special serviciilor de consultanță.

Organismele de evaluare a conformității se asigură că activitățile filialelor sau ale subcontractanților lor nu afectează confidențialitatea, obiectivitatea sau imparțialitatea activităților lor de evaluare a conformității.

(5) Organismele de evaluare a conformității și personalul acestora îndeplinesc activitățile de evaluare a conformității la cel mai înalt grad de integritate profesională și cu competența tehnică necesară în domeniul respectiv și trebuie să fie libere de orice presiune și stimulent, îndeosebi de natură financiară, care le-ar putea influența aprecierea sau ar putea influența rezultatele activităților lor de evaluare a conformității, în special din partea persoanelor sau a grupurilor de persoane care au un interes față de rezultatele activităților respective.

(6) Organismul de evaluare a conformității trebuie să poată să îndeplinească toate sarcinile de evaluare a conformității care sunt menționate în anexa VIII și pentru care a fost notificat, indiferent dacă atribuțiile respective sunt îndeplinite chiar de organismul de evaluare a conformității sau în numele și sub responsabilitatea acestuia.

În orice moment și pentru fiecare procedură de evaluare a conformității și pentru fiecare tip sau categorie de produse pentru care este notificat, organismul de evaluare a conformității trebuie să aibă la dispoziție:

Organismul de evaluare a conformității trebuie să dispună de mijloacele necesare pentru a îndeplini sarcinile tehnice și administrative legate de activitățile de evaluare a conformității în mod corespunzător și să aibă acces la toate echipamentele și facilitățile necesare.

(7) Personalul responsabil de îndeplinirea activităților de evaluare a conformității trebuie să posede următoarele:

(8) Imparțialitatea organismelor de evaluare a conformității, a personalului de conducere și a personalului de evaluare al acestora trebuie să fie garantată.

Remunerația personalului de conducere și a personalului de evaluare al organismului de evaluare a conformității nu trebuie să depindă de numărul de evaluări realizate sau de rezultatele acestor evaluări.

(9) Organismele de evaluare a conformității încheie o asigurare de răspundere în cazul în care răspunderea nu este asumată de statul membru respectiv în conformitate cu dreptul intern sau în cazul în care statul membru nu este direct responsabil pentru evaluarea conformității.

(10) Personalul organismului de evaluare a conformității păstrează secretul profesional referitor la toate informațiile obținute în îndeplinirea sarcinilor sale în temeiul anexei VIII sau al oricărei dispoziții de punere în aplicare a acesteia din dreptul intern, excepție făcând relația cu autoritățile de supraveghere a pieței ale statului membru în care își desfășoară activitățile. Drepturile de autor sunt protejate. Organismul de evaluare a conformității trebuie să dispună de proceduri documentate care să asigure conformitatea cu prezentul alineat.

(11) Organismele de evaluare a conformității trebuie să participe la activitățile de standardizare relevante și la activitățile grupului de coordonare a organismelor notificate înființat în temeiul articolului 51 sau să se asigure că personalul lor de evaluare este informat cu privire la aceste activități și trebuie să pună în aplicare ca orientare generală deciziile și documentele administrative produse ca rezultat al activității grupului respectiv.

(12) Organismele de evaluare a conformității funcționează în conformitate cu un ansamblu de termene și condiții coerente, echitabile, proporționale și rezonabile, evitând în același timp sarcinile inutile pentru operatorii economici, ținând seama în mod special de interesele microîntreprinderilor și ale întreprinderilor mici și mijlocii în ceea ce privește taxele.

Prezumția de conformitate a organismelor notificate

În cazul în care un organism de evaluare a conformității poate demonstra conformitatea sa cu criteriile prevăzute în standardele armonizate relevante sau în părți din acestea, ale căror referințe au fost publicate în Jurnalul Oficial al Uniunii Europene, se consideră că acesta este în conformitate cu prevederile articolului 39 în măsura în care standardele armonizate aplicabile reglementează aceste cerințe.

Filialele organismelor notificate și subcontractarea de către organismele notificate

(1) În cazul în care un organism notificat subcontractează anumite sarcini legate de evaluarea conformității sau recurge la o filială, acesta se asigură că subcontractantul sau filiala îndeplinește cerințele prevăzute la articolul 39 și informează autoritatea de notificare în acest sens.

(2) Organismele notificate își asumă întreaga responsabilitate pentru sarcinile îndeplinite de subcontractanți sau de filiale, indiferent de locul în care sunt stabilite.

(3) Activitățile pot fi subcontractate sau realizate de o filială doar cu acordul producătorului.

(4) Organismele notificate pun la dispoziția autorității de notificare documentele relevante privind evaluarea calificărilor subcontractantului sau ale filialei și privind activitățile îndeplinite de aceasta în temeiul prezentului regulament.

Cererea de notificare

(1) Organismul de evaluare a conformității depune o cerere de notificare către autoritatea de notificare a statului membru în care este stabilit.

(2) Această cerere este însoțită de o descriere a activităților de evaluare a conformității, a procedurii sau procedurilor de evaluare a conformității și a produsului sau produselor cu elemente digitale pentru care organismul se consideră a fi competent, precum și, dacă este cazul, de un certificat de acreditare, în cazul în care acesta există, eliberat de un organism național de acreditare, care să ateste că organismul de evaluare a conformității îndeplinește cerințele prevăzute la articolul 39.

(3) În cazul în care un organism de evaluare a conformității nu poate prezenta un certificat de acreditare, acesta prezintă autorității de notificare toate documentele justificative necesare pentru verificarea, recunoașterea și monitorizarea periodică a conformității acestuia cu cerințele de la articolul 39.

Procedura de notificare

(1) Autoritățile de notificare notifică numai organismele de evaluare a conformității care au satisfăcut cerințele prevăzute la articolul 39.

(2) Autoritatea de notificare notifică Comisia și celelalte state membre utilizând sistemul informațional Noua abordare privind organizațiile notificate și desemnate, dezvoltat și gestionat de Comisie.

(3) Notificarea include detalii complete despre activitățile de evaluare a conformității, despre modulul sau modulele de evaluare a conformității și despre produsul sau produsele cu elemente digitale în cauză, precum și atestarea relevantă a competenței.

(4) În cazul în care notificarea nu se bazează pe certificatul de acreditare menționat la articolul 42 alineatul (2), autoritatea de notificare prezintă Comisiei și celorlalte state membre documente justificative care atestă competența organismului de evaluare a conformității și măsurile adoptate pentru a se asigura că organismul respectiv va fi monitorizat periodic și că va îndeplini în continuare cerințele prevăzute la articolul 39.

(5) Organismul în cauză poate efectua activitățile unui organism notificat numai în cazul în care Comisia sau celelalte state membre nu au ridicat obiecții în termen de două săptămâni de la notificare, atunci când se utilizează un certificat de acreditare, sau în termen de două luni de la notificare, atunci când nu se utilizează acreditarea.

Numai un astfel de organism este considerat a fi un organism notificat în sensul prezentului regulament.

(6) Comisia și celelalte state membre sunt înștiințate cu privire la orice modificări relevante ulterioare aduse notificării.

Numerele de identificare și lista organismelor notificate

(1) Comisia atribuie organismului notificat un număr de identificare.

Comisia atribuie un singur număr de identificare organismului notificat, chiar dacă acesta este notificat în temeiul mai multor acte juridice ale Uniunii.

(2) Comisia pune la dispoziția publicului lista organismelor notificate în baza prezentului regulament, inclusiv numerele de identificare care le-au fost alocate și activitățile pentru care au fost notificate.

Comisia se asigură că această listă este actualizată.

Modificări ale notificărilor

(1) Dacă o autoritate de notificare a constatat sau a fost informată că un organism notificat nu mai respectă cerințele prevăzute la articolul 39 sau că acesta nu își îndeplinește obligațiile, autoritatea de notificare restricționează, suspendă sau retrage notificarea, după caz, în funcție de gravitatea nerespectării cerințelor sau de gravitatea neîndeplinirii obligațiilor respective. Aceasta informează imediat Comisia și celelalte state membre în consecință.

(2) În caz de restricționare, suspendare sau retragere a notificării sau în cazul în care organismul notificat și-a încetat activitatea, statul membru notificator ia măsurile adecvate pentru a se asigura că dosarele organismului respectiv fie sunt prelucrate de un alt organism notificat, fie sunt puse la dispoziția autorităților de notificare și de supraveghere a pieței responsabile, la cererea acestora.

Contestarea competenței organismelor notificate

(1) Comisia investighează toate cazurile în care are îndoieli sau în care i se aduc la cunoștință îndoieli privind competența unui organism notificat sau continuitatea îndeplinirii de către un organism notificat a cerințelor și a responsabilităților care îi revin.

(2) Statul membru notificator prezintă Comisiei, la cerere, toate informațiile referitoare la baza notificării sau la menținerea competenței organismului în cauză.

(3) Comisia se asigură că toate informațiile sensibile obținute pe parcursul investigațiilor sale sunt tratate în mod confidențial.

(4) În cazul în care constată că un organism notificat nu satisface sau nu mai satisface cerințele pentru a fi notificat, Comisia informează statul membru notificator în consecință și solicită acestuia să ia măsurile corective necesare, inclusiv anularea notificării, dacă este necesar.

Obligațiile operaționale ale organismelor notificate

(1) Organismele notificate efectuează evaluări ale conformității în conformitate cu procedurile de evaluare a conformității prevăzute la articolul 32 și în anexa VIII.

(2) Evaluările conformității sunt realizate în mod proporțional, evitând sarcinile inutile pentru operatorii economici. Organismul de evaluare a conformității își desfășoară activitatea ținând seama în mod corespunzător de dimensiunea întreprinderii, în special în ceea ce privește microîntreprinderile și întreprinderile mici și mijlocii, de domeniul de activitate și structura acestora, de gradul lor de complexitate și de nivelul de risc în materie de securitate cibernetică al produselor cu elemente digitale și al tehnologiei în cauză, precum și de caracterul de serie sau de masă al procesului de producție.

(3) Cu toate acestea, organismele notificate respectă gradul de precizie și nivelul de protecție necesare pentru conformitatea produselor cu elemente digitale cu prezentul regulament.

(4) În cazul în care un organism notificat constată că cerințele prevăzute în anexa I sau în standardele armonizate corespunzătoare sau în specificațiile tehnice menționate la articolul 27 nu au fost îndeplinite de către un producător, acesta solicită producătorului să ia măsurile corective adecvate și nu emite certificatul de conformitate.

(5) Atunci când pe parcursul monitorizării conformității efectuate după eliberarea certificatului organismul notificat constată că un produs cu elemente digitale nu mai este conform cu cerințele prevăzute în prezentul regulament, acesta solicită producătorului să ia măsurile corective adecvate și suspendă sau retrage certificatul, dacă este necesar.

(6) În cazul în care nu se iau măsuri corective sau acestea nu au efectul necesar, organismul notificat restricționează, suspendă sau retrage certificatele, după caz.

Căi de atac împotriva deciziilor organismelor notificate

Statele membre se asigură că este disponibilă o cale de atac împotriva deciziilor organismelor notificate.

Obligația de informare care revine organismelor notificate

(1) Organismele notificate informează autoritatea de notificare în legătură cu:

(2) Organismele notificate furnizează celorlalte organisme notificate în temeiul prezentului regulament care desfășoară activități similare de evaluare a conformității referitoare la aceleași produse cu elemente digitale informații relevante privind aspecte legate de rezultatele negative și, la cerere, de rezultatele pozitive ale evaluării conformității.

Schimbul de experiență

Comisia asigură organizarea schimbului de experiență între autoritățile naționale ale statelor membre responsabile de politica privind notificarea.

Coordonarea organismelor notificate

(1) Comisia se asigură că între organismele notificate există o coordonare și o cooperare adecvată, care funcționează în cadrul unui grup transsectorial al organismelor notificate.

(2) Statele membre se asigură că organismele notificate de ele participă la activitatea grupului respectiv, în mod direct sau prin intermediul unor reprezentanți desemnați.

Supravegherea pieței și controlul produselor cu elemente digitale pe piața Uniunii

(1) Regulamentul (UE) 2019/1020 se aplică produselor cu elemente digitale care intră în domeniul de aplicare al prezentului regulament.

(2) Fiecare stat membru desemnează una sau mai multe autorități de supraveghere a pieței cu scopul de a asigura punerea în aplicare eficace a prezentului regulament. Statele membre pot desemna o autoritate existentă sau nouă care să acționeze în calitate de autoritate de supraveghere a pieței pentru prezentul regulament.

(3) Autoritățile de supraveghere a pieței desemnate în temeiul alineatului (2) de la prezentul articol sunt, de asemenea, responsabile de desfășurarea activităților de supraveghere a pieței în legătură cu obligațiile administratorilor de software cu sursă deschisă prevăzute la articolul 24. În cazul în care o autoritate de supraveghere a pieței constată că un administrator de software cu sursă deschisă nu respectă obligațiile prevăzute la articolul respectiv, aceasta solicită administratorului de software cu sursă deschisă să se asigure că sunt luate toate măsurile corective adecvate. Administratorii de software cu sursă deschisă se asigură că sunt luate toate măsurile corective adecvate în ceea ce privește obligațiile care le revin în temeiul prezentului regulament.

(4) Dacă este necesar, autoritățile de supraveghere a pieței cooperează cu autoritățile naționale de certificare a securității cibernetice desemnate în conformitate cu articolul 58 din Regulamentul (UE) 2019/881 și fac schimb de informații în mod regulat. În ceea ce privește supravegherea punerii în aplicare a obligațiilor de raportare în temeiul articolului 14 din prezentul regulament, autoritățile de supraveghere a pieței desemnate cooperează și fac schimb de informații în mod regulat cu CSIRT desemnate drept coordonatori și cu ENISA.

(5) Autoritățile de supraveghere a pieței pot solicita unei CSIRT desemnate drept coordonator sau ENISA să furnizeze consiliere tehnică pe teme legate de punerea în aplicare și asigurarea respectării prezentului regulament. Atunci când efectuează o investigație în temeiul articolului 54, autoritățile de supraveghere a pieței pot solicita CSIRT desemnate drept coordonator sau ENISA să furnizeze o analiză în sprijinul evaluărilor conformității produselor cu elemente digitale.

(6) Dacă este necesar, autoritățile de supraveghere a pieței cooperează cu alte autorități de supraveghere a pieței desemnate în temeiul altor acte din legislația de armonizare a Uniunii decât prezentul regulament și fac schimb de informații în mod regulat.

(7) Autoritățile de supraveghere a pieței cooperează, după caz, cu autoritățile care supraveghează legislația Uniunii în domeniul protecției datelor. O astfel de cooperare include informarea acestor autorități cu privire la orice constatare relevantă pentru îndeplinirea competențelor lor, inclusiv atunci când se emit orientări și recomandări în temeiul alineatului (10), în cazul în care aceste orientări și recomandări se referă la prelucrarea datelor cu caracter personal.

Autoritățile care supraveghează legislația Uniunii în domeniul protecției datelor au competența de a solicita și de a accesa orice documentație creată sau păstrată în temeiul prezentului regulament atunci când accesul la documentația respectivă este necesar pentru îndeplinirea sarcinilor lor. Acestea informează autoritățile de supraveghere a pieței desemnate din statul membru în cauză cu privire la orice astfel de solicitare.

(8) Statele membre se asigură că autorităților de supraveghere a pieței desemnate li se pun la dispoziție resurse financiare și tehnice adecvate, inclusiv, după caz, instrumente de automatizare a prelucrării, precum și resurse umane cu competențele necesare în materie de securitate cibernetică pentru a-și îndeplini sarcinile care le revin în temeiul prezentului regulament.

(9) Comisia încurajează și facilitează schimbul de experiență între autoritățile de supraveghere a pieței desemnate.

(10) Autoritățile de supraveghere a pieței pot oferi orientări și recomandări operatorilor economici cu privire la punerea în aplicare a prezentului regulament, cu sprijinul Comisiei și, după caz, al CSIRT și al ENISA.

(11) Autoritățile de supraveghere a pieței informează consumatorii cu privire la locul în care pot depune plângeri care ar putea indica nerespectarea prezentului regulament, în conformitate cu articolul 11 din Regulamentul (UE) 2019/1020, și le furnizează consumatorilor informații cu privire la locul și modul de accesare a mecanismelor de facilitare a raportării vulnerabilităților, incidentelor și amenințărilor cibernetice care pot afecta produsele cu elemente digitale.

(12) Autoritățile de supraveghere a pieței facilitează, după caz, cooperarea cu părțile interesate relevante, inclusiv cu organizațiile științifice, de cercetare și de consumatori.

(13) Autoritățile de supraveghere a pieței raportează anual Comisiei rezultatele activităților relevante de supraveghere a pieței. Autoritățile de supraveghere a pieței desemnate raportează fără întârziere Comisiei și autorităților naționale de concurență relevante toate informațiile identificate în cursul activităților de supraveghere a pieței care ar putea prezenta interes pentru aplicarea legislației Uniunii în domeniul concurenței.

(14) Pentru produsele cu elemente digitale care intră în domeniul de aplicare al prezentului regulament și care sunt clasificate drept sisteme de IA cu grad ridicat de risc în conformitate cu articolul 6 din Regulamentul (UE) 2024/1689, autoritățile de supraveghere a pieței desemnate în sensul regulamentului menționat sunt autoritățile responsabile cu activitățile de supraveghere a pieței necesare în temeiul prezentului regulament. Autoritățile de supraveghere a pieței desemnate în temeiul Regulamentului (UE) 2024/1689 cooperează, după caz, cu autoritățile de supraveghere a pieței desemnate în temeiul prezentului regulament și, în ceea ce privește supravegherea punerii în aplicare a obligațiilor de raportare în temeiul articolului 14 din prezentul regulament, cu CSIRT desemnate drept coordonatori și cu ENISA. Autoritățile de supraveghere a pieței desemnate în temeiul Regulamentului (UE) 2024/1689 informează în special autoritățile de supraveghere a pieței desemnate în temeiul prezentului regulament cu privire la orice constatare relevantă pentru îndeplinirea sarcinilor lor legate de punerea în aplicare a prezentului regulament.

(15) Se instituie ADCO pentru aplicarea uniformă a prezentului regulament, în temeiul articolului 30 alineatul (2) din Regulamentul (UE) 2019/1020. ADCO trebuie să fie compus din reprezentanți ai autorităților de supraveghere a pieței desemnate și, dacă este cazul, din reprezentanți ai birourilor unice de legătură. ADCO abordează, de asemenea, aspecte specifice legate de activitățile de supraveghere a pieței în ceea ce privește obligațiile impuse administratorilor de software cu sursă deschisă.

(16) Autoritățile de supraveghere a pieței monitorizează modul în care producătorii au aplicat criteriile menționate la articolul 13 alineatul (8) atunci când stabilesc perioada de asistență pentru produsele lor cu elemente digitale.

ADCO publică într-o formă accesibilă publicului și ușor de utilizat statistici relevante privind categoriile de produse cu elemente digitale, inclusiv perioadele medii de asistență astfel cum sunt stabilite de producător în temeiul articolului 13 alineatul (8), și oferă orientări care includ perioade orientative de asistență pentru categoriile de produse cu elemente digitale.

În cazul în care datele sugerează perioade de asistență inadecvate pentru categorii specifice de produse cu elemente digitale, ADCO poate adresa recomandări autorităților de supraveghere a pieței pentru ca acestea să își concentreze activitățile asupra unor astfel de categorii de produse cu elemente digitale.

Accesul la date și la documentație

Dacă este necesar pentru a evalua conformitatea produselor cu elemente digitale și a proceselor instituite de producătorii lor cu cerințele esențiale de securitate cibernetică prevăzute în anexa I și în urma unei cereri motivate, autorităților de supraveghere a pieței li se acordă acces la datele, prezentate într-o limbă care le este ușor accesibilă, necesare pentru a evalua proiectarea, dezvoltarea, producția și gestionarea vulnerabilităților acestor produse, inclusiv la documentația internă aferentă a operatorului economic relevant.

Procedura la nivel național privind produsele cu elemente digitale care prezintă un risc semnificativ în materie de securitate cibernetică

(1) Dacă autoritatea de supraveghere a pieței dintr-un stat membru are motive suficiente să considere că un produs cu elemente digitale, inclusiv gestionarea vulnerabilităților sale, prezintă un risc semnificativ în materie de securitate cibernetică, aceasta efectuează, fără întârzieri nejustificate și, după caz, în cooperare cu CSIRT, o evaluare a respectivului produs cu elemente digitale în ceea ce privește conformitatea sa cu toate cerințele prevăzute în prezentul regulament. Operatorii economici relevanți cooperează cu autoritatea de supraveghere a pieței în funcție de necesități.

Dacă, pe parcursul evaluării respective, autoritatea de supraveghere a pieței constată că produsul cu elemente digitale nu respectă cerințele prevăzute în prezentul regulament, aceasta solicită fără întârziere operatorului economic relevant să întreprindă toate acțiunile corective adecvate pentru a aduce produsul cu elemente digitale în conformitate cu cerințele, pentru a retrage produsul de pe piață sau pentru a-l rechema într-un termen rezonabil, proporțional cu natura riscului de securitate cibernetică și stabilit de autoritatea de supraveghere a pieței.

Autoritatea de supraveghere a pieței informează organismul notificat relevant în consecință. Articolul 18 din Regulamentul (UE) 2019/1020 se aplică acțiunilor corective.

(2) Atunci când evaluează importanța unui risc de securitate cibernetică vizat la alineatul (1) de la prezentul articol, autoritățile de supraveghere a pieței iau în considerare și factorii de risc fără caracter tehnic, în special cei stabiliți după evaluările coordonate la nivelul Uniunii ale riscurilor în materie de securitate ale lanțurilor de aprovizionare critice, efectuate în conformitate cu articolul 22 din Directiva (UE) 2022/2555. Dacă o autoritate de supraveghere a pieței are motive suficiente să considere că un produs cu elemente digitale prezintă un risc important în materie de securitate cibernetică având în vedere factori de risc fără caracter tehnic, aceasta informează autoritățile competente desemnate sau instituite în temeiul articolului 8 din Directiva (UE) 2022/2555 și cooperează cu autoritățile respective în funcție de necesități.

(3) Dacă autoritatea de supraveghere a pieței consideră că neconformitatea nu se limitează la teritoriul său național, aceasta informează Comisia și celelalte state membre cu privire la rezultatele evaluării și la acțiunile pe care le-a impus operatorului economic.

(4) Operatorul economic se asigură că sunt întreprinse toate acțiunile corective adecvate pentru toate produsele cu elemente digitale în cauză pe care acesta le-a pus la dispoziție pe piață în întreaga Uniune.

(5) În cazul în care operatorul economic nu întreprinde acțiuni corective adecvate în termenul menționat la alineatul (1) al doilea paragraf, autoritatea de supraveghere a pieței ia toate măsurile provizorii adecvate pentru a interzice sau a restricționa punerea la dispoziție a produsului respectiv cu elemente digitale pe piața sa națională, pentru a-l retrage de pe piață sau pentru a-l rechema.

Autoritatea respectivă înștiințează Comisia și celelalte state membre, fără întârziere, cu privire la măsurile respective.

(6) Informațiile menționate la alineatul (5) trebuie să cuprindă toate detaliile disponibile, în special datele necesare pentru identificarea produsului cu elemente digitale care sunt neconforme, originea produsului cu elemente digitale, natura neconformității invocate și riscul pe care aceasta îl implică, natura și durata măsurilor naționale adoptate, precum și argumentele prezentate de operatorul economic relevant. În special, autoritatea de supraveghere a pieței indică dacă neconformitatea se datorează unuia sau mai multora dintre motivele următoare:

(7) Autoritățile de supraveghere a pieței din statele membre, altele decât autoritatea de supraveghere a pieței din statul membru care a inițiat procedura, informează fără întârziere Comisia și celelalte state membre cu privire la toate măsurile adoptate și la toate informațiile suplimentare deținute referitoare la neconformitatea produsului cu elemente digitale în cauză și, în cazul în care nu sunt de acord cu privire la măsura națională notificată, cu privire la obiecțiile lor.

(8) În cazul în care, în termen de trei luni de la primirea înștiințării menționate la alineatul (5) de la prezentul articol, niciun stat membru și nici Comisia nu ridică vreo obiecție cu privire la o măsură provizorie luată de un stat membru, măsura respectivă este considerată a fi justificată. Acest lucru nu aduce atingere drepturilor procedurale care îi revin operatorului economic în cauză în conformitate cu articolul 18 din Regulamentul (UE) 2019/1020.

(9) Autoritățile de supraveghere a pieței din toate statele membre se asigură că se iau măsuri restrictive adecvate în ceea ce privește produsul în cauză, cum ar fi retragerea fără întârziere a produsului cu elemente digitale de pe piețele lor.

Procedura de salvgardare a Uniunii

(1) Dacă în termen de trei luni de la primirea notificării menționate la articolul 54 alineatul (5) un stat membru ridică obiecții împotriva unei măsuri adoptate de un alt stat membru sau în cazul în care Comisia consideră că măsura este contrară dreptului Uniunii, Comisia inițiază fără întârziere consultări cu statul membru relevant și cu operatorul sau operatorii economici în cauză și evaluează măsura națională. Pe baza rezultatelor evaluării respective, Comisia decide dacă măsura națională este justificată sau nu în termen de nouă luni de la notificarea menționată la articolul 54 alineatul (5) și notifică respectiva decizie statului membru în cauză.

(2) Dacă măsura națională este considerată justificată, toate statele membre iau măsurile necesare pentru a garanta că produsul cu elemente digitale considerat neconform este retras de pe piețele lor și informează Comisia în consecință. Dacă măsura națională este considerată ca fiind nejustificată, statul membru în cauză retrage măsura.

(3) Dacă măsura națională este considerată a fi justificată, iar neconformitatea produsului cu elemente digitale este atribuită unor deficiențe ale standardelor armonizate, Comisia aplică procedura prevăzută la articolul 11 din Regulamentul (UE) nr. 1025/2012.

(4) Dacă măsura națională este considerată a fi justificată, iar neconformitatea produsului cu elemente digitale este atribuită unor deficiențe ale unui sistem european de certificare de securitate cibernetică menționat la articolul 27, Comisia analizează dacă este oportun să modifice sau să abroge orice act delegat adoptat în temeiul articolului 27 alineatul (9) care precizează prezumția de conformitate în ceea ce privește sistemul de certificare respectiv.

(5) Dacă măsura națională este considerată a fi justificată, iar neconformitatea produsului cu elemente digitale este atribuită unor deficiențe ale specificațiilor comune menționate la articolul 27, Comisia analizează dacă este oportun să modifice sau să abroge actul de punere în aplicare adoptat conform articolului 27 alineatul (2) care stabilește specificațiile comune respective.

Procedura la nivelul Uniunii privind produsele cu elemente digitale care prezintă un risc semnificativ în materie de securitate cibernetică

(1) Dacă Comisia are motive suficiente să considere, inclusiv pe baza informațiilor furnizate de ENISA, că un produs cu elemente digitale care prezintă un risc semnificativ în materie de securitate cibernetică nu respectă cerințele prevăzute în prezentul regulament, aceasta informează autoritățile relevante de supraveghere a pieței. Dacă autoritățile de supraveghere a pieței efectuează o evaluare a produsului respectiv cu elemente digitale care poate prezenta un risc semnificativ în materie de securitate cibernetică în ceea ce privește conformitatea acestuia cu cerințele prevăzute în prezentul regulament, se aplică procedurile menționate la articolele 54 și 55.

(2) În cazul în care Comisia are motive suficiente să considere că un produs cu elemente digitale prezintă un risc important în materie de securitate cibernetică având în vedere factori de risc fără caracter tehnic, aceasta informează autoritățile de supraveghere a pieței competente și, după caz, autoritățile competente desemnate sau instituite în temeiul articolului 8 din Directiva (UE) 2022/2555 și cooperează cu autoritățile respective în funcție de necesități. Comisia analizează totodată relevanța riscurilor identificate pentru respectivul produs cu elemente digitale, având în vedere sarcinile sale în evaluările coordonate la nivelul Uniunii ale riscurilor de securitate ale lanțurilor de aprovizionare critice, prevăzute la articolul 22 din Directiva (UE) 2022/2555, și consultă, după caz, grupul de cooperare instituit în temeiul articolului 14 din Directiva (UE) 2022/2555 și ENISA.

(3) În circumstanțe care justifică o intervenție imediată pentru a menține buna funcționare a pieței interne și în cazul în care Comisia are motive suficiente să considere că produsul cu elemente digitale menționat la alineatul (1) continuă să nu respecte cerințele prevăzute în prezentul regulament, iar autoritățile relevante de supraveghere a pieței nu au luat măsuri eficace, Comisia efectuează o evaluare a conformității și poate solicita ENISA să efectueze o analiză în sprijinul acesteia. Comisia informează autoritățile relevante de supraveghere a pieței în consecință. Operatorii economici relevanți cooperează cu ENISA în funcție de necesități.

(4) Pe baza evaluării menționate la alineatul (3), Comisia poate stabili că este necesară o acțiune corectivă sau restrictivă la nivelul Uniunii. În acest scop, Comisia consultă fără întârziere statele membre în cauză și operatorul sau operatorii economici relevanți.

(5) Pe baza consultării menționate la alineatul (4) de la prezentul articol, Comisia poate adopta acte de punere în aplicare pentru a asigura măsuri corective sau restrictive la nivelul Uniunii, inclusiv de retragere de pe piață sau rechemare a respectivelor produse cu elemente digitale, într-un termen rezonabil, proporțional cu natura riscului. Aceste acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 62 alineatul (2).

(6) Comisia comunică imediat actele de punere în aplicare menționate la alineatul (5) operatorului sau operatorilor economici relevanți. Statele membre pun în aplicare fără întârziere aceste acte de punere în aplicare și informează Comisia în consecință.

(7) Alineatele (3)-(6) se aplică pe durata situației excepționale care a justificat intervenția Comisiei cu condiția ca respectivul produs cu elemente digitale să nu fie adus în conformitate cu prezentul regulament.

Produse cu elemente digitale care sunt conforme, dar care prezintă un risc semnificativ în materie de securitate cibernetică

(1) Autoritatea de supraveghere a pieței dintr-un stat membru solicită unui operator economic să ia toate măsurile adecvate în cazul în care, după efectuarea unei evaluări în temeiul articolului 54, constată că, deși un produs cu elemente digitale și procesele instituite de producător sunt în conformitate cu prezentul regulament, acestea prezintă un risc semnificativ în materie de securitate cibernetică, precum și un risc pentru:

Măsurile prevăzute la primul paragraf pot include măsuri prin care să se asigure că respectivul produs cu elemente digitale și procesele instituite de producător nu mai prezintă riscurile respective atunci când este pus la dispoziție pe piață, măsuri care să prevadă retragerea de pe piață a produsului cu elemente digitale în cauză sau rechemarea acestuia și sunt proporționale cu natura riscurilor respective.

(2) Producătorul sau alți operatori economici relevanți se asigură că sunt întreprinse acțiuni corective cu privire la produsele cu elemente digitale în cauză pe care aceștia le-au pus la dispoziție pe piață în întreaga Uniune, în termenul prevăzut de autoritatea de supraveghere a pieței din statul membru menționat la alineatul (1).

(3) Statul membru informează imediat Comisia și celelalte state membre cu privire la măsurile luate în temeiul alineatului (1). Informațiile respective includ toate detaliile disponibile, în special datele necesare pentru identificarea respectivelor produse cu elemente digitale, originea și lanțul de aprovizionare aferente acestor produse, natura riscului implicat, precum și natura și durata măsurilor naționale adoptate.

(4) Comisia inițiază fără întârziere consultări cu statele membre și cu operatorul economic relevant și evaluează măsurile naționale adoptate. Pe baza rezultatelor evaluării respective, Comisia decide dacă măsura este justificată sau nu și, dacă este cazul, propune măsuri adecvate.

(5) Comisia comunică decizia menționată la alineatul (4) celorlalte state membre.

(6) În cazul în care are motive suficiente să considere, inclusiv pe baza informațiilor furnizate de ENISA, că un produs cu elemente digitale, deși este conform cu prezentul regulament, prezintă riscurile menționate la alineatul (1) de la prezentul articol, Comisia informează și poate solicita autorității sau autorităților relevante de supraveghere a pieței să efectueze o evaluare și să urmeze procedurile menționate la articolul 54 și la alineatele (1), (2) și (3) din prezentul articol.

(7) În circumstanțe care justifică o intervenție imediată pentru a menține buna funcționare a pieței interne și în cazul în care Comisia are motive suficiente să considere că produsul cu elemente digitale menționat la alineatul (6) continuă să prezinte riscurile prevăzute la alineatul (1), iar autoritățile naționale relevante de supraveghere a pieței nu au luat măsuri eficace, Comisia efectuează o evaluare a riscurilor prezentate de produsul cu elemente digitale și poate solicita ENISA să realizeze o analiză în sprijinul respectivei evaluări și informează autoritățile relevante de supraveghere a pieței în consecință. Operatorii economici relevanți cooperează cu ENISA în funcție de necesități.

(8) Pe baza evaluării menționate la alineatul (7), Comisia poate stabili că este necesară o acțiune corectivă sau restrictivă la nivelul Uniunii. În acest scop, Comisia consultă fără întârziere statele membre în cauză și operatorul sau operatorii economici relevanți.

(9) Pe baza consultării menționate la alineatul (8) de la prezentul articol, Comisia poate adopta acte de punere în aplicare pentru a decide cu privire la măsuri corective sau restrictive la nivelul Uniunii, inclusiv de retragere de pe piață sau rechemare a respectivelor produse cu elemente digitale, într-un termen rezonabil, proporțional cu natura riscului. Aceste acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 62 alineatul (2).

(10) Comisia comunică imediat actele de punere în aplicare menționate la alineatul (9) operatorului sau operatorilor economici relevanți. Statele membre pun în aplicare fără întârziere aceste acte de punere în aplicare și informează Comisia în consecință.

(11) Alineatele (6)-(10) se aplică pe durata situației excepționale care a justificat intervenția Comisiei și atât timp cât respectivul produs cu elemente digitale continuă să prezinte riscurile menționate la alineatul (1).

Neconformitatea formală

(1) Autoritatea de supraveghere a pieței dintr-un stat membru solicită producătorului relevant să pună capăt neconformității în cauză, atunci când constată una dintre situațiile următoare:

(2) Dacă neconformitatea menționată la alineatul (1) persistă, statul membru în cauză ia toate măsurile corespunzătoare pentru a restricționa sau a interzice punerea la dispoziție pe piață a produsului cu elemente digitale sau pentru a se asigura că acesta este rechemat sau retras de pe piață.

Activități comune ale autorităților de supraveghere a pieței

(1) Autoritățile de supraveghere a pieței pot conveni cu alte autorități relevante să desfășoare activități comune menite să asigure securitatea cibernetică și protecția consumatorilor în ceea ce privește anumite produse cu elemente digitale introduse pe piață sau puse la dispoziție pe piață, în special produsele cu elemente digitale despre care se constată adesea că prezintă riscuri de securitate cibernetică.

(2) Comisia sau ENISA propune desfășurarea de activități comune de verificare a conformității cu prezentul regulament de către autoritățile de supraveghere a pieței pe baza unor indicii sau informații privind o potențială neconformitate în mai multe state membre a unor produse cu elemente digitale care intră în domeniul de aplicare al prezentului regulament cu cerințele prevăzute în acesta.

(3) Autoritățile de supraveghere a pieței și, după caz, Comisia, se asigură că acordul privind desfășurarea de activități comune nu duce la o concurență neloială între operatorii economici și nu afectează obiectivitatea, independența și imparțialitatea părților la acord.

(4) O autoritate de supraveghere a pieței poate utiliza orice informație obținută ca rezultat al activităților comune desfășurate în cadrul oricărei investigații pe care o efectuează.

(5) Respectiva autoritate de supraveghere a pieței și, după caz, Comisia, pun la dispoziția publicului acordul privind activitățile comune, inclusiv numele părților implicate.

Acțiuni de verificare

(1) Autoritățile de supraveghere a pieței decid să desfășoare acțiuni de control coordonate simultane (denumite în continuare „acțiuni de verificare”) pentru anumite produse cu elemente digitale sau pentru anumite categorii de astfel de produse, în scopul de a verifica respectarea prezentului regulament sau de a detecta încălcările acestuia. Aceste acțiuni de verificare includ inspecții ale produselor cu elemente digitale achiziționate sub o identitate falsă.

(2) Cu excepția cazului în care autoritățile de supraveghere a pieței în cauză convin altfel, acțiunile de verificare sunt coordonate de Comisie. Dacă este cazul, coordonatorul acțiunii de verificare pune rezultatele agregate la dispoziția publicului.

(3) În cazul în care, în îndeplinirea sarcinilor sale, inclusiv pe baza notificărilor primite în conformitate cu articolul 14 alineatele (1) și (3), ENISA identifică categorii de produse cu elemente digitale pentru care pot fi organizate acțiuni de verificare, aceasta prezintă o propunere de acțiuni de verificare coordonatorului menționat la alineatul (2) de la prezentul articol, pentru a fi examinată de autoritățile de supraveghere a pieței.

(4) Atunci când desfășoară acțiuni de verificare, autoritățile de supraveghere a pieței implicate pot utiliza competențele de investigare prevăzute la articolele 52-58 și orice alte competențe care le sunt conferite de dreptul intern.

(5) Autoritățile de supraveghere a pieței pot invita funcționari ai Comisiei și alte persoane însoțitoare autorizate de Comisie să participe la acțiunile de verificare.

Exercitarea delegării de competențe

(1) Comisiei i se conferă competența de a adopta acte delegate sub rezerva condițiilor prevăzute la prezentul articol.

(2) Comisiei i se conferă competența de a adopta acte delegate menționată la articolul 2 alineatul (5) al doilea paragraf, la articolul 7 alineatul (3), la articolul 8 alineatele (1) și (2), la articolul 13 alineatul (8) al patrulea paragraf, la articolul 14 alineatul (9), la articolul 25, la articolul 27 alineatul (9), la articolul 28 alineatul (5) și la articolul 31 alineatul (5) pe o perioadă de cinci ani de la 10 decembrie 2024. Comisia prezintă un raport privind delegarea de competențe cel târziu cu nouă luni înainte de încheierea perioadei de cinci ani. Delegarea de competențe se prelungește tacit cu perioade de timp identice, cu excepția cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puțin trei luni înainte de încheierea fiecărei perioade.

(3) Delegarea de competențe menționată la articolul 2 alineatul (5) al doilea paragraf, la articolul 7 alineatul (3), la articolul 8 alineatele (1) și (2), la articolul 13 alineatul (8) al patrulea paragraf, la articolul 14 alineatul (9), la articolul 25, la articolul 27 alineatul (9), la articolul 28 alineatul (5) și la articolul 31 alineatul (5) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(4) Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

(5) De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(6) Un act delegat adoptat în temeiul articolului 2 alineatul (5) al doilea paragraf, al articolului 7 alineatul (3), al articolului 8 alineatul (1) sau (2), al articolului 13 alineatul (8) al patrulea paragraf, al articolului 14 alineatul (9), al articolului 25, al articolului 27 alineatul (9), al articolului 28 alineatul (5) sau al articolului 31 alineatul (5) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de două luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, atât Parlamentul European, cât și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului.

Procedura comitetului

(1) Comisia este asistată de un comitet. Respectivul comitet reprezintă un comitet în înțelesul Regulamentului (UE) nr. 182/2011.

(2) În cazul în care se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

(3) În cazul în care avizul comitetului trebuie obținut prin procedură scrisă, această procedură se încheie fără rezultat dacă, înainte de expirarea termenului de transmitere a avizului, acest lucru este hotărât de președintele comitetului sau solicitat un membru al comitetului.

Confidențialitate

(1) Toate părțile implicate în aplicarea prezentului regulament respectă confidențialitatea informațiilor și a datelor obținute în îndeplinirea sarcinilor și a activităților lor într-un mod care să protejeze în special:

(2) Fără a aduce atingere alineatului (1), informațiile transmise în mod confidențial între autoritățile de supraveghere a pieței, precum și între autoritățile de supraveghere a pieței și Comisie nu trebuie divulgate fără acordul prealabil al autorității de supraveghere a pieței care le-a emis.

(3) Alineatele (1) și (2) nu aduc atingere drepturilor și obligațiilor care revin Comisiei, statelor membre și organismelor notificate cu privire la schimbul de informații și la difuzarea avertizărilor, și nici obligațiilor persoanelor în cauză de a furniza informații în temeiul dreptului penal al statelor membre.

(4) Atunci când este necesar, Comisia și statele membre pot face schimb de informații sensibile cu autoritățile relevante din țări terțe cu care au încheiat acorduri de confidențialitate bilaterale sau multilaterale care garantează un nivel adecvat de protecție.

Sancțiuni

(1) Statele membre adoptă normele privind sancțiunile care se aplică în cazul nerespectării prezentului regulament și iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancțiunile trebuie să fie efective, proporționale și cu efect de descurajare. Statele membre notifică normele și măsurile respective Comisiei fără întârziere și îi comunică acesteia, de asemenea fără întârziere, orice modificare ulterioară a acestora.

(2) Nerespectarea cerințelor esențiale de securitate cibernetică prevăzute în anexa I și a obligațiilor prevăzute la articolele 13 și 14 face obiectul unor amenzi administrative de până la 15 000 000 EUR sau, în cazul în care autorul infracțiunii este o întreprindere, de până la 2,5 % din cifra sa de afaceri anuală totală la nivel mondial pentru exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare dintre acestea.

(3) Nerespectarea obligațiilor prevăzute la articolele 18-23, la articolul 28, la articolul 30 alineatele (1)-(4), la articolul 31 alineatele (1)-(4), la articolul 32 alineatele (1), (2) și (3), la articolul 33 alineatul (5) și la articolele 39, 41, 47, 49 și 53 face obiectul unor amenzi administrative de până la 10 000 000 EUR sau, în cazul în care autorul infracțiunii este o întreprindere, de până la 2 % din cifra sa de afaceri anuală totală la nivel mondial pentru exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare dintre acestea.

(4) Furnizarea de informații incorecte, incomplete sau înșelătoare organismelor notificate și autorităților de supraveghere a pieței ca răspuns la o cerere face obiectul unor amenzi administrative de până la 5 000 000 EUR sau, în cazul în care autorul infracțiunii este o întreprindere, de până la 1 % din cifra sa de afaceri anuală totală la nivel mondial pentru exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare dintre acestea.

(5) Atunci când se ia o decizie cu privire la cuantumul amenzii administrative în fiecare caz în parte, se iau în considerare toate circumstanțele relevante ale situației specifice și se acordă atenția cuvenită următoarelor aspecte:

(6) Autoritățile de supraveghere a pieței care aplică amenzi administrative comunică aceste decizii autorităților de supraveghere a pieței din alte state membre prin intermediul sistemului de informații și comunicare menționat la articolul 34 din Regulamentul (UE) 2019/1020.

(7) Fiecare stat membru stabilește norme pentru a stabili dacă și în ce măsură pot fi impuse amenzi administrative autorităților și organismelor publice stabilite în statul membru respectiv.

(8) În funcție de sistemul juridic al statelor membre, normele privind amenzile administrative pot fi aplicate de așa manieră încât amenzile să fie impuse de instanțele naționale competente sau de alte organisme, potrivit competențelor stabilite la nivel național în statele membre respective. Aplicarea unor astfel de norme în statele membre respective are un efect echivalent.

(9) Pot fi impuse amenzi administrative, în funcție de circumstanțele fiecărui caz în parte, în plus față de orice alte măsuri corective sau restrictive aplicate de autoritățile de supraveghere a pieței pentru aceeași încălcare.

(10) Prin derogare de la alineatele (3)-(9), amenzile administrative menționate la alineatele respective nu se aplică:

Acțiuni în reprezentare

Directiva (UE) 2020/1828 se aplică acțiunilor în reprezentare introduse împotriva încălcărilor dispozițiilor prezentului regulament de către operatorii economici care prejudiciază sau pot prejudicia interesele colective ale consumatorilor.

Modificarea Regulamentului (UE) 2019/1020

În anexa I la Regulamentul (UE) 2019/1020 se adaugă următorul punct:

„72.

Regulamentul (UE) 2024/2847 al Parlamentului European și al Consiliului (*1).

Modificarea Directivei (UE) 2020/1828

În anexa I la Directiva (UE) 2020/1828 se adaugă următorul punct:

„69.

Regulamentul (UE) 2024/2847 al Parlamentului European și al Consiliului (*2).

Modificarea Regulamentului (UE) nr. 168/2013

În tabelul din partea C1 din anexa II la Regulamentul (UE) nr. 168/2013 al Parlamentului European și al Consiliului (38) se adaugă următoarea rubrică:

„

”

Dispoziții tranzitorii

(1) Certificatele de examinare UE de tip și deciziile de aprobare emise în ceea ce privește cerințele de securitate cibernetică pentru produsele cu elemente digitale care fac obiectul legislației de armonizare a Uniunii diferită de prezentul regulament, rămân valabile până la 11 iunie 2028, cu excepția cazului în care expiră înainte de data respectivă sau cu excepția cazului în care se prevede altfel în respectiva legislație de armonizare a Uniunii, caz în care rămân valabile, astfel cum se menționează în legislația respectivă.

(2) Produsele cu elemente digitale care au fost introduse pe piață înainte de 11 decembrie 2027 fac obiectul cerințelor prevăzute în prezentul regulament numai dacă, de la acea dată, produsele respective fac obiectul unei modificări substanțiale.

(3) Prin derogare de la alineatul (2) de la prezentul articol, obligațiile prevăzute la articolul 14 se aplică tuturor produselor cu elemente digitale care intră în domeniul de aplicare al prezentului regulament și care au fost introduse pe piață înainte de 11 decembrie 2027.

Evaluare și reexaminare

(1) Până la 11 decembrie 2030 și, ulterior, o dată la patru ani, Comisia transmite Parlamentului European și Consiliului un raport privind evaluarea și revizuirea prezentului regulament. Rapoartele respective se publică.

(2) Până la 11 septembrie 2028, Comisia, după consultarea ENISA și a rețelei CSIRT, prezintă Parlamentului European și Consiliului un raport de evaluare a eficacității platformei unice de raportare prevăzute la articolul 16 și de evaluare a impactului aplicării de către rețea a motivelor ce țin de securitatea cibernetică menționate la articolul 16 alineatul (2), drept coordonatori pentru eficacitatea platformei unice de raportare în diseminarea în timp util către alte CSIRT relevante a notificărilor primite.

Intrarea în vigoare și aplicarea

(1) Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2) Prezentul regulament se aplică de la 11 decembrie 2027.

Cu toate acestea, articolul 14 se aplică de la 11 septembrie 2026, iar capitolul IV (articolele 35-51) se aplică de la 11 iunie 2026.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Strasbourg, 23 octombrie 2024.