Akt o kybernetickej odolnosti

Predmet úpravy

V tomto nariadení sa stanovujú:

Rozsah pôsobnosti

1. Toto nariadenie sa uplatňuje na produkty s digitálnymi prvkami sprístupnenými na trhu, ktorých zamýšľaný účel alebo odôvodnene predvídateľné použitie zahŕňa priame alebo nepriame logické alebo fyzické dátové pripojenie k zariadeniu alebo sieti.

2. Toto nariadenie sa neuplatňuje na produkty s digitálnymi prvkami, na ktoré sa uplatňujú tieto právne akty Únie:

3. Toto nariadenie sa neuplatňuje na produkty s digitálnymi prvkami, ktoré boli certifikované v súlade s nariadením (EÚ) 2018/1139.

4. Toto nariadenie sa nevzťahuje na vybavenie, ktoré patrí do rozsahu pôsobnosti smernice Európskeho parlamentu a Rady 2014/90/EÚ (36).

5. Uplatňovanie tohto nariadenia na produkty s digitálnymi prvkami, na ktoré sa vzťahujú iné pravidlá Únie stanovujúce požiadavky, ktoré sa týkajú všetkých alebo niektorých rizík, na ktoré sa vzťahujú základné požiadavky kybernetickej bezpečnosti stanovené v prílohe I, sa môže obmedziť alebo vylúčiť, ak:

Komisia je v súlade s článkom 61 splnomocnená prijímať delegované akty s cieľom doplniť toto nariadenie stanovením toho, či je takéto obmedzenie alebo vylúčenie potrebné, dotknutých produktov a pravidiel, ako aj prípadného rozsahu obmedzenia.

6. Toto nariadenie sa nevzťahuje na náhradné diely, ktoré sa sprístupňujú na trhu s cieľom nahradiť identické komponenty v produktoch s digitálnymi prvkami a ktoré sa vyrábajú podľa rovnakých špecifikácií ako komponenty, ktoré majú nahradiť.

7. Toto nariadenie sa neuplatňuje na produkty s digitálnymi prvkami vyvinuté alebo upravené výlučne na účely národnej bezpečnosti alebo na účely obrany alebo na produkty osobitne určené na spracúvanie utajovaných skutočností.

8. Povinnosti stanovené v tomto nariadení nezahŕňajú poskytovanie informácií, ktorých zverejnenie by bolo v rozpore so základnými záujmami členských štátov v oblasti národnej bezpečnosti, verejnej bezpečnosti alebo obrany.

Vymedzenie pojmov

Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:

Voľný pohyb

1. Členské štáty nesmú v prípade záležitostí, na ktoré sa vzťahuje toto nariadenie, brániť sprístupňovaniu produktov s digitálnymi prvkami, ktoré sú v súlade s týmto nariadením, na trhu.

2. Na obchodných veľtrhoch, výstavách a predvádzaniach alebo podobných podujatiach nesmú členské štáty brániť ukážkam alebo používaniu produktu s digitálnymi prvkami, ktorý nie je v súlade s týmto nariadením, vrátane jeho prototypov, za predpokladu, že produkt je prezentovaný s viditeľným označením, ktoré jasne uvádza, že nie je v súlade s týmto nariadením a že nesmie byť sprístupnený na trhu, kým sa nedosiahne súlad.

3. Členské štáty nesmú brániť sprístupňovaniu nedokončeného softvéru, ktorý nie je v súlade s týmto nariadením, na trhu za predpokladu, že softvér sa sprístupní len na obmedzený čas potrebný na účely testovania s viditeľným označením, ktoré jasne uvádza, že nie je v súlade s týmto nariadením a že nebude dostupný na trhu na iné účely, než je testovanie.

4. Odsek 3 sa nevzťahuje na bezpečnostné komponenty uvedené v harmonizačných právnych predpisoch Únie iných, ako je toto nariadenie.

Obstarávanie alebo používanie produktov s digitálnymi prvkami

1. Toto nariadenie nebráni členským štátom, aby na produkty s digitálnymi prvkami uplatňovali dodatočné kybernetickobezpečnostné požiadavky na obstarávanie alebo používanie týchto produktov na konkrétne účely, a to aj v prípadoch, keď sa tieto produkty obstarávajú alebo používajú na účely národnej bezpečnosti alebo obrany, za predpokladu, že takéto požiadavky sú v súlade s povinnosťami členských štátov stanovenými v práve Únie a že sú potrebné a primerané na dosiahnutie týchto účelov.

2. Bez toho, aby boli dotknuté smernice 2014/24/EÚ a 2014/25/EÚ, ak sa obstarávajú produkty s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia, členské štáty zabezpečia, aby sa v postupoch obstarávania zohľadňoval súlad so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I k tomuto nariadeniu vrátane schopnosti výrobcov účinne riešiť zraniteľnosti.

Požiadavky na produkty s digitálnymi prvkami

Produkty s digitálnymi prvkami sa na trhu sprístupnia, len ak:

Dôležité produkty s digitálnymi prvkami

1. Produkty s digitálnymi prvkami, ktoré majú základnú funkciu kategórie produktov stanovenej v prílohe III, sa považujú za dôležité produkty s digitálnymi prvkami a podliehajú postupom posudzovania zhody uvedeným v článku 32 ods. 2 a 3. Integrácia produktu s digitálnymi prvkami, ktorý má základnú funkciu kategórie produktov stanovenej v prílohe III, sama osebe nespôsobuje, že produkt, do ktorého je integrovaný, podlieha postupom posudzovania zhody uvedeným v článku 32 ods. 2 a 3.

2. Kategórie produktov s digitálnymi prvkami uvedené v odseku 1 tohto článku rozdelené do tried I a II, ako sa uvádza v prílohe III, spĺňajú aspoň jedno z týchto kritérií:

3. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 s cieľom zmeniť prílohu III zaradením novej kategórie v každej triede kategórií produktov s digitálnymi prvkami do zoznamu, stanovením jej vymedzenia, presunutím kategórie produktov z jednej triedy do druhej alebo vypustením existujúcej kategórie z tohto zoznamu. Pri posudzovaní potreby zmeniť zoznam uvedený v prílohe III Komisia zohľadní funkcie súvisiace s kybernetickou bezpečnosťou alebo funkciu a úroveň kybernetickobezpečnostného rizika, ktoré predstavujú produkty s digitálnymi prvkami, ako sa stanovuje v kritériách uvedených v odseku 2 tohto článku.

V delegovaných aktoch uvedených v prvom pododseku tohto odseku sa v prípade potreby stanoví minimálne prechodné obdobie 12 mesiacov, najmä ak sa nová kategória dôležitých produktov s digitálnymi prvkami doplní do triedy I alebo II alebo sa presunie z triedy I do triedy II, ako sa stanovuje v prílohe III, pred začatím uplatňovania príslušných postupov posudzovania zhody uvedených v článku 32 ods. 2 a 3, pokiaľ nie je z vážnych a naliehavých dôvodov opodstatnené kratšie prechodné obdobie.

4. Komisia do 11. decembra 2025 prijme vykonávací akt, v ktorom spresní technický opis kategórií produktov s digitálnymi prvkami v triedach I a II stanovených v prílohe III a technický opis kategórií produktov s digitálnymi prvkami stanovený v prílohe IV. Uvedený vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.

Kritické produkty s digitálnymi prvkami

1. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 na doplnenie tohto nariadenia s cieľom určiť, ktoré produkty s digitálnymi prvkami, ktoré majú základnú funkciu kategórie produktov stanovenej v prílohe IV k tomuto nariadeniu, sa majú vyžadovať na získanie európskeho certifikátu kybernetickej bezpečnosti aspoň na úrovni záruky „významná“ v rámci európskej schémy certifikácie kybernetickej bezpečnosti prijatej podľa nariadenia (EÚ) 2019/881, aby sa preukázala zhoda so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I k tomuto nariadeniu alebo jeho častí za predpokladu, že európska schéma certifikácie kybernetickej bezpečnosti, ktorá sa vzťahuje na tieto kategórie produktov s digitálnymi prvkami, bola prijatá podľa nariadenia (EÚ) 2019/881 a výrobcovia ju majú k dispozícii. V uvedených delegovaných aktoch sa stanoví požadovaná úroveň záruky, ktorá je primeraná úrovni kybernetickobezpečnostného rizika spojeného s produktmi s digitálnymi prvkami a zohľadňuje ich zamýšľaný účel vrátane kritickej závislosti kľúčových subjektov uvedených v článku 3 ods. 1 smernice (EÚ) 2022/2555 od nich.

Komisia pred prijatím takýchto delegovaných aktov vykoná posúdenie potenciálneho vplyvu plánovaných opatrení na trh a uskutoční konzultácie s príslušnými zainteresovanými stranami vrátane európskej skupiny pre certifikáciu kybernetickej bezpečnosti zriadenej podľa nariadenia (EÚ) 2019/881. V posúdení sa zohľadní pripravenosť a úroveň kapacity členských štátov na vykonávanie príslušnej európskej schémy certifikácie kybernetickej bezpečnosti. Ak neboli prijaté žiadne delegované akty uvedené v prvom pododseku tohto odseku, produkty s digitálnymi prvkami, ktoré majú základnú funkciu kategórie produktov stanovenej v prílohe IV, podliehajú postupom posudzovania zhody uvedeným v článku 32 ods. 3.

V delegovaných aktoch uvedených v prvom pododseku sa stanoví minimálne prechodné obdobie šiestich mesiacov, pokiaľ z vážnych a naliehavých dôvodov nie je opodstatnené kratšie prechodné obdobie.

2. Komisia je v súlade s článkom 61 splnomocnená prijímať delegované akty s cieľom zmeniť prílohu IV pridaním alebo vypustením kategórií kritických produktov s digitálnymi prvkami. Pri určovaní takýchto kategórií kritických produktov s digitálnymi prvkami a požadovanej úrovne záruky v súlade s odsekom 1 tohto článku Komisia zohľadní kritériá uvedené v článku 7 ods. 2 a zabezpečí, aby kategórie produktov s digitálnymi prvkami spĺňali aspoň jedno z týchto kritérií:

Pred prijatím takýchto delegovaných aktov Komisia vykoná typové posúdenie uvedené v odseku 1.

V delegovaných aktoch uvedených v prvom pododseku sa stanoví minimálne prechodné obdobie šiestich mesiacov, pokiaľ z vážnych a naliehavých dôvodov nie je opodstatnené kratšie prechodné obdobie.

Konzultácie so zainteresovanými stranami

1. Pri príprave opatrení na vykonávanie tohto nariadenia Komisia konzultuje s príslušnými zainteresovanými stranami, ako sú príslušné orgány členských štátov, podniky súkromného sektora vrátane mikropodnikov a malých a stredných podnikov, komunita v oblasti softvéru s otvoreným zdrojovým kódom, spotrebiteľské združenia, akademická obec a príslušné agentúry a orgány Únie, ako aj expertné skupiny zriadené na úrovni Únie, a ich stanoviská zohľadní. Komisia v prípade potreby vedie štruktúrované konzultácie s týmito zainteresovanými stranami a vyžiada si ich názor, najmä keď:

2. Komisia aspoň raz ročne usporiada pravidelné konzultácie a informačné stretnutia s cieľom zhromaždiť názory zainteresovaných strán uvedených v odseku 1 na vykonávanie tohto nariadenia.

Zlepšovanie zručností v kyberneticky odolnom digitálnom prostredí

Na účely tohto nariadenia a s cieľom reagovať na potreby odborníkov na podporu vykonávania tohto nariadenia členské štáty podľa potreby s podporou Komisie, Európskeho centra kompetencií v oblasti kybernetickej bezpečnosti a agentúry ENISA, pričom plne rešpektujú zodpovednosť členských štátov v oblasti vzdelávania, presadzujú opatrenia a stratégie zamerané na:

Všeobecná bezpečnosť produktov

Odchylne od článku 2 ods. 1 tretieho pododseku písm. b) nariadenia (EÚ) 2023/988 sa kapitola III oddiel 1, kapitoly V a VII a kapitoly IX až XI uvedeného nariadenia uplatňujú na produkty s digitálnymi prvkami, pokiaľ ide o aspekty a riziká alebo kategórie rizík, na ktoré sa nevzťahuje toto nariadenie, ak sa na tieto produkty nevzťahujú osobitné bezpečnostné požiadavky stanovené inými harmonizačnými právnymi predpismi Únie v zmysle vymedzenia v článku 3 bode 27 nariadenia (EÚ) 2023/988.

Vysokorizikové systémy AI

1. Bez toho, aby boli dotknuté požiadavky na presnosť a odolnosť stanovené v článku 15 nariadenia (EÚ) 2024/1689, produkty s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia a ktoré sú klasifikované ako vysokorizikové systémy AI podľa článku 6 uvedeného nariadenia, sa považujú za produkty spĺňajúce požiadavky kybernetickej bezpečnosti stanovené v článku 15 uvedeného nariadenia, ak:

2. V prípade produktov s digitálnymi prvkami a požiadaviek na kybernetickú bezpečnosť uvedených v odseku 1 tohto článku sa uplatňuje príslušný postup posudzovania zhody stanovený v článku 43 nariadenia (EÚ) 2024/1689. Na účely uvedeného posudzovania sú notifikované osoby, ktoré sú kompetentné kontrolovať zhodu vysokorizikových systémov AI podľa nariadenia (EÚ) 2024/1689 kompetentné kontrolovať aj zhodu vysokorizikových systémov AI, ktoré patria do rozsahu pôsobnosti tohto nariadenia, s požiadavkami uvedenými v prílohe I k tomuto nariadeniu za predpokladu, že súlad týchto notifikovaných osôb s požiadavkami stanovenými v článku 39 tohto nariadenia bol posúdený v kontexte postupu notifikácie podľa nariadenia (EÚ) 2024/1689.

3. Odchylne od odseku 2 tohto článku dôležité produkty s digitálnymi prvkami uvedené v prílohe III k tomuto nariadeniu, ktoré podliehajú postupom posudzovania zhody uvedeným v článku 32 ods. 2 písm. a) a b) a článku 32 ods. 3 tohto nariadenia a kritické produkty s digitálnymi prvkami uvedené v prílohe IV k tomuto nariadeniu, ktoré musia zároveň získať európsky certifikát kybernetickej bezpečnosti podľa článku 8 ods. 1 tohto nariadenia alebo, ak ho nemajú, ktoré podliehajú postupom posudzovania zhody podľa článku 32 ods. 3 tohto nariadenia a ktoré sú klasifikované ako vysokorizikové systémy AI podľa článku 6 nariadenia (EÚ) 2024/1689 a na ktoré sa uplatňuje postup posudzovania zhody založený na vnútornej kontrole uvedenej v prílohe VI k nariadeniu (EÚ) 2024/1689, podliehajú postupom posudzovania zhody podľa tohto nariadenia, pokiaľ ide o základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení.

4. Výrobcovia produktov s digitálnymi prvkami uvedenými v odseku 1 tohto článku sa môžu zúčastňovať na experimentálnych regulačných prostrediach pre AI uvedených v článku 57 nariadenia (EÚ) 2024/1689.

Povinnosti výrobcov

1. Výrobcovia pri uvádzaní produktu s digitálnymi prvkami na trh zaistia, aby bol navrhnutý, vyvinutý a vyrobený v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v časti I prílohy I.

2. Na účel dosiahnutia súladu s odsekom 1 výrobcovia vykonajú posúdenie kybernetickobezpečnostných rizík spojených s produktom s digitálnymi prvkami a výsledok tohto posúdenia zohľadňujú vo fáze plánovania, návrhu, vývoja, výroby, dodania a údržby produktu s digitálnymi prvkami s cieľom minimalizovať kybernetickobezpečnostné riziká, predchádzať incidentom a minimalizovať ich vplyv, a to aj v súvislosti so zdravím a bezpečnosťou používateľov.

3. Posúdenie kybernetickobezpečnostných rizík sa zdokumentuje a podľa potreby aktualizuje počas obdobia podpory, ktoré sa určí v súlade s odsekom 8 tohto článku. Toto posúdenie kybernetickobezpečnostných rizík zahŕňa aspoň analýzu kybernetickobezpečnostných rizík založenú na zamýšľanom účele a logicky predvídateľnom používaní a podmienkach používania produktu s digitálnymi prvkami, ako je prevádzkové prostredie alebo aktíva, ktoré sa majú chrániť, s ohľadom na dĺžku predpokladaného používania produktu. V posúdení kybernetickobezpečnostných rizík sa uvedie, či, a ak áno, akým spôsobom sa bezpečnostné požiadavky stanovené v bode 2 časti I prílohy I vzťahujú na príslušný produkt s digitálnymi prvkami a ako sa tieto požiadavky vykonávajú na základe posúdenia kybernetickobezpečnostných rizík. Takisto sa v ňom uvedie, ako má výrobca uplatňovať bod 1 časti I prílohy I a požiadavky na riešenie zraniteľností stanovené v časti II prílohy I.

4. Pri uvádzaní produktu s digitálnymi prvkami na trh výrobca zahrnie posudzovanie kybernetickobezpečnostných rizík podľa odseku 3 tohto článku do technickej dokumentácie požadovanej podľa článku 31 a prílohy VII. V prípade produktov s digitálnymi prvkami uvedených v článku 12, ktoré podliehajú aj iným právnym aktom Únie, môže byť posudzovanie kybernetickobezpečnostných rizík súčasťou posudzovania rizík vyžadovaného v týchto právnych aktoch Únie. Ak na produkt s digitálnymi prvkami nemožno uplatniť určité základné požiadavky kybernetickej bezpečnosti, výrobca zahrnie do uvedenej technickej dokumentácie jasné odôvodnenie.

5. Na účely dosiahnutia súladu s odsekom 1 výrobcovia uplatňujú náležitú starostlivosť pri integrácii komponentov získaných od tretích strán tak, aby tieto komponenty neohrozovali kybernetickú bezpečnosť produktu s digitálnymi prvkami, a to aj pri integrácii komponentov slobodného softvéru a softvéru s otvoreným zdrojovým kódom, ktoré neboli sprístupnené na trhu v priebehu obchodnej činnosti.

6. Výrobcovia pri identifikácii zraniteľnosti v komponente, a to aj v komponente s otvoreným zdrojovým kódom, ktorý je integrovaný do produktu s digitálnymi prvkami, oznámia zraniteľnosť osobe alebo subjektu, ktorý komponent vyrába alebo vykonáva jeho údržbu, a riešia a odstraňujú zraniteľnosť v súlade s požiadavkami na riešenie zraniteľnosti stanovenými v časti II prílohy I. Ak výrobcovia vyvinuli úpravu softvéru alebo hardvéru na riešenie zraniteľnosti daného komponentu, poskytnú príslušný kód alebo dokumentáciu osobe alebo subjektu, ktoré komponent vyrábajú alebo vykonávajú jeho údržbu, v prípade potreby v strojovo čitateľnom formáte.

7. Výrobcovia systematicky dokumentujú spôsobom, ktorý je primeraný povahe a kybernetickobezpečnostným rizikám, príslušné aspekty kybernetickej bezpečnosti týkajúce sa produktov s digitálnymi prvkami vrátane zraniteľností, o ktorých sa dozvedeli, a akékoľvek relevantné informácie získané od tretích strán a v relevantnom prípade aktualizujú posúdenie kybernetickobezpečnostných rizík produktov.

8. Pri uvádzaní produktu s digitálnymi prvkami na trh a počas obdobia podpory výrobcovia zaistia, aby sa zraniteľnosti tohto produktu vrátane jeho komponentov riešili účinne a v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v časti II prílohy I.

Výrobcovia určia obdobie podpory s ohľadom na dĺžku predpokladaného používania produktu, pričom zohľadnia najmä primerané očakávania používateľov, povahu produktu vrátane jeho zamýšľaného účelu, ako aj príslušné právo Únie, ktorým sa určuje životnosť produktov s digitálnymi prvkami. Pri určovaní obdobia podpory môžu výrobcovia zohľadniť aj obdobia podpory produktov s digitálnymi prvkami s podobnou funkciou, ktoré na trh uvádzajú iní výrobcovia, dostupnosť prevádzkového prostredia, obdobia podpory integrovaných komponentov so základnými funkciami, ktoré pochádzajú od tretích strán, ako aj príslušné usmernenia od špecializovanej skupiny pre administratívnu spoluprácu (ďalej len „ADCO“) zriadenej podľa článku 52 ods. 15 a Komisiou. Záležitosti, ktoré sa majú zohľadniť pri určovaní obdobia podpory, sa posudzujú spôsobom, ktorým sa zabezpečí proporcionalita.

Bez toho, aby bol dotknutý druhý pododsek, trvá obdobie podpory najmenej päť rokov. Ak sa predpokladá, že produkt s digitálnymi prvkami sa bude používať menej ako päť rokov, obdobie podpory musí zodpovedať očakávanému obdobiu používania.

S prihliadnutím na odporúčania skupiny ADCO uvedené v článku 52 ods. 16 môže Komisia prijať delegované akty v súlade s článkom 61 s cieľom doplniť toto nariadenie špecifikovaním minimálneho obdobia podpory pre konkrétne kategórie produktov, ak z údajov dohľadu nad trhom vyplýva neprimerané obdobie podpory.

Výrobcovia uvedú informácie, ktoré sa zohľadnili pri určovaní obdobia podpory produktu s digitálnymi prvkami, v technickej dokumentácii stanovenej v prílohe VII.

Výrobcovia majú vhodné politiky a postupy vrátane politík koordinovaného zverejňovania informácií o zraniteľnostiach uvedených v bode 5 časti II prílohy I na spracovanie a nápravu možných zraniteľností produktu s digitálnymi prvkami oznámených internými alebo externými zdrojmi.

9. Výrobcovia zabezpečia, aby každá bezpečnostná aktualizácia uvedená v bode 8 časti II prílohy I, ktorá bola sprístupnená používateľom počas obdobia podpory, zostala k dispozícii po jej vydaní minimálne 10 rokov alebo počas zvyšku obdobia podpory, podľa toho, čo trvá dlhšie.

10. Ak výrobca uviedol na trh následné podstatne upravené verzie softvérového produktov, môže zabezpečiť súlad so základnou požiadavkou kybernetickej bezpečnosti stanovenou v bode 2 časti II prílohy I len v prípade verzie, ktorú naposledy uviedol na trh, za predpokladu, že používatelia verzií, ktoré boli uvedené na trh predtým, majú bezplatný prístup k verzii naposledy uvedenej na trh a nevznikajú im dodatočné náklady na úpravu hardvérového a softvérového prostredia, v ktorom používajú pôvodnú verziu tohto produktu.

11. Výrobcovia môžu viesť verejné softvérové archívy na zlepšenie prístupu používateľov k historickým verziám. V týchto prípadoch musia byť používatelia jasne a jednoducho dostupným spôsobom informovaní o rizikách spojených s používaním softvéru, ktorý už nie je podporovaný.

12. Výrobcovia pred uvedením produktu s digitálnymi prvkami na trh vypracujú technickú dokumentáciu uvedenú v článku 31.

Vykonajú alebo dajú vykonať zvolené postupy posudzovania zhody uvedené v článku 32.

Keď bol súlad produktu s digitálnymi prvkami so základnými požiadavkami kybernetickej bezpečnosti stanovenými v časti I prílohy I a procesov zavedených výrobcom so základnými požiadavkami kybernetickej bezpečnosti stanovenými v časti II prílohy I preukázaný týmto postupom posudzovania zhody, výrobcovia vypracujú EÚ vyhlásenie o zhode v súlade s článkom 28 a umiestnia označenie CE v súlade s článkom 30.

13. Výrobcovia uchovávajú technickú dokumentáciu a EÚ vyhlásenie o zhode k dispozícii pre orgány pre dohľad nad trhom aspoň 10 rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podpory, podľa toho, čo trvá dlhšie.

14. Výrobcovia zaistia, aby boli zavedené postupy, vďaka ktorým bude v sériovej výrobe zachovaná zhoda produktov s digitálnymi prvkami s týmto nariadením. Výrobcovia primerane zohľadnia zmeny v procese vývoja a výroby alebo v návrhu či vlastnostiach produktu s digitálnymi prvkami a zmeny v harmonizovaných normách, európskych schémach certifikácie kybernetickej bezpečnosti alebo spoločných špecifikáciách uvedených v článku 27, na základe ktorých sa zhoda produktu s digitálnymi prvkami vyhlásila alebo ktorých uplatnením sa zhoda overila.

15. Výrobcovia zabezpečia, aby ich produkty s digitálnymi prvkami boli označené číslom typu, šarže alebo série alebo iným prvkom umožňujúcim ich identifikáciu, alebo ak to nie je možné, aby sa tieto informácie uvádzali na obale alebo v sprievodnej dokumentácii produktu s digitálnymi prvkami.

16. Na produkte s digitálnymi prvkami, na jeho obale alebo v sprievodnej dokumentácii uvedú výrobcovia svoje meno, zapísané obchodné meno alebo zapísanú ochrannú známku, poštovú a e-mailovú adresu alebo iné digitálne kontaktné údaje, a prípadne webové sídlo, na ktorých sa s nimi možno skontaktovať. Tieto informácie sa uvedú aj v informáciách a návode pre používateľa stanovených v prílohe II. Kontaktné údaje sú v jazyku ľahko zrozumiteľnom pre používateľov a orgány dohľadu nad trhom.

17. Na účely tohto nariadenia určia výrobcovia jednotné kontaktné miesto, aby používatelia mohli s nimi priamo a rýchlo komunikovať, a to aj s cieľom uľahčiť nahlasovanie zraniteľností produktu s digitálnymi prvkami.

Výrobcovia zabezpečia, aby používatelia mohli jednotné kontaktné miesto ľahko identifikovať. Jednotné kontaktné miesto uvedú aj v informáciách a návode pre používateľa stanovených v prílohe II.

Jednotné kontaktné miesto umožní používateľom bez obmedzenia na automatizované nástroje vybrať si, ktoré prostriedky uprednostnia.

18. Výrobcovia zabezpečia, aby boli k produktom s digitálnymi prvkami priložené informácie a návod pre používateľa uvedené v prílohe II, a to v tlačenej alebo elektronickej podobe. Uvedené informácie a pokyny sa poskytujú v jazyku ľahko zrozumiteľnom pre používateľa a orgány dohľadu nad trhom. Musia byť jasné, zrozumiteľné, pochopiteľné a čitateľné. Musia umožniť bezpečnú inštaláciu, prevádzku a používanie produktov s digitálnymi prvkami. Pre potreby používateľov a orgánov dohľadu nad trhom uchovávajú výrobcovia informácie a návod pre používateľa uvedené v prílohe II aspoň 10 rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podpory, podľa toho, čo trvá dlhšie. Ak sa takéto informácie a návod poskytujú online, výrobcovia zabezpečia, aby boli prístupné, používateľsky ústretové a dostupné online aspoň 10 rokov po uvedení produktu s digitálnymi prvkami na trh alebo počas obdobia podpory, podľa toho, čo trvá dlhšie.

19. Výrobcovia zabezpečia, aby bol v čase nákupu jasne a zrozumiteľne uvedený dátum skončenia obdobia podpory uvedeného v odseku 8, a to aspoň mesiac a rok, a to ľahko dostupným spôsobom a prípadne na produkte s digitálnymi prvkami, jeho obale alebo digitálnymi prostriedkami.

Ak je to vzhľadom na povahu produktu s digitálnymi prvkami technicky možné, výrobcovia zobrazia pre používateľov oznámenie s informáciou, že obdobie podpory ich produktu s digitálnymi prvkami sa skončilo.

20. Výrobcovia spolu s produktom s digitálnymi prvkami poskytnú buď kópiu EÚ vyhlásenia o zhode alebo zjednodušené EÚ vyhlásenie o zhode. Ak poskytnú zjednodušené EÚ vyhlásenie o zhode, musí obsahovať presnú internetovú adresu, na ktorej je sprístupnené úplné znenie EÚ vyhlásenia o zhode.

21. Od uvedenia na trh a počas obdobia podpory výrobcovia, ktorí majú vedomosť alebo dôvod domnievať sa, že produkt s digitálnymi prvkami alebo nimi zavedené postupy nie sú v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I, bezodkladne prijmú podľa vhodnosti nápravné opatrenia potrebné na uvedenie tohto produktu s digitálnymi prvkami alebo postupov výrobcu do súladu s príslušnými požiadavkami alebo na stiahnutie produktu z trhu alebo od používateľa.

22. Na základe odôvodnenej žiadosti orgánu dohľadu nad trhom poskytnú výrobcovia danému orgánu v jazyku, ktorý je pre tento orgán ľahko zrozumiteľný, všetky informácie a dokumentáciu v tlačenej alebo elektronickej forme potrebné na preukázanie zhody produktu s digitálnymi prvkami a postupov zavedených výrobcom so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I. Na žiadosť tohto orgánu s ním výrobcovia spolupracujú pri všetkých opatreniach na odstránení kybernetickobezpečnostných rizík, ktoré predstavuje produkt s digitálnymi prvkami nimi uvedený na trh.

23. Výrobca, ktorý ukončí svoju činnosť a v dôsledku toho nie je schopný dosiahnuť súlad s týmto nariadením, ešte pred ukončením činnosti informuje príslušné orgány dohľadu nad trhom a všetkými dostupnými prostriedkami a v maximálnej možnej miere aj používateľov relevantných produktov s digitálnymi prvkami uvedených na trh o nastávajúcom ukončení činnosti.

24. Komisia môže prostredníctvom vykonávacích aktov a s ohľadom na európske alebo medzinárodné normy a odporúčané postupy špecifikovať formát a prvky zoznamu softvéru uvedeného v bode 1 časti II prílohy I. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.

25. S cieľom posúdiť závislosť členských štátov a Únie ako celku od softvérových komponentov, a najmä od komponentov kvalifikovaných ako slobodný softvér a softvér s otvoreným zdrojovým kódom, sa skupina ADCO môže rozhodnúť, že posúdi závislosť celej Únie od konkrétnych kategórií produktov s digitálnymi prvkami. Na tento účel môžu orgány dohľadu nad trhom požadovať od výrobcov takýchto kategórií produktov s digitálnymi prvkami, aby poskytli príslušné zoznamy softvéru, ako sa uvádzajú v bode 1 časti II prílohy I. Na základe takýchto informácií môžu orgány dohľadu nad trhom poskytnúť skupine ADCO anonymizované a súhrnné informácie o závislosti od softvéru. Skupina ADCO poskytne správu o výsledkoch posúdenia závislosti skupine pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555.

Ohlasovacie povinnosti výrobcov

1. Výrobca oznámi každú aktívne zneužitú zraniteľnosť produktu s digitálnymi prvkami, o ktorej sa dozvie, jednotke CSIRT určenej za koordinátora v súlade s odsekom 7 tohto článku a súčasne agentúre ENISA. Výrobca túto aktívne zneužitú zraniteľnosť oznámi prostredníctvom jednotnej oznamovacej platformy zriadenej podľa článku 16.

2. Na účely oznamovania uvedeného v odseku 1 výrobca poskytne:

3. Výrobca oznámi každý závažný incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, o ktorom sa dozvie, súčasne jednotke CSIRT určenej za koordinátora v súlade s odsekom 7 tohto článku a agentúre ENISA. Výrobca tento incident oznámi cez jednotnú oznamovaciu platformu zriadenú podľa článku 16.

4. Na účely oznamovania uvedeného v odseku 3 výrobca poskytne:

5. Na účely odseku 3 sa incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, považuje za závažný, ak:

6. Jednotka CSIRT určená za koordinátora, ktorý na začiatku prijme oznámenie, môže v prípade potreby požiadať výrobcov, aby poskytli priebežnú správu o relevantných aktuálnych informáciách o stave aktívne zneužívanej zraniteľnosti alebo závažného incidentu, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami.

7. Oznámenia uvedené v odsekoch 1 a 3 tohto článku sa podávajú cez jednotnú oznamovaciu platformu uvedenú v článku 16, pričom sa použije jeden z koncových bodov na elektronické oznamovanie uvedených v článku 16 ods. 1. Oznámenie sa podáva cez koncový bod na elektronické oznamovanie u jednotky CSIRT určenej za koordinátora toho členského štátu, v ktorom majú výrobcovia hlavné miesto podnikateľskej činnosti v Únii, a zároveň je prístupné agentúre ENISA.

Na účely tejto smernice sa o výrobcovi predpokladá, že má hlavné miesto podnikateľskej činnosti v Únii v tom členskom štáte, v ktorom sa najčastejšie prijímajú rozhodnutia o kybernetickej bezpečnosti jeho produktov s digitálnymi prvkami. Ak takýto členský štát nemožno určiť, za hlavné miesto podnikateľskej činnosti sa považuje ten členský štát, v ktorom má dotknutý výrobca prevádzku s najvyšším počtom zamestnancov v Únii.

Ak výrobca nemá hlavné miesto podnikateľskej činnosti v Únii, podáva oznámenia uvedené v odsekoch 1 a 3 cez koncový bod na elektronické oznamovanie u jednotky CSIRT určenej za koordinátora v členskom štáte stanovenom na základe informácií, ktoré má výrobca k dispozícii, v tomto poradí:

V súvislosti s tretím pododsekom písm. d) môže výrobca podávať oznámenia o akejkoľvek následnej aktívne zneužívanej zraniteľnosti alebo závažnom incidente, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami, tej istej jednotke CSIRT určenej za koordinátora, ktorej podal oznámenie prvýkrát.

8. Po tom, ako sa výrobca dozvedel o aktívne zneužitej zraniteľnosti alebo závažnom incidente, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami, informuje postihnutých používateľov produktu s digitálnymi prvkami a v relevantnom prípade všetkých používateľov o uvedenej zraniteľnosti alebo incidente a v prípade potreby o akomkoľvek zmierňovaní rizík a nápravných opatreniach, ktoré môžu používatelia zaviesť na zmiernenie vplyvu tejto zraniteľnosti alebo incidentu, v relevantnom prípade v štruktúrovanom, strojovo čitateľnom formáte, ktorý je automaticky ľahko spracovateľný. Ak výrobca včas neinformuje používateľov o produkte s digitálnymi prvkami, notifikované jednotky CSIRT určené za koordinátorov môžu používateľom poskytnúť takéto informácie, ak to považujú za primerané a potrebné na predchádzanie vplyvu tejto zraniteľnosti alebo incidentu alebo na jeho zmiernenie.

9. Komisia prijme do 11. decembra 2025 delegované akty v súlade s článkom 61 tohto nariadenia s cieľom doplniť toto nariadenie vymedzením podmienok pre uplatnenie dôvodov súvisiacich s kybernetickou bezpečnosťou vo vzťahu k odloženému rozosielaniu oznámení, ako sa uvádza v článku 16 ods. 2 tohto nariadenia. Pri príprave návrhov delegovaných aktov spolupracuje Komisia so sieťou jednotiek CSIRT zriadenou podľa článku 15 smernice (EÚ) 2022/2555 a agentúrou ENISA.

10. Komisia môže prostredníctvom vykonávacích aktov bližšie určiť formát a postupy oznamovania uvedené v tomto článku, ako aj v článkoch 15 a 16. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2. Pri príprave týchto návrhov delegovaných aktov spolupracuje Komisia so sieťou jednotiek CSIRT a agentúrou ENISA.

Dobrovoľné oznamovanie

1. Výrobcovia, ako aj iné fyzické alebo právnické osoby môžu jednotke CSIRT určenej za koordinátora alebo agentúre ENISA dobrovoľne oznámiť akúkoľvek zraniteľnosť produktu s digitálnymi prvkami, ako aj kybernetické hrozby, ktoré by mohli zasiahnuť rizikový profil produktu s digitálnymi prvkami.

2. Výrobcovia, ako aj iné fyzické alebo právnické osoby môžu jednotke CSIRT určenej za koordinátora alebo agentúre ENISA dobrovoľne oznámiť akýkoľvek incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, ako aj udalosti odvrátené v poslednej chvíli, ktorých následkom by mohol byť takýto incident.

3. Jednotka CSIRT určená za koordinátora alebo agentúra ENISA spracúvajú oznámenia uvedené v odsekoch 1 a 2 tohto článku v súlade s postupom stanoveným v článku 16.

Jednotka CSIRT určená za koordinátora môže uprednostniť spracovanie povinných oznámení pred dobrovoľnými.

4. Ak fyzická alebo právnická osoba iná ako výrobca oznámi aktívne zneužitú zraniteľnosť alebo závažný incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami v súlade s odsekom 1 alebo 2, jednotka CSIRT určená za koordinátora bez zbytočného odkladu o tom informuje výrobcu.

5. Jednotka CSIRT určená za koordinátora, ako aj agentúra ENISA zabezpečia dôvernosť a primeranú ochranu informácií od oznamujúcej fyzickej alebo právnickej osoby. Bez toho, aby bola dotknutá prevencia, vyšetrovanie, odhaľovanie a stíhanie trestných činov, oznamujúcej fyzickej alebo právnickej osobe nevznikajú v dôsledku dobrovoľného oznámenia žiadne ďalšie povinnosti, ktoré by sa na ňu nevzťahovali, ak by oznámenie nepodala.

Zriadenie jednotnej oznamovacej platformy

1. Na účely oznámení uvedených v článku 14 ods. 1 a 3 a článku 15 ods. 1 a 2 a s cieľom zjednodušiť oznamovacie povinnosti výrobcov zriadi agentúra ENISA jednotnú oznamovaciu platformu. Agentúra ENISA spravuje každodennú prevádzku tejto jednotnej oznamovacej platformy a vykonáva jej údržbu. Architektúra jednotnej oznamovacej platformy umožňuje členským štátom a agentúre ENISA zriadiť si vlastné koncové body na elektronické oznamovanie.

2. Jednotka CSIRT určená za koordinátora, ktorej sa na začiatku oznámenie doručí, po jeho doručení bezodkladne rozošle oznámenie prostredníctvom jednotnej oznamovacej platformy jednotkám CSIRT určeným za koordinátorov, na území ktorých bol produkt s digitálnymi prvkami podľa informácií výrobcu sprístupnený.

Za výnimočných okolností, a najmä na žiadosť výrobcu a vzhľadom na úroveň citlivosti oznámených informácií, ako uvádza výrobca podľa článku 14 ods. 2 písm. a) tohto nariadenia, sa rozosielanie oznámenia môže odložiť z opodstatnených dôvodov súvisiacich s kybernetickou bezpečnosťou na nevyhnutne potrebné obdobie, a to aj vtedy, keď sa na zraniteľnosť vzťahuje koordinovaný postup zverejňovania zraniteľností, ako sa uvádza v článku 12 ods. 1 smernice (EÚ) 2022/2555. Ak sa jednotka CSIRT rozhodne oznámenie nevydať, bezodkladne o svojom rozhodnutí informuje agentúru ENISA a nevydanie oznámenia odôvodní s uvedením, kedy oznámenie rozošle v súlade s postupom rozosielania stanoveným v tomto odseku. Jednotku CSIRT môže pri uplatňovaní dôvodov súvisiacich s kybernetickou bezpečnosťou v súvislosti s odloženým rozosielaním oznámenia podporovať agentúra ENISA.

Za obzvlášť výnimočných okolností, keď výrobca v oznámení uvedenom v článku 14 ods. 2 písm. b) uvedie:

agentúre ENISA sa súčasne sprístupnia len informácie o tom, že oznámenie poskytol výrobca, všeobecné informácie o produkte, informácie o všeobecnej povahe zneužitia a informácie o tom, že sa vyskytli dôvody súvisiace s bezpečnosťou, a to až do rozoslania úplného oznámenia dotknutým jednotkám CSIRT a agentúre ENISA. Ak sa agentúra ENISA na základe týchto informácií domnieva, že existuje systémové riziko ovplyvňujúce bezpečnosť na vnútornom trhu, odporučí prijímajúcej jednotke CSIRT, aby rozoslala úplné oznámenie ostatným jednotkám CSIRT určeným za koordinátorov a samotnej agentúre ENISA.

3. Po doručení oznámenia o aktívnom zneužití zraniteľnosti produktu s digitálnymi prvkami alebo o závažnom incidente, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, jednotky CSIRT určené za koordinátorov poskytnú orgánom dohľadu nad trhom svojich príslušných členských štátov oznámené informácie, ktoré orgány dohľadu nad trhom potrebujú na plnenie svojich povinností podľa tohto nariadenia.

4. Agentúra ENISA prijme vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie rizík pre bezpečnosť jednotnej oznamovacej platformy a informácií podávaných alebo šírených prostredníctvom jednotnej oznamovacej platformy. Každý bezpečnostný incident, ktorý má vplyv na jednotnú oznamovaciu platformu, bez zbytočného odkladu oznámi sieti jednotiek CSIRT, ako aj Komisii.

5. Agentúra ENISA v spolupráci so sieťou jednotiek CSIRT poskytuje a vykonáva špecifikácie technických, prevádzkových a organizačných opatrení na zriadenie, údržbu a bezpečnú prevádzku jednotnej oznamovacej platformy uvedenej v odseku 1, a to aspoň vrátane bezpečnostných opatrení týkajúcich sa zriadenia, prevádzky a údržby jednotnej oznamovacej platformy, ako aj koncových bodov na elektronické oznamovanie zriadených jednotkami CSIRT určenými za koordinátorov na vnútroštátnej úrovni a agentúrou ENISA na úrovni Únie vrátane procesných aspektov na zabezpečenie toho, aby sa v prípade, že pre oznámenú zraniteľnosť nie sú nápravné alebo zmierňujúce opatrenia, vymieňali informácie o tejto zraniteľnosti podľa prísnych bezpečnostných protokolov a podľa zásady „need-to-know“.

6. Ak jednotka CSIRT určená za koordinátora bola informovaná o aktívne zneužitej zraniteľnosti v rámci koordinovaného postupu zverejňovania zraniteľností, ako sa uvádza v článku 12 ods. 1 smernice (EÚ) 2022/2555, jednotka CSIRT určená za koordinátora, ktorej bolo pôvodne doručené oznámenie, môže odložiť rozosielanie príslušného oznámenia cez jednotnú oznamovaciu platformu z opodstatnených dôvodov súvisiacich s kybernetickou bezpečnosťou na obdobie, ktoré nie je dlhšie, než je nevyhnutne potrebné, a až do získania súhlasu zúčastnených strán poskytujúcich koordinované informácie o zraniteľnostiach so zverejnením. Táto požiadavka nebráni výrobcom, aby dobrovoľne oznamovali takúto zraniteľnosť v súlade s postupom stanoveným v tomto článku.

Ďalšie ustanovenia o oznamovaní

1. Jednotka ENISA môže Európskej sieti styčných organizácií pre kybernetické krízy (EU-CyCLONe) zriadenej článkom 16 smernice (EÚ) 2022/2555 poskytnúť informácie oznámené podľa článku 14 ods. 1 a 3 a článku 15 ods. 1 a 2 tohto nariadenia, ak sú takéto informácie relevantné pre koordinované riadenie rozsiahlych kybernetickobezpečnostných incidentov a kríz na operačnej úrovni. Na určenie tejto relevantnosti môže agentúra ENISA zvážiť technické analýzy vykonávané sieťou jednotiek CSIRT, ak sú k dispozícii.

2. Ak je informovanosť verejnosti potrebná na zabránenie alebo zmiernenie závažného incidentu, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami alebo na riešenie prebiehajúceho incidentu, alebo ak je zverejnenie incidentu inak vo verejnom záujme, jednotka CSIRT určená za koordinátora v príslušnom členskom štáte môže po konzultácii s dotknutým výrobcom a v relevantnom prípade v spolupráci s agentúrou ENISA informovať verejnosť o incidente alebo požiadať výrobcu, aby tak urobil.

3. Agentúra ENISA na základe oznámení doručených podľa článku 14 ods. 1 a 3 a článku 15 ods. 1 a 2 tohto nariadenia vypracuje každých 24 mesiacov technickú správu o nových trendoch kybernetickej bezpečnosti v prípade produktov s digitálnymi prvkami a poskytne ju skupine pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555. Prvú takúto správu poskytne do 24 mesiacov odo dňa začatia uplatňovania povinností stanovených v článku 14 ods. 1 a 3 tohto nariadenia. Agentúra ENISA uvedie relevantné informácie z technických správ vo svojej správe o stave kybernetickej bezpečnosti v Únii podľa článku 18 smernice (EÚ) 2022/2555.

4. Samotným úkonom oznámenia v súlade s článkom 14 ods. 1 a 3 alebo článkom 15 ods. 1 a 2 nevzniká oznamujúcej fyzickej alebo právnickej osobe zvýšená zodpovednosť.

5. Keď je k dispozícii bezpečnostná aktualizácia alebo iná forma nápravného alebo zmierňujúceho opatrenia, agentúra ENISA po dohode s výrobcom dotknutého produktu s digitálnymi prvkami doplní verejne známu zraniteľnosť oznámenú podľa článku 14 ods. 1 alebo článku 15 ods. 1 tohto nariadenia do európskej databázy zraniteľností zriadenej podľa článku 12 ods. 2 smernice (EÚ) 2022/2555.

6. Jednotky CSIRT určené za koordinátorov poskytujú podporu asistenčnej služby v súvislosti s oznamovacími povinnosťami podľa článku 14 výrobcom, a to najmä výrobcom považovaným za mikropodniky alebo malé či stredné podniky.

Splnomocnení zástupcovia

1. Výrobca môže určiť splnomocneného zástupcu písomným splnomocnením.

2. Povinnosti stanovené v článku 13 ods. 1 až 11, článku 13 ods. 12 prvom pododseku a v článku 13 ods. 14 nie sú súčasťou splnomocnenia splnomocneného zástupcu.

3. Splnomocnený zástupca vykonáva úlohy uvedené v splnomocnení od výrobcu. Splnomocnený zástupca poskytne kópiu splnomocnenia na požiadanie orgánu dohľadu nad trhom. Splnomocnením sa splnomocnenému zástupcovi umožní prinajmenšom:

Povinnosti dovozcov

1. Dovozcovia uvádzajú na trh len produkty s digitálnymi prvkami, ktoré spĺňajú základné požiadavky kybernetickej bezpečnosti stanovené v časti I prílohy I, a len ak sú postupy zavedené výrobcom v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v časti II prílohy I.

2. Pred uvedením produktu s digitálnymi prvkami na trh sa dovozcovia uistia, že:

Na účely tohto odseku musia byť dovozcovia schopní poskytnúť potrebné doklady preukazujúce splnenie požiadaviek stanovených v tomto článku.

3. Ak sa dovozca domnieva alebo má dôvod sa domnievať, že produkt s digitálnymi prvkami alebo postupy zavedené výrobcom nie sú v zhode s týmto nariadením, dovozca neuvedie produkt na trh, kým sa v prípade tohto produktu alebo postupov zavedených výrobcom nedosiahne zhoda s týmto nariadením. Ak produkt s digitálnymi prvkami predstavuje navyše významné kybernetickobezpečnostné riziko, dovozca o tom informuje výrobcu a orgány dohľadu nad trhom.

Ak má dovozca dôvod domnievať sa, že produkt s digitálnymi prvkami môže predstavovať významné kybernetickobezpečnostné riziko vzhľadom na netechnické rizikové faktory, informuje o tom orgány dohľadu nad trhom. Po doručení takýchto informácií sa orgány dohľadu nad trhom riadia postupmi uvedenými v článku 54 ods. 2.

4. Dovozcovia uvedú na produkte s digitálnymi prvkami, na jeho obale alebo v sprievodnej dokumentácii produktu s digitálnymi prvkami svoje meno, zapísané obchodné meno alebo zapísanú ochrannú známku, poštovú adresu, emailovú adresu alebo iný digitálny kontaktný údaj, ako aj prípadné webové sídlo, na ktorých sa s nimi možno skontaktovať. Kontaktné údaje sú v jazyku, ktorý je pre používateľov a orgány dohľadu nad trhom ľahko zrozumiteľný.

5. Dovozcovia, ktorí majú vedomosť alebo dôvod domnievať sa, že produkt s digitálnymi prvkami, ktorý uviedli na trh, nie je v zhode s týmto nariadením, bezodkladne prijmú nápravné opatrenia nevyhnutné na zabezpečenie toho, aby produkt s digitálnymi prvkami bol v súlade s týmto nariadením, alebo ho v prípade potreby stiahnu z trhu či od používateľa.

Po zistení zraniteľnosti produktu s digitálnymi prvkami dovozcovia bez zbytočného odkladu informujú o tejto zraniteľnosti výrobcu. Ak produkt s digitálnymi prvkami predstavuje navyše významné kybernetickobezpečnostné riziko, dovozcovia o tom bezodkladne informujú orgány dohľadu nad trhom členských štátov, v ktorých produkt s digitálnymi prvkami sprístupnili na trhu, pričom uvedú podrobnosti najmä o nesúlade a o všetkých prijatých nápravných opatreniach.

6. Dovozcovia uchovávajú pre orgány dohľadu nad trhom k dispozícii kópiu EÚ vyhlásenia o zhode aspoň 10 rokov od uvedenia produktu s digitálnymi prvkami na trh alebo počas obdobia podpory podľa toho, čo trvá dlhšie a zaistia, aby bola týmto orgánom na ich žiadosť sprístupnená technická dokumentácia.

7. Dovozcovia poskytnú orgánu dohľadu nad trhom na základe jeho odôvodnenej žiadosti všetky informácie a dokumenty v papierovej alebo elektronickej forme potrebné na preukázanie zhody produktu s digitálnymi prvkami so základnými požiadavkami kybernetickej bezpečnosti stanovenými v časti I prílohy I, ako aj postupov zavedených výrobcom so základnými požiadavkami kybernetickej bezpečnosti stanovenými v časti II prílohy I, a to v jazyku, ktorý je pre tento orgán ľahko zrozumiteľný. Na žiadosť tohto orgánu s ním spolupracujú pri všetkých opatreniach prijatých na odstránenie kybernetickobezpečnostných rizík, ktoré predstavuje produkt s digitálnymi prvkami, ktorý uviedli na trh.

8. Ak sa dovozca produktu s digitálnymi prvkami dozvie, že výrobca tohto produktu ukončil činnosť a v dôsledku toho nie je schopný plniť povinnosti stanovené v tomto nariadení, dovozca informuje o tejto situácii príslušné orgány dohľadu nad trhom a všetkými dostupnými prostriedkami a v maximálnej možnej miere aj používateľov produktov s digitálnymi prvkami uvedených na trh.

Povinnosti distribútorov

1. Pri sprístupňovaní produktu s digitálnymi prvkami na trhu konajú distribútori vo vzťahu k požiadavkám stanoveným v tomto nariadení s náležitou starostlivosťou.

2. Pred sprístupnením produktu s digitálnymi prvkami na trhu distribútori overia, či:

3. Ak sa distribútor na základe svojich informácií domnieva alebo má dôvod sa domnievať, že produkt s digitálnymi prvkami alebo postupy zavedené výrobcom nie sú v zhode so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I, nesmie produkt s digitálnymi prvkami sprístupniť na trhu, kým sa tento produkt alebo postupy zavedené výrobcom neuvedú do zhody s týmto nariadením. Ak produkt s digitálnymi prvkami predstavuje navyše významné kybernetickobezpečnostné riziko, distribútor o tom bezodkladne informuje výrobcu a orgány dohľadu nad trhom.

4. Distribútori, ktorí na základe svojich informácií majú vedomosť alebo dôvod sa domnievať, že produkt s digitálnymi prvkami, ktorý sprístupnili na trhu, alebo postupy zavedené jeho výrobcom nie sú v súlade s týmto nariadením, zaistia, aby boli prijaté nápravné opatrenia potrebné na to, aby tento produkt s digitálnymi prvkami alebo postupy zavedené jeho výrobcom uviedli do súladu, alebo prípadne na stiahnutie produktu z trhu alebo od používateľa.

Po zistení zraniteľnosti produktu s digitálnymi prvkami distribútori bez zbytočného odkladu informujú o tejto zraniteľnosti výrobcu. Ak produkt s digitálnymi prvkami predstavuje navyše významné kybernetickobezpečnostné riziko, distribútori o tom bezodkladne informujú orgány dohľadu nad trhom členských štátov, v ktorých produkt s digitálnymi prvkami sprístupnili na trhu, pričom uvedú najmä podrobnosti o nesúlade a o všetkých prijatých nápravných opatreniach.

5. Distribútori poskytnú orgánu dohľadu nad trhom na základe jeho odôvodnenej žiadosti všetky informácie a dokumenty v papierovej alebo elektronickej forme potrebné na preukázanie zhody produktu s digitálnymi prvkami a postupov zavedených jeho výrobcom s týmto nariadením v jazyku, ktorý je pre tento orgán ľahko zrozumiteľný. Na žiadosť tohto orgánu s ním spolupracujú pri akýchkoľvek opatreniach prijatých na odstránenie kybernetickobezpečnostných rizík, ktoré predstavuje produkt s digitálnymi prvkami, ktorý sprístupnili na trhu.

6. Ak sa distribútor produktu s digitálnymi prvkami na základe svojich informácií dozvie, že výrobca tohto produktu ukončil svoju činnosť a v dôsledku toho nie je schopný splniť povinnosti stanovené v tomto nariadení, distribútor bezodkladne informuje o tejto situácii príslušné orgány dohľadu nad trhom a akýmikoľvek dostupnými prostriedkami a v čo najväčšej možnej miere aj používateľov produktov s digitálnymi prvkami uvedených na trh.

Prípady, v ktorých sa povinnosti výrobcov vzťahujú na dovozcov a distribútorov

Dovozca alebo distribútor sa na účely tohto nariadenia považuje za výrobcu a vzťahujú sa naňho články 13 a 14, ak tento dovozca alebo distribútor uvádza produkt s digitálnymi prvkami na trh pod svojím menom alebo svojou ochrannou známkou, alebo ak podstatne upraví produkt s digitálnymi prvkami už uvedený na trh.

Iné prípady uplatňovania povinností výrobcov

1. Fyzická alebo právnická osoba iná ako výrobca, dovozca alebo distribútor, ktorá vykoná podstatnú úpravu produktu s digitálnymi prvkami a sprístupní uvedený produkt na trhu, sa na účely tohto nariadenia považuje za výrobcu.

2. Na osobu uvedenú v odseku 1 tohto článku sa vzťahujú povinnosti uvedené v článkoch 13 a 14 za tú časť produktu s digitálnymi prvkami, ktorá je ovplyvnená podstatnou úpravou, alebo v prípade celého produktu, ak má podstatná úprava vplyv na kybernetickú bezpečnosť produktu s digitálnymi prvkami ako celku.

Identifikácia hospodárskych subjektov

1. Hospodárske subjekty poskytnú na požiadanie orgánom dohľadu nad trhom tieto informácie:

2. Hospodárske subjekty musia byť schopné poskytnúť informácie uvedené v odseku 1 počas obdobia 10 rokov po tom, čo im bol produkt s digitálnymi prvkami dodaný, a počas obdobia 10 rokov po tom, čo produkt s digitálnymi prvkami dodali.

Povinnosti správcov softvéru s otvoreným zdrojovým kódom

1. Na podporu vývoja bezpečného produktu s digitálnymi prvkami, ako aj účinné riešenie zraniteľností zo strany programátorov daného produktu správcovia softvéru s otvoreným zdrojovým kódom overiteľným spôsobom zavedú a zdokumentujú politiku kybernetickej bezpečnosti. Uvedenou politikou sa posilní aj dobrovoľné oznamovanie zraniteľností, ako sa stanovuje v článku 15, zo strany programátorov daného produktu a zohľadní sa osobitná povaha správcu softvéru s otvoreným zdrojovým kódom a právne a organizačné opatrenia, ktoré sa na neho vzťahujú. Súčasťou tejto politiky sú najmä aspekty súvisiace s dokumentovaním, riešením a nápravou zraniteľností a podpora výmeny informácií o zistených zraniteľnostiach v komunite otvorených zdrojov.

2. Správcovia softvéru s otvoreným zdrojovým kódom spolupracujú s orgánmi dohľadu nad trhom na ich žiadosť s cieľom zmierňovať kybernetickobezpečnostné riziká, ktoré predstavuje produkt s digitálnymi prvkami považovaný za slobodný softvér a softvér s otvoreným zdrojovým kódom.

Na základe odôvodnenej žiadosti orgánu dohľadu nad trhom správcovia softvéru s otvoreným zdrojovým kódom poskytnú tomuto orgánu dokumentáciu uvedenú v odseku 1 v papierovej alebo elektronickej forme v jazyku preň ľahko zrozumiteľnom.

3. Povinnosti stanovené v článku 14 ods. 1 sa vzťahujú na správcov softvéru s otvoreným zdrojovým kódom, pokiaľ sa podieľajú na vývoji produktov s digitálnymi prvkami. Povinnosti stanovené v článku 14 ods. 3 a 8 sa vzťahujú na správcov softvéru s otvoreným zdrojovým kódom, pokiaľ závažné incidenty, ktoré majú vplyv na bezpečnosť produktov s digitálnymi prvkami, majú vplyv na siete a informačné systémy, ktoré správcovia softvéru s otvoreným zdrojovým kódom poskytujú na vývoj takýchto produktov.

Osvedčovanie bezpečnosti slobodného softvéru a softvéru s otvoreným zdrojovým kódom

Na uľahčenie povinnosti náležitej starostlivosti stanovenej v článku 13 ods. 5, najmä pokiaľ ide o výrobcov, ktorí do svojich produktov s digitálnymi prvkami integrujú komponenty slobodného softvéru a softvéru s otvoreným zdrojovým kódom, je Komisia splnomocnená prijímať delegované akty v súlade s článkom 61 na doplnenie tohto nariadenia zavedením programov dobrovoľného osvedčovania bezpečnosti, ktoré programátorom alebo používateľom produktov s digitálnymi prvkami považovaným za slobodný softvér a softvér s otvoreným zdrojovým kódom, ako aj iným tretím stranám umožní posúdiť súlad takýchto produktov so všetkými alebo určitými základnými požiadavkami kybernetickej bezpečnosti alebo inými povinnosťami stanovenými v tomto nariadení.

Usmernenia

1. Na podporu vykonávania a zaistenie konzistentnosti vykonávania uverejní Komisia usmernenia na pomoc hospodárskym subjektom pri uplatňovaní tohto nariadenia s osobitným zameraním na podporu jeho dodržiavania mikropodnikmi a malými a strednými podnikmi.

2. Ak má Komisia v úmysle poskytnúť usmernenia uvedené v odseku 1, zaoberá sa minimálne týmito aspektmi:

Komisia vedie aj ľahko prístupný zoznam delegovaných a vykonávacích aktov prijatých podľa tohto nariadenia.

3. Pri príprave usmernení podľa tohto článku sa Komisia radí s príslušnými zainteresovanými stranami.

Predpoklad zhody

1. O produktoch s digitálnymi prvkami a postupoch zavedených výrobcom, ktoré sú v zhode s harmonizovanými normami alebo ich časťami, na ktoré boli uverejnené odkazy v Úradnom vestníku Európskej únie, sa predpokladá, že sú v zhode so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I, na ktoré sa vzťahujú tieto normy alebo ich časti.

Komisia v súlade s článkom 10 ods. 1 nariadenia (EÚ) č. 1025/2012 požiada jednu alebo viacero európskych normalizačných organizácií o vypracovanie harmonizovaných noriem pre základné požiadavky kybernetickej bezpečnosti stanovené v prílohe I k tomuto nariadeniu. Pri príprave žiadostí o vypracovanie normy k tomuto nariadeniu sa Komisia snaží zohľadniť existujúce zavedené alebo pripravované európske a medzinárodné kybernetickobezpečnostné normy s cieľom zjednodušiť tvorbu harmonizovaných noriem v súlade s nariadením (EÚ) č. 1025/2012.

2. Komisia môže prijať vykonávacie akty, v ktorých sa stanovia spoločné špecifikácie technických požiadaviek, ktoré poskytnú prostriedok na dosiahnutie súladu so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I pre produkty s digitálnymi prvkami v rozsahu pôsobnosti tohto nariadenia.

Uvedené vykonávacie akty sa prijmú len vtedy, ak sú splnené tieto podmienky:

Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.

3. Pred vypracovaním návrhu vykonávacieho aktu podľa odseku 2 tohto článku Komisia informuje výbor uvedený v článku 22 nariadenia (EÚ) č. 1025/2012 o tom, že podľa jej názoru sú splnené podmienky uvedené v odseku 2 tohto článku.

4. Pri príprave návrhu vykonávacieho aktu podľa odseku 2 Komisia zohľadní názory príslušných orgánov a náležite sa radí so všetkými relevantnými zainteresovanými stranami.

5. Produkty s digitálnymi prvkami a postupy zavedené výrobcom, ktoré sú v zhode so spoločnými špecifikáciami stanovenými vo vykonávacích aktoch uvedených v odseku 2 tohto článku alebo v ich častiach, sa považujú za produkty a postupy v zhode so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I, na ktoré sa tieto spoločné špecifikácie alebo ich časti vzťahujú.

6. Ak harmonizovanú normu prijme európska normalizačná organizácia a Komisii navrhne, aby odkaz na ňu uverejnila v Úradnom vestníku Európskej únie, Komisia túto harmonizovanú normu posúdi v súlade s nariadením (EÚ) č. 1025/2012. Keď sa v Úradnom vestníku Európskej únie uverejní odkaz na harmonizovanú normu, Komisia zruší vykonávacie akty uvedené v odseku 2 tohto článku alebo tie ich časti, ktoré sa vzťahujú na tie isté základné požiadavky kybernetickej bezpečnosti ako daná harmonizovaná norma.

7. Ak sa členský štát domnieva, že spoločná špecifikácia úplne nevyhovuje základným požiadavkám kybernetickej bezpečnosti stanoveným v prílohe I, informuje o tom Komisiu, ktorej poskytne podrobné vysvetlenie. Komisia toto podrobné vysvetlenie posúdi a v prípade potreby môže zmeniť vykonávací akt, ktorým sa predmetná spoločná špecifikácia stanovuje.

8. Produkty s digitálnymi prvkami a postupy zavedené výrobcom, pre ktoré bolo vydané EÚ vyhlásenie o zhode alebo certifikát v rámci európskej schémy certifikácie kybernetickej bezpečnosti prijatej podľa nariadenia (EÚ) 2019/881, sa považujú za produkty a postupy v zhode so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I, pokiaľ sa na tieto požiadavky vzťahuje EÚ vyhlásenie o zhode alebo európsky certifikát kybernetickej bezpečnosti, alebo ich časti.

9. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 tohto nariadenia na doplnenie tohto nariadenia špecifikovaním európskych schém certifikácie kybernetickej bezpečnosti prijatých podľa nariadenia (EÚ) 2019/881, ktoré sa môžu použiť na preukázanie zhody produktov s digitálnymi prvkami so základnými požiadavkami kybernetickej bezpečnosti alebo s ich časťami stanovenými v prílohe I k tomuto nariadeniu. Vydaním európskeho certifikátu kybernetickej bezpečnosti v rámci takýchto schém aspoň na úrovni záruky „významná“ sa navyše ruší povinnosť výrobcu dať tretej strane vykonať posúdenie zhody s príslušnými požiadavkami, ako sa stanovuje v článku 32 ods. 2 písm. a) a b) a v článku 32 ods. 3 písm. a) a b) tohto nariadenia.

EÚ vyhlásenie o zhode

1. EÚ vyhlásenie o zhode vypracujú výrobcovia v súlade s článkom 13 ods. 12 a uvedú v ňom, že bolo preukázané splnenie uplatniteľných základných požiadaviek kybernetickej bezpečnosti stanovených v prílohe I.

2. EÚ vyhlásenie o zhode má štruktúru, ktorej vzor je stanovený v prílohe V, a obsahuje prvky špecifikované v príslušných postupoch posudzovania zhody stanovených v prílohe VIII. Takéto vyhlásenie sa podľa potreby aktualizuje. Sprístupní sa v jazykoch požadovaných členským štátom, v ktorom sa produkt s digitálnymi prvkami uvádza na trh alebo sprístupňuje na trhu.

Zjednodušené EÚ vyhlásenie o zhode uvedené v článku 13 ods. 20 má štruktúru, ktorej vzor je stanovený v prílohe VI. Sprístupní sa v jazykoch požadovaných členským štátom, v ktorom sa produkt s digitálnymi prvkami uvádza na trh alebo sprístupňuje na trhu.

3. Ak sa na produkt s digitálnymi prvkami vzťahuje viac ako jeden právny akt Únie, v ktorom sa vyžaduje EÚ vyhlásenie o zhode, pre všetky tieto právne akty Únie sa vypracuje jediné EÚ vyhlásenie o zhode. V uvedenom vyhlásení sú uvedené dotknuté právne akty Únie vrátane odkazov na ich uverejnenie.

4. Vypracovaním EÚ vyhlásenia o zhode preberá výrobca zodpovednosť za zhodu produktu s digitálnymi prvkami.

5. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 na doplnenie tohto nariadenia pridaním prvkov do minimálneho obsahu EÚ vyhlásenia o zhode stanoveného v prílohe V s cieľom zohľadniť technologický vývoj.

Všeobecné zásady označenia CE

Označenie CE sa riadi všeobecnými zásadami stanovenými v článku 30 nariadenia (ES) č. 765/2008.

Pravidlá a podmienky umiestňovania označenia CE

1. Označenie CE sa na produkt s digitálnymi prvkami umiestni tak, aby bolo viditeľné a čitateľné a nedalo sa zmazať. Ak to vzhľadom na povahu produktu s digitálnymi prvkami nie je možné alebo odôvodnené, toto označenie sa umiestni na obal a na EÚ vyhlásenie o zhode uvedené v článku 28, ktoré sa pripojí k produktu s digitálnymi prvkami. V prípade produktov s digitálnymi prvkami, ktoré sú vo forme softvéru, sa označenie CE umiestni buď na EÚ vyhlásenie o zhode uvedené v článku 28 alebo na sprievodné webové sídlo softvérového produktu. V druhom prípade musí byť príslušná časť webového sídla ľahko a priamo prístupná spotrebiteľom.

2. Vzhľadom na povahu produktu s digitálnymi prvkami môže byť výška označenia CE umiestneného na produkte s digitálnymi prvkami menšia ako 5 mm za predpokladu, že označenie bude naďalej viditeľné a čitateľné.

3. Označenie CE sa na produkt s digitálnymi prvkami umiestni pred uvedením tohto produktu na trh. Za označením môže nasledovať piktogram alebo akákoľvek iná značka označujúca osobitné kybernetickobezpečnostné riziko alebo použitie stanovené vo vykonávacích aktoch uvedených v odseku 6.

4. Za označením CE nasleduje identifikačné číslo notifikovanej osoby, ak sa táto osoba zúčastňuje na postupe posudzovania zhody založeného na plnom zabezpečení kvality (podľa modulu H) uvedeného v článku 32.

Identifikačné číslo notifikovanej osoby umiestňuje samotná osoba alebo podľa jej pokynov výrobca či splnomocnený zástupca výrobcu.

5. Pri zabezpečovaní správneho uplatňovania režimu úpravy označenia CE vychádzajú členské štáty z existujúcich mechanizmov a v prípade nesprávneho použitia tohto označenia prijmú primerané opatrenia. Ak sa na produkt s digitálnymi prvkami vzťahujú iné harmonizačné právne predpisy Únie ako toto nariadenie, v ktorých sa tiež vyžaduje umiestnenie označenia CE, v označení CE sa uvedie, že produkt spĺňa aj požiadavky stanovené v takýchto iných harmonizačných právnych predpisoch Únie.

6. Komisia môže prostredníctvom vykonávacích aktov stanoviť technické špecifikácie pre značky, piktogramy alebo akékoľvek iné značky týkajúce sa bezpečnosti produktov s digitálnymi prvkami, ich obdobia podpory a mechanizmov na podporu ich používania a na zvýšenie informovanosti verejnosti o bezpečnosti produktov s digitálnymi prvkami. Pri príprave návrhov vykonávacích aktov sa Komisia radí s príslušnými zainteresovanými stranami a so skupinou ADCO, ak už bola zriadená podľa článku 52 ods. 15. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.

Technická dokumentácia

1. Technická dokumentácia obsahuje všetky príslušné údaje alebo podrobnosti o prostriedkoch, ktoré výrobca použil na zaistenie toho, aby produkt s digitálnymi prvkami a postupy zavedené výrobcom boli v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I. Obsahuje aspoň prvky stanovené v prílohe VII.

2. Technická dokumentácia sa vypracuje pred uvedením produktu s digitálnymi prvkami na trh a v prípade potreby sa priebežne aktualizuje, a to aspoň počas obdobia podpory.

3. V prípade produktov s digitálnymi prvkami uvedených v článku 12, na ktoré sa vzťahujú aj iné právne akty Únie, v ktorých sa stanovuje technická dokumentácia, sa vypracuje jediné vyhotovenie technickej dokumentácie s informáciami uvedenými v prílohe VII a informáciami, ktoré požadujú uvedené právne akty Únie.

4. Technická dokumentácia a korešpondencia súvisiace s postupom posudzovania zhody sa vypracujú v úradnom jazyku členského štátu, v ktorom je notifikovaná osoba usadená, alebo v jazyku, ktorý je pre túto osobu prijateľný.

5. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 61 na doplnenie tohto nariadenia doplnením prvkov, ktoré sa majú zahrnúť do technickej dokumentácie uvedenej v prílohe VII, aby sa zohľadnil technologický vývoj, ako aj vývoj, ktorý nastane pri vykonávaní tohto nariadenia. Na tento účel sa Komisia snaží zabezpečiť, aby administratívna záťaž mikropodnikov a malých a stredných podnikov bola primeraná.

Postupy posudzovania zhody produktov s digitálnymi prvkami

1. Výrobca posudzuje zhodu produktu s digitálnymi prvkami a postupov zavedených výrobcom s cieľom určiť, či sú splnené základné požiadavky kybernetickej bezpečnosti stanovené v prílohe I. Výrobca preukazuje zhodu so základnými požiadavkami kybernetickej bezpečnosti niektorým z týchto postupov:

2. Ak výrobca pri posudzovaní súladu dôležitého produktu s digitálnymi prvkami, ktorý patrí do triedy I v zmysle v prílohy III, a postupov zavedených jeho výrobcom so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I neuplatnil alebo len čiastočne uplatnil harmonizované normy, spoločné špecifikácie alebo európske schémy certifikácie kybernetickej bezpečnosti aspoň na úrovni záruky „významná“, ako sa uvádza v článku 27, alebo ak takéto harmonizované normy, spoločné špecifikácie alebo európske schémy certifikácie kybernetickej bezpečnosti neexistujú, dotknutý produkt s digitálnymi prvkami a postupy zavedené výrobcom s ohľadom na tieto základné požiadavky kybernetickej bezpečnosti sa podrobia niektorému z týchto postupov:

3. Ak je produkt dôležitým produktom s digitálnymi prvkami, ktorý patrí do triedy II v zmysle prílohy III, výrobca preukazuje zhodu so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I niektorým z týchto postupov:

4. U kritických produktov s digitálnymi prvkami uvedených v zozname v prílohe IV sa zhoda so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I preukazuje jedným z týchto postupov:

5. Výrobcovia produktov s digitálnymi prvkami považovanými za slobodný softvér a softvér s otvoreným zdrojovým kódom, ktoré patria do kategórií uvedených v prílohe III, musia byť schopní preukázať zhodu so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I jedným z postupov uvedených v odseku 1 tohto článku za predpokladu, že technická dokumentácia uvedená v článku 31 je v čase uvedenia týchto produktov na trh sprístupnená verejnosti.

6. Pri určovaní poplatkov za postupy posudzovania zhody sa zohľadňujú osobitné záujmy a potreby mikropodnikov a malých a stredných podnikov vrátane startupov a uvedené poplatky sa znížia úmerne k ich osobitným záujmom a potrebám.

Opatrenia na podporu mikropodnikov a malých a stredných podnikov vrátane startupov

1. Členské štáty v prípade potreby prijmú tieto opatrenia prispôsobené potrebám mikropodnikov a malých podnikov:

2. V prípade potreby môžu členské štáty zriadiť experimentálne regulačné prostredie pre kybernetickú odolnosť. Takéto experimentálne regulačné prostredie poskytuje kontrolované prostredie pre testovanie inovačných produktov s digitálnymi prvkami na uľahčenie ich vývoja, navrhovania, validácie a testovania na dosiahnutie súladu s týmto nariadením na obmedzený čas pred uvedením na trh. Na zriadenie a prevádzku experimentálneho regulačného prostredia môže Komisia a v relevantnom prípade agentúra ENISA poskytovať technickú podporu, poradenstvo a nástroje. Experimentálne regulačné prostredie sa zriaďuje pod priamym dohľadom a vedením a s podporou orgánov dohľadu nad trhom. Členské štáty informujú Komisiu a ostatné orgány dohľadu nad trhom o zriadení experimentálneho regulačného prostredia prostredníctvom skupiny ADCO. Experimentálnym regulačným prostredím nie sú dotknuté právomoci dohľadu a nápravy príslušných orgánov. K experimentálnemu regulačnému prostrediu zabezpečia členské štáty otvorený, spravodlivý a transparentný prístup, a najmä uľahčia prístup pre mikropodniky a malé podniky vrátane startupov.

3. V súlade s článkom 26 poskytne Komisia usmernenia k vykonávaniu tohto nariadenia pre mikropodniky a malé a stredné podniky.

4. Komisia zverejní finančnú podporu, ktorá je k dispozícii podľa regulačného rámca existujúcich programov Únie najmä na zmiernenie finančnej záťaže mikropodnikov a malých podnikov.

5. Mikropodniky a malé podniky môžu poskytnúť všetky časti technickej dokumentácie uvedené v prílohe VII v zjednodušenom formáte. Komisia na tento účel prostredníctvom vykonávacích aktov špecifikuje zjednodušený formát technickej dokumentácie so zameraním na potreby mikropodnikov a malých podnikov vrátane toho, ako majú byť pripravené časti stanovené v prílohe VII. Ak sa mikropodnik alebo malý podnik rozhodne poskytnúť informácie stanovené v prílohe VII zjednodušeným spôsobom, použije formát uvedený v tomto odseku. Notifikované osoby akceptujú tento formát na účely posudzovania zhody.

Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.

Dohody o vzájomnom uznávaní

S cieľom podporiť a uľahčiť medzinárodný obchod môže Únia s ohľadom na úroveň technického rozvoja a prístup k posudzovaniu zhody v tretej krajine v súlade s článkom 218 ZFEÚ uzatvárať s tretími krajinami dohody o vzájomnom uznávaní.

Notifikácia

1. Členské štáty notifikujú Komisiu a ostatné členské štáty o tom, ktoré osoby sú oprávnené vykonávať posudzovanie zhody v súlade s týmto nariadením.

2. Aby sa zamedzilo problémovým miestam a prekážkam pri vstupe na trh, usilujú členské štáty o zabezpečenie toho, aby do 11. decembra 2026 bol na výkon posudzovania zhody v Únii k dispozícii dostatočný počet notifikovaných osôb.

Notifikujúce orgány

1. Každý členský štát určí notifikujúci orgán zodpovedný za stanovenie a výkon postupov nevyhnutných na účely posudzovania, určenia a notifikácie orgánov posudzovania zhody a na účely ich monitorovania, ako aj za súlad s článkom 41.

2. Členské štáty môžu rozhodnúť, že posudzovanie a monitorovanie uvedené v odseku 1 bude vykonávať vnútroštátny akreditačný orgán v zmysle nariadenia (ES) č. 765/2008 a v súlade s ním.

3. Ak notifikujúci orgán deleguje posudzovanie, notifikáciu alebo monitorovanie uvedené v odseku 1 tohto článku na iný ako vládny subjekt alebo ho inak poverí výkonom týchto úloh, tento subjekt musí byť právnym subjektom a mutatis mutandis musí spĺňať požiadavky článku 37. Okrem toho musí mať zavedené mechanizmy na krytie záväzkov vyplývajúcich z jeho činností.

4. Notifikujúci orgán nesie plnú zodpovednosť za úlohy, ktoré vykonáva subjekt uvedený v odseku 3.

Požiadavky na notifikujúce orgány

1. Notifikujúci orgán sa zriadi tak, aby nedochádzalo ku konfliktu záujmov s orgánmi posudzovania zhody.

2. Notifikujúci orgán má takú organizačnú štruktúru a funguje tak, aby bola zabezpečená objektívnosť a nestrannosť jeho činností.

3. Notifikujúci orgán má takú organizačnú štruktúru, aby každé rozhodnutie o notifikácii orgánu posudzovania zhody prijímali iné odborne spôsobilé osoby ako tie, ktoré posúdenie vykonali.

4. Notifikujúci orgán neponúka ani neposkytuje činnosti, ktoré vykonávajú orgány posudzovania zhody, ani poradenské služby na komerčnom či konkurenčnom základe.

5. Notifikujúci orgán zabezpečuje dôvernosť informácií, ktoré získal.

6. Na riadne plnenie svojich úloh má notifikujúci orgán k dispozícii dostatočný počet odborne spôsobilých zamestnancov.

Informačná povinnosť notifikujúcich orgánov

1. Členské štáty informujú Komisiu o svojich postupoch posudzovania a notifikácie orgánov posudzovania zhody a monitorovania notifikovaných osôb a o všetkých s nimi súvisiacich zmenách.

2. Komisia zabezpečí, aby informácie uvedené v odseku 1 boli verejne dostupné.

Požiadavky na notifikované osoby

1. Na účely notifikácie musí orgán posudzovania zhody spĺňať požiadavky stanovené v odsekoch 2 až 12.

2. Orgán posudzovania zhody sa zriadi podľa vnútroštátneho práva a musí mať právnu subjektivitu.

3. Orgán posudzovania zhody je treťou stranou, nezávislou od organizácie alebo produktu s digitálnymi prvkami, ktorý posudzuje.

Ak je preukázaná jeho nezávislosť a nedochádza ku konfliktu záujmov, možno za takúto tretiu stranu považovať subjekt, ktorý patrí do záujmového združenia alebo profesijného zväzu zastupujúceho podniky zapojené do navrhovania, vývoja, výroby, obstarávania, montáže, používania alebo údržby produktov s digitálnymi prvkami, ktoré posudzuje.

4. Orgán posudzovania zhody, jeho vrcholový manažment a zamestnanci zodpovední za výkon úloh posudzovania zhody nie sú konštruktéri, programátori, výrobcovia, dodávatelia, dovozcovia, distribútori, subjekty vykonávajúce inštaláciu, nákupcovia, vlastníci, používatelia alebo subjekty vykonávajúce údržbu produktov s digitálnymi prvkami, ktoré posudzujú, ani splnomocnení zástupcovia žiadnej z týchto strán. Tým sa nevylučuje použitie posudzovaných produktov, ktoré sú potrebné na výkon činností orgánu posudzovania zhody, ani použitie takýchto produktov na osobné účely.

Orgán posudzovania zhody, jeho vrcholový manažment a zamestnanci zodpovední za výkon úloh posudzovania zhody nie sú priamo zapojení do navrhovania, vývoja, výroby, dovozu, distribúcie, uvádzania na trh, inštalácie, používania alebo údržby produktov s digitálnymi prvkami, ktoré posudzujú, ani nezastupujú strany zapojené do týchto činností. Nezúčastňujú sa na žiadnej činnosti, ktorá môže ovplyvniť ich nezávislý úsudok alebo bezúhonnosť vo vzťahu k činnostiam posudzovania zhody, na ktorých vykonávanie sú notifikovaní. Týka sa to najmä poradenských služieb.

Orgány posudzovania zhody zabezpečia, aby činnosti ich dcérskych spoločností alebo ich subdodávateľov nemali vplyv na dôvernosť, objektivitu alebo nestrannosť ich činností posudzovania zhody.

5. Orgány posudzovania zhody a ich zamestnanci vykonávajú činnosti posudzovania zhody na najvyššej úrovni odbornej integrity a nevyhnutnej technickej spôsobilosti v danej oblasti a nesmú podliehať žiadnym tlakom a stimulom, najmä finančným, ktoré by mohli ovplyvniť ich úsudok alebo výsledky ich činností posudzovania zhody, najmä zo strany osôb alebo skupín osôb, ktoré majú záujem na výsledku týchto činností.

6. Orgán posudzovania zhody je schopný vykonávať všetky úlohy posudzovania zhody uvedené v prílohe VIII, v súvislosti s ktorými bol notifikovaný, bez ohľadu na to, či ide o úlohy vykonávané samotným orgánom posudzovania zhody, alebo v jeho mene a na jeho zodpovednosť.

Orgán posudzovania zhody má vždy a pre každý postup posudzovania zhody a pre každý druh alebo kategóriu produktu s digitálnymi prvkami, v súvislosti s ktorými je notifikovaný, k dispozícii potrebný:

Orgán posudzovania zhody má prostriedky nevyhnutné na náležitý výkon technických a administratívnych úloh spojených s činnosťami posudzovania zhody a má prístup k všetkému potrebnému vybaveniu alebo zariadeniam.

7. Zamestnanci zodpovední za výkon činností posudzovania zhody majú:

8. Musí sa zaručiť nestrannosť orgánov posudzovania zhody, ich vrcholového manažmentu a pracovníkov, ktorí vykonávajú posudzovanie.

Odmeňovanie vrcholového manažmentu orgánu posudzovania zhody a jeho pracovníkov, ktorí vykonávajú posudzovanie, nesmie závisieť od počtu vykonaných posúdení, ani od ich výsledkov.

9. Orgán posudzovania zhody uzavrie poistenie zodpovednosti za škodu, ak túto zodpovednosť neprevzal jeho členský štát v súlade s vnútroštátnym právom alebo ak za posudzovanie zhody nie je priamo zodpovedný samotný členský štát.

10. Zamestnanci orgánu posudzovania zhody sú povinní dodržiavať služobné tajomstvo, pokiaľ ide o všetky informácie získané pri výkone úloh podľa prílohy VIII alebo akéhokoľvek ustanovenia vnútroštátneho práva, ktorým sa táto príloha uvádza do účinnosti, nie však vo vzťahu k orgánom dohľadu nad trhom členského štátu, v ktorom daný orgán vykonáva činnosť. Vlastnícke práva sú chránené. Orgán posudzovania zhody má zdokumentované postupy na zaistenie súladu s týmto odsekom.

11. Orgány posudzovania zhody sa zúčastňujú na príslušných normalizačných činnostiach a činnostiach koordinačnej skupiny notifikovanej osoby zriadenej podľa článku 51 alebo zabezpečia, aby ich zamestnanci, ktorí vykonávajú posudzovanie, boli o nich informovaní, a ako všeobecné usmernenie uplatňujú administratívne rozhodnutia a dokumenty, ktoré sú výsledkom práce tejto skupiny.

12. Orgány posudzovania zhody vykonávajú svoju činnosť v súlade so súborom konzistentných, spravodlivých, primeraných a odôvodnených podmienok, pričom, pokiaľ ide o poplatky, zamedzia zbytočnej záťaži hospodárskych subjektov, najmä s ohľadom na záujmy mikropodnikov a malých a stredných podnikov.

Predpoklad zhody notifikovaných osôb

Ak orgán posudzovania zhody preukáže, že je v zhode s kritériami stanovenými v príslušných harmonizovaných normách alebo ich častiach, na ktoré boli uverejnené odkazy v Úradnom vestníku Európskej únie, predpokladá sa, že spĺňa požiadavky stanovené v článku 39 v takom rozsahu, v akom sa uplatniteľné harmonizované normy vzťahujú na tieto požiadavky.

Dcérske spoločnosti a subdodávatelia notifikovaných osôb

1. Ak notifikovaná osoba zadá špecifické úlohy spojené s posudzovaním zhody subdodávateľovi alebo na to využije dcérsku spoločnosť, zabezpečí, aby subdodávateľ alebo dcérska spoločnosť spĺňali požiadavky stanovené v článku 39, a zodpovedajúcim spôsobom o tom informuje notifikujúci orgán.

2. Notifikované osoby nesú plnú zodpovednosť za úlohy, ktoré vykonávajú subdodávatelia alebo dcérske spoločnosti, bez ohľadu na to, kde sú usadené.

3. Činnosti môže vykonávať subdodávateľ alebo dcérska spoločnosť len so súhlasom výrobcu.

4. Notifikované osoby uchovávajú k dispozícii pre notifikujúci orgán príslušnú dokumentáciu týkajúcu sa posúdenia kvalifikácie subdodávateľa alebo dcérskej spoločnosti a práce, ktorú vykonali podľa tohto nariadenia.

Žiadosť o notifikáciu

1. Orgán posudzovania zhody podáva žiadosť o notifikáciu notifikujúcemu orgánu členského štátu svojho sídla.

2. Súčasťou žiadosti je opis činností posudzovania zhody, postupu alebo postupov posudzovania zhody a produktu alebo produktov s digitálnymi prvkami, v súvislosti s ktorými orgán tvrdí, že je spôsobilý, ako aj prípadné osvedčenie o akreditácii vydané vnútroštátnym akreditačným orgánom, ktoré osvedčuje, že orgán posudzovania zhody spĺňa požiadavky stanovené v článku 39.

3. Ak príslušný orgán posudzovania zhody nemôže poskytnúť osvedčenie o akreditácii, poskytne notifikujúcemu orgánu všetku dokumentáciu potrebnú na overenie, uznanie a pravidelné monitorovanie svojho súladu s požiadavkami stanovenými v článku 39.

Postup notifikácie

1. Notifikujúce orgány notifikujú iba tie orgány posudzovania zhody, ktoré splnili požiadavky stanovené v článku 39.

2. Notifikujúci orgán notifikuje Komisiu a ostatné členské štáty prostredníctvom informačného systému NANDO (New Approach Notified and Designated Organisations), ktorý vyvinula a spravuje Komisia.

3. Notifikácia obsahuje všetky podrobnosti o činnostiach posudzovania zhody, module alebo moduloch posudzovania zhody, dotknutom produkte alebo produktoch s digitálnymi prvkami a príslušné potvrdenie odbornej spôsobilosti.

4. Ak sa notifikácia nezakladá na osvedčení o akreditácii uvedenom v článku 42 ods. 2, notifikujúci orgán poskytne Komisii a ostatným členským štátom listinné dôkazy potvrdzujúce odbornú spôsobilosť orgánu posudzovania zhody a zavedené opatrenia s cieľom zaistiť, že tento orgán bude pravidelne monitorovaný a bude naďalej spĺňať požiadavky stanovené v článku 39.

5. Príslušný orgán môže vykonávať činnosti notifikovanej osoby iba v prípade, že Komisia ani ostatné členské štáty nevzniesli námietky do dvoch týždňov od notifikácie, ak sa použije osvedčenie o akreditácii, alebo do dvoch mesiacov od notifikácie, ak sa akreditácia nepoužije.

Iba takýto orgán sa považuje za notifikovanú osobu na účely tohto nariadenia.

6. Všetky neskoršie relevantné zmeny týkajúce sa notifikácie sa notifikujú Komisii a ostatným členským štátom.

Identifikačné čísla a zoznamy notifikovaných osôb

1. Komisia pridelí notifikovanej osobe identifikačné číslo.

Pridelí jej len jedno takéto číslo, aj keď je osoba notifikovaná podľa viacerých právnych aktov Únie.

2. Komisia zverejní zoznam osôb notifikovaných podľa tohto nariadenia vrátane identifikačných čísel, ktoré im boli pridelené, a činností, v súvislosti s ktorými boli notifikované.

Aktualizáciu tohto zoznamu zabezpečuje Komisia.

Zmeny notifikácií

1. Ak notifikujúci orgán zistí alebo je informovaný o tom, že notifikovaná osoba už nespĺňa požiadavky stanovené v článku 39 alebo že si neplní povinnosti, notifikujúci orgán podľa potreby obmedzí, pozastaví alebo odníme notifikáciu v závislosti od závažnosti nesplnenia týchto požiadaviek alebo neplnenia povinností. Bezodkladne o tom informuje Komisiu a ostatné členské štáty.

2. V prípade obmedzenia, pozastavenia alebo odňatia notifikácie alebo ak notifikovaná osoba ukončila činnosť, notifikujúci členský štát prijme primerané opatrenia na zaistenie toho, aby spisy tejto osoby buď spracovala iná notifikovaná osoba, alebo aby boli na požiadanie k dispozícii príslušným notifikujúcim orgánom a orgánom dohľadu nad trhom.

Pochybnosti o odbornej spôsobilosti notifikovaných osôb

1. Komisia vyšetrí všetky prípady, v súvislosti s ktorými má pochybnosti alebo ak bola na pochybnosti upozornená, pokiaľ ide o odbornú spôsobilosť notifikovanej osoby splniť alebo nepretržite plniť požiadavky a povinnosti, ktoré sa na ňu vzťahujú.

2. Notifikujúci členský štát poskytne Komisii na jej žiadosť všetky informácie o podkladoch pre notifikáciu alebo o zachovaní odbornej spôsobilosti dotknutej osoby.

3. Komisia zabezpečí dôverné zaobchádzanie so všetkými citlivými informáciami získanými počas vyšetrovaní.

4. Ak Komisia zistí, že notifikovaná osoba nespĺňa alebo prestala spĺňať požiadavky na notifikáciu, informuje o tom notifikujúci členský štát a požiada ho, aby prijal potrebné nápravné opatrenia vrátane zrušenia notifikácie, ak je to potrebné.

Povinnosti notifikovaných osôb pri výkone činností

1. Notifikované osoby vykonávajú posudzovanie zhody podľa postupov posudzovania zhody stanovených v článku 32 a prílohe VIII.

2. Posudzovanie zhody sa vykonáva primeraným spôsobom tak, aby sa zamedzilo zbytočnej záťaži hospodárskych subjektov. Pri výkone svojej činnosti orgány posudzovania zhody náležite zohľadňujú veľkosť podniku, najmä v prípade mikropodnikov a malých a stredných podnikov, odvetvie jeho činnosti, jeho štruktúru, stupeň zložitosti a úroveň kybernetickobezpečnostných rizík produktu s digitálnymi prvkami a danej technológie a hromadnú či sériovú povahu výrobného postupu.

3. Notifikovaná osoba však pri tom dbá na stupeň prísnosti a úroveň ochrany, ktoré sú potrebné na zabezpečenie súladu produktu s digitálnymi prvkami s týmto nariadením.

4. Ak notifikovaná osoba zistí, že výrobca nespĺňa požiadavky stanovené v prílohe I alebo zodpovedajúcich harmonizovaných normách alebo v spoločných špecifikáciách uvedených v článku 27, požiada tohto výrobcu, aby prijal primerané nápravné opatrenia, a certifikát zhody nevydá.

5. Ak po vystavení certifikátu notifikovaná osoba v rámci monitorovania zhody zistí, že produkt s digitálnymi prvkami už nespĺňa požiadavky stanovené v tomto nariadení, požiada výrobcu, aby prijal primerané nápravné opatrenia, a ak to je potrebné, pozastaví platnosť certifikátu alebo ho odníme.

6. Ak nápravné opatrenia neprijme alebo ak nemajú požadovaný účinok, notifikovaná osoba podľa potreby obmedzí, pozastaví platnosť alebo odníme všetky certifikáty.

Odvolanie proti rozhodnutiam notifikovaných osôb

Členské štáty zabezpečia, aby sa proti rozhodnutiam notifikovaných osôb bolo možné odvolať.

Informačná povinnosť notifikovaných osôb

1. Notifikované osoby informujú notifikujúci orgán:

2. Notifikované osoby poskytnú iným osobám notifikovaným podľa tohto nariadenia, ktoré vykonávajú podobné činnosti posudzovania zhody tých istých produktov s digitálnymi prvkami, príslušné informácie o otázkach týkajúcich sa negatívnych a na požiadanie aj pozitívnych výsledkov posudzovania zhody.

Výmena skúseností

Komisia organizačne zabezpečí výmenu skúseností medzi vnútroštátnymi orgánmi členských štátov, ktoré sú zodpovedné za politiku notifikácie.

Koordinácia notifikovaných osôb

1. Komisia zabezpečuje zavedenie a riadne fungovanie primeranej koordinácie a spolupráce medzi notifikovanými osobami vo forme medziodvetvovej skupiny notifikovaných osôb.

2. Členské štáty zaistia, aby sa na práci tejto skupiny priamo alebo prostredníctvom určených zástupcov zúčastňovali osoby, ktoré notifikovali.

Dohľad nad trhom a kontrola produktov s digitálnymi prvkami na trhu Únie

1. Na produkty s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia, sa uplatňuje nariadenie (EÚ) 2019/1020.

2. Na účely zaistenia účinného vykonávania tohto nariadenia určí každý členský štát jeden alebo viac orgánov dohľadu nad trhom. Členské štáty môžu určiť existujúci alebo nový orgán, aby na účely tohto nariadenia konal ako orgán dohľadu nad trhom.

3. Orgány dohľadu nad trhom určené podľa odseku 2 tohto článku sú zodpovedné aj za výkon činností dohľadu nad trhom v súvislosti s povinnosťami správcov softvéru s otvoreným zdrojovým kódom stanovenými v článku 24. Ak orgán dohľadu nad trhom zistí, že si správca softvéru s otvoreným zdrojovým kódom neplní povinnosti stanovené v uvedenom článku, požiada správcu softvéru s otvoreným zdrojovým kódom, aby zabezpečil prijatie všetkých príslušných nápravných opatrení. Správcovia softvéru s otvoreným zdrojovým kódom zabezpečia prijatie všetkých príslušných nápravných opatrení vzhľadom na svoje povinnosti podľa tohto nariadenia.

4. Orgány dohľadu nad trhom v relevantných prípadoch spolupracujú s vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti určenými podľa článku 58 nariadenia (EÚ) 2019/881 a pravidelne si vymieňajú informácie. Pokiaľ ide o dohľad nad vykonávaním oznamovacích povinností podľa článku 14 tohto nariadenia, určené orgány dohľadu nad trhom spolupracujú s jednotkami CSIRT určenými za koordinátorov a agentúrou ENISA a vymieňajú si s nimi pravidelne informácie.

5. Orgány dohľadu nad trhom môžu požiadať jednotku CSIRT určenú za koordinátora alebo agentúru ENISA o poskytnutie technického poradenstva v otázkach súvisiacich s vykonávaním a presadzovaním tohto nariadenia. Na podporu hodnotení zhody produktov s digitálnymi prvkami môžu orgány dohľadu nad trhom pri vedení vyšetrovania podľa článku 54 požiadať o analýzu jednotku CSIRT určenú za koordinátora alebo agentúru ENISA.

6. V relevantných prípadoch orgány dohľadu nad trhom spolupracujú s inými orgánmi dohľadu nad trhom určenými na základe iných harmonizačných právnych predpisov Únie ako toto nariadenie a pravidelne si vymieňajú informácie.

7. Orgány dohľadu nad trhom podľa potreby spolupracujú s orgánmi dohľadu nad právnymi predpismi Únie v oblasti ochrany osobných údajov. Takáto spolupráca zahŕňa informovanie uvedených orgánov o každom zistení relevantnom z hľadiska výkonu ich právomocí, a to aj pri vydávaní usmernení a poskytovaní poradenstva podľa odseku 10, ak sa takéto usmernenia a poradenstvo týkajú spracovania osobných údajov.

Orgány dohľadu nad právnymi predpismi Únie v oblasti ochrany osobných údajov majú právomoc požadovať akúkoľvek dokumentáciu založenú alebo vedenú podľa tohto nariadenia a mať k nej prístup, ak je prístup k tejto dokumentácii potrebný na plnenie ich úloh. O každej takejto žiadosti informujú určené orgány dohľadu nad trhom dotknutého členského štátu.

8. Členské štáty zaistia, aby určené orgány dohľadu nad trhom mali na plnenie svojich úloh podľa tohto nariadenia k dispozícii primerané finančné a technické zdroje, podľa potreby vrátane nástrojov na automatické spracovanie údajov, ako aj ľudské zdroje s primeranými kybernetickobezpečnostnými zručnosťami.

9. Komisia odporúča a podporuje výmenu skúseností medzi určenými orgánmi dohľadu nad trhom.

10. S podporou Komisie a podľa potreby jednotiek CSIRT a agentúry ENISA môžu orgány dohľadu nad trhom poskytovať hospodárskym subjektom usmernenia a poradenstvo v oblasti vykonávania tohto nariadenia.

11. Orgány dohľadu nad trhom informujú spotrebiteľov o tom, kde majú podávať sťažnosti, ktoré by mohli uvádzať nesúlad s týmto nariadením, v súlade s článkom 11 nariadenia (EÚ) 2019/1020 a spotrebiteľom poskytujú informácie o tom, kde a ako získať prístup k mechanizmom na uľahčenie oznamovania zraniteľností, incidentov a kybernetických hrozieb, ktoré môžu mať vplyv na produkty s digitálnymi prvkami.

12. Orgány dohľadu nad trhom podľa potreby uľahčujú spoluprácu relevantných zainteresovaných strán vrátane vedeckých, výskumných a spotrebiteľských organizácií.

13. Orgány dohľadu nad trhom každoročne podávajú Komisii správy o výsledkoch príslušných činností dohľadu nad trhom. Všetky informácie zistené v priebehu činností dohľadu nad trhom, ktoré by mohli mať potenciálny význam pre uplatňovanie práva Únie hospodárskej súťaže, oznámia orgány dohľadu nad trhom bezodkladne Komisii a príslušným vnútroštátnym orgánom na ochranu hospodárskej súťaže.

14. V prípade produktov s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia, klasifikovaných ako vysokorizikové systémy AI podľa článku 6 nariadenia (EÚ) 2024/1689, sú orgány dohľadu nad trhom určené na účely uvedeného nariadenia orgánmi zodpovednými za činnosti dohľadu nad trhom vyžadovanými podľa tohto nariadenia. Orgány dohľadu nad trhom určené podľa nariadenia (EÚ) 2024/1689 spolupracujú podľa potreby s orgánmi dohľadu nad trhom určenými podľa tohto nariadenia a pri dohľade nad výkonom oznamovacích povinností podľa článku 14 tohto nariadenia s jednotkami CSIRT určenými za koordinátorov a s agentúrou ENISA. Orgány dohľadu nad trhom určené podľa nariadenia (EÚ) 2024/1689 najmä informujú orgány dohľadu nad trhom určené podľa tohto nariadenia o každom zistení, ktoré je relevantné z hľadiska plnenia ich úloh v súvislosti s vykonávaním tohto nariadenia.

15. Na jednotné uplatňovanie tohto nariadenia sa podľa článku 30 ods. 2 nariadenia (EÚ) 2019/1020 zriadi skupina ADCO. Skupinu ADCO tvoria zástupcovia určených orgánov dohľadu nad trhom a v relevantnom prípade zástupcovia ústredných kontaktných kancelárií. Skupina ADCO rieši aj osobitné záležitosti súvisiace s činnosťami dohľadu nad trhom v súvislosti s povinnosťami uloženými správcom softvéru s otvoreným zdrojovým kódom.

16. Orgány dohľadu nad trhom monitorujú, ako výrobcovia pri určovaní obdobia podpory pre svoje produkty s digitálnymi prvkami uplatňujú kritériá uvedené v článku 13 ods. 8.

Skupina ADCO uverejní vo verejne prístupnej a používateľsky ústretovej forme príslušné štatistiky o kategóriách produktov s digitálnymi prvkami vrátane priemerných období podpory, ako ich určil výrobca podľa článku 13 ods. 8, a poskytne usmernenia s orientačnými obdobiami podpory pre kategórie produktov s digitálnymi prvkami.

Ak z údajov vyplýva, že obdobia podpory pre konkrétne kategórie produktov s digitálnymi prvkami sú neadekvátne, skupina ADCO môže vydať odporúčania pre orgány dohľadu nad trhom, aby svoju činnosť zamerali na uvedené kategórie produktov s digitálnymi prvkami.

Prístup k údajom a dokumentácii

Ak je potrebné posúdiť zhodu produktov s digitálnymi prvkami a postupov zavedených ich výrobcami so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I, orgánom dohľadu nad trhom sa na základe odôvodnenej žiadosti poskytne prístup k údajom v jazyku pre ne ľahko zrozumiteľnom, požadovaným na posúdenie návrhu, vývoja, výroby a riešenia zraniteľností takýchto produktov vrátane súvisiacej internej dokumentácie príslušného hospodárskeho subjektu.

Vnútroštátny postup pre produkty s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko

1. Ak má orgán dohľadu nad trhom členského štátu dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami vrátane riešenia jeho zraniteľností predstavuje významné kybernetickobezpečnostné riziko, bez zbytočného odkladu a v prípadnej spolupráci s príslušnou jednotkou CSIRT vykoná hodnotenie súladu produktu s digitálnymi prvkami so všetkými požiadavkami stanovenými v tomto nariadení. Príslušné hospodárske subjekty spolupracujú podľa potreby s orgánom dohľadu nad trhom.

Ak pri tomto hodnotení orgán dohľadu nad trhom zistí, že produkt s digitálnymi prvkami nespĺňa požiadavky stanovené v tomto nariadení, bezodkladne požiada príslušný hospodársky subjekt, aby prijal všetky primerané nápravné opatrenia na uvedenie tohto produktu s digitálnymi prvkami do súladu s uvedenými požiadavkami alebo aby produkt stiahol z trhu alebo od používateľov v primeranej lehote, ktorú môže orgán dohľadu nad trhom stanoviť a ktorá je úmerná povahe kybernetickobezpečnostného rizika.

Orgán dohľadu nad trhom o tom informuje príslušnú notifikovanú osobu. Na nápravné opatrenia sa uplatňuje článok 18 nariadenia (EÚ) 2019/1020.

2. Pri určovaní závažnosti kybernetickobezpečnostného rizika uvedeného v odseku 1 tohto článku orgány dohľadu nad trhom zohľadňujú aj netechnické rizikové faktory, najmä faktory zistené na základe koordinovaných posúdení bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie vykonaných v súlade s článkom 22 smernice (EÚ) 2022/2555. Ak má orgán dohľadu nad trhom dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami predstavuje významné kybernetickobezpečnostné riziko vzhľadom na netechnické rizikové faktory, informuje o tom príslušné orgány určené alebo zriadené podľa článku 8 smernice (EÚ) 2022/2555 a podľa potreby s uvedenými orgánmi spolupracuje.

3. Ak sa orgán dohľadu nad trhom domnieva, že nesúlad sa neobmedzuje na územie jeho štátu, informuje Komisiu a ostatné členské štáty o výsledkoch hodnotenia a o opatreniach, ktorých prijatie požaduje od hospodárskeho subjektu.

4. Hospodársky subjekt zaistí prijatie všetkých primeraných nápravných opatrení v súvislosti so všetkými dotknutými produktmi s digitálnymi prvkami, ktoré sprístupnil na trhu v celej Únii.

5. Ak hospodársky subjekt v rámci lehoty uvedenej v odseku 1 druhom pododseku neprijme primerané nápravné opatrenia, orgán dohľadu nad trhom prijme všetky primerané predbežné opatrenia s cieľom zakázať alebo obmedziť sprístupňovanie uvedeného produktu s digitálnymi prvkami na svojom vnútroštátnom trhu, stiahnuť produkt z daného trhu alebo od používateľa.

Tento orgán bezodkladne oznámi uvedené opatrenia Komisii a ostatným členským štátom.

6. Informácie uvedené v odseku 5 zahŕňajú všetky dostupné podrobné údaje, najmä údaje potrebné na identifikáciu nevyhovujúceho produktu s digitálnymi prvkami, pôvod tohto produktu s digitálnymi prvkami, povahu údajného nesúladu a možného rizika, povahu a trvanie prijatých vnútroštátnych opatrení a stanoviská, ktoré poskytol príslušný hospodársky subjekt. Orgán dohľadu nad trhom predovšetkým uvedie, či k nesúladu došlo z jedného alebo viacerých týchto dôvodov:

7. Orgány dohľadu nad trhom členských štátov iné než orgán dohľadu nad trhom členského štátu, ktorý postup začal, bezodkladne oznámia Komisii a ostatným členským štátom všetky prijaté opatrenia a všetky dodatočné informácie o nesúlade dotknutého produktu s digitálnymi prvkami, ktoré majú k dispozícii, a ak nesúhlasia s oznámeným vnútroštátnym opatrením, aj so svojimi námietkami.

8. Ak do troch mesiacov od doručenia oznámenia uvedeného v odseku 5 tohto článku žiaden členský štát ani Komisia nevznesú námietku proti predbežnému opatreniu prijatému členským štátom, opatrenie sa považuje za opodstatnené. Týmto nie sú dotknuté procesné práva dotknutého hospodárskeho subjektu v súlade s článkom 18 nariadenia (EÚ) 2019/1020.

9. Orgány dohľadu nad trhom všetkých členských štátov zabezpečia, aby sa vo vzťahu k dotknutému produktu s digitálnymi prvkami bezodkladne prijali primerané reštriktívne opatrenia, ako je napríklad stiahnutie daného produktu z ich trhu.

Ochranný postup Únie

1. Ak do troch mesiacov od doručenia oznámenia uvedeného v článku 54 ods. 5 členský štát vznesie námietky proti opatreniu prijatému iným členským štátom, alebo ak Komisia považuje toto opatrenie za také, ktoré je v rozpore s právom Únie, Komisia bezodkladne začne konzultácie s príslušným členským štátom a hospodárskym subjektom alebo hospodárskymi subjektmi a dané vnútroštátne opatrenie vyhodnotí. Na základe výsledkov tohto hodnotenia Komisia do deviatich mesiacov od oznámenia uvedeného v článku 54 ods. 5 rozhodne, či vnútroštátne opatrenie je alebo nie je opodstatnené, a toto rozhodnutie oznámi dotknutému členskému štátu.

2. Ak sa vnútroštátne opatrenie považuje za opodstatnené, všetky členské štáty prijmú opatrenia potrebné na zaistenie stiahnutia nevyhovujúceho produktu s digitálnymi prvkami zo svojho trhu a náležite o tom informujú Komisiu. Ak sa vnútroštátne opatrenie nepovažuje za opodstatnené, dotknutý členský štát toto opatrenie zruší.

3. Ak sa vnútroštátne opatrenie považuje za opodstatnené a nesúlad produktu s digitálnymi prvkami sa pripisuje nedostatkom v harmonizovaných normách, Komisia uplatní postup stanovený v článku 11 nariadenia (EÚ) č. 1025/2012.

4. Ak sa vnútroštátne opatrenie považuje za opodstatnené a nesúlad produktu s digitálnymi prvkami sa pripisuje nedostatkom v európskej schéme certifikácie kybernetickej bezpečnosti uvedenej v článku 27, Komisia zváži, či má zmeniť alebo zrušiť akýkoľvek delegovaný akt prijatý podľa článku 27 ods. 9, v ktorom sa uvádza predpoklad zhody pre túto schému certifikácie.

5. Ak sa vnútroštátne opatrenie považuje za opodstatnené a nesúlad produktu s digitálnymi prvkami sa pripisuje nedostatkom v spoločných špecifikáciách uvedených v článku 27, Komisia zváži, či má zmeniť alebo zrušiť akýkoľvek vykonávací akt prijatý podľa článku 27 ods. 2, ktorým sa stanovujú tieto spoločné špecifikácie.

Postup na úrovni Únie pre produkty s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko

1. Ak má Komisia dostatočný dôvod domnievať sa, a to aj na základe informácií poskytnutých agentúrou ENISA, že produkt s digitálnymi prvkami, ktorý predstavuje významné kybernetickobezpečnostné riziko, nie je v súlade s požiadavkami stanovenými v tomto nariadení, informuje o tom príslušné orgány dohľadu nad trhom. Ak orgány dohľadu nad trhom vykonávajú hodnotenie daného produktu s digitálnymi prvkami, ktorý môže predstavovať významné kybernetickobezpečnostné riziko z hľadiska jeho súladu s požiadavkami stanovenými v tomto nariadení, uplatňujú sa postupy uvedené v článkoch 54 a 55.

2. Ak má Komisia dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami predstavuje významné kybernetickobezpečnostné riziko vzhľadom na netechnické rizikové faktory, informuje o tom príslušné orgány dohľadu nad trhom a podľa potreby príslušné orgány určené alebo zriadené podľa článku 8 smernice (EÚ) 2022/2555 a podľa potreby s uvedenými orgánmi spolupracuje. Komisia takisto zváži relevantnosť zistených rizík daného produktu s digitálnymi prvkami so zreteľom na svoje úlohy koordinovaného posudzovania bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie stanovených v článku 22 smernice (EÚ) 2022/2555 a v prípade potreby konzultuje so skupinou pre spoluprácu zriadenou podľa článku 14 smernice (EÚ) 2022/2555 a agentúrou ENISA.

3. Za okolností, ktoré odôvodňujú okamžitý zásah na zachovanie riadneho fungovania vnútorného trhu, a ak má Komisia dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami uvedený v odseku 1 naďalej nie je v súlade s požiadavkami stanovenými v tomto nariadení a príslušné orgány dohľadu nad trhom neprijali účinné opatrenia, Komisia vykoná hodnotenie súladu a môže požiadať agentúru ENISA, aby poskytla analýzu na jeho podporu. Komisia o tom informuje príslušné orgány dohľadu nad trhom. Príslušné hospodárske subjekty spolupracujú podľa potreby s agentúrou ENISA.

4. Komisia môže na základe hodnotenia uvedeného v odseku 3 rozhodnúť, že sú potrebné nápravné alebo reštriktívne opatrenia na úrovni Únie. Na tento účel bezodkladne konzultuje s dotknutými členskými štátmi a príslušným hospodárskym subjektom alebo subjektmi.

5. Na základe konzultácie uvedenej v odseku 4 tohto článku môže Komisia prijať vykonávacie akty na zabezpečenie nápravných alebo reštriktívnych opatrení na úrovni Únie, ako aj nariadiť stiahnutie dotknutých produktov s digitálnymi prvkami z trhu alebo od používateľov v primeranej lehote úmernej povahe rizika. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.

6. Komisia bezodkladne oznámi vykonávacie akty uvedené v odseku 5 príslušnému hospodárskemu subjektu alebo subjektom. Členské štáty bezodkladne vykonajú uvedené vykonávacie akty a náležite o tom informujú Komisiu.

7. Odseky 3 až 6 sa uplatňujú počas výnimočnej situácie, ktorá odôvodnila zásah Komisie, za predpokladu, že produkt s dotknutými digitálnymi prvkami nie je uvedený do súladu s týmto nariadením.

Produkty s digitálnymi prvkami, ktoré sú v súlade a predstavujú významné kybernetickobezpečnostné riziko

1. Orgán dohľadu nad trhom členského štátu požiada hospodársky subjekt, aby prijal všetky vhodné opatrenia, ak po vykonaní hodnotenia podľa článku 54 zistí, že hoci produkt s digitálnymi prvkami a postupy zavedené výrobcom sú v súlade s týmto nariadením, predstavujú významné kybernetickobezpečnostné riziko, ako aj riziko pre:

K opatreniam uvedeným v prvom pododseku môžu patriť opatrenia na zabezpečenie toho, aby príslušný produkt s digitálnymi prvkami a postupy zavedené výrobcom pri sprístupňovaní na trhu už nepredstavovali relevantné riziká, stiahnutie dotknutého produktu s digitálnymi prvkami z trhu alebo jeho stiahnutie od používateľov a musia byť primerané povahe uvedených rizík.

2. Výrobca alebo iné príslušné hospodárske subjekty zaistia prijatie nápravných opatrení v súvislosti s dotknutými produktmi s digitálnymi prvkami, ktoré sprístupnili na trhu v celej Únii, v lehote, ktorú stanoví orgán dohľadu nad trhom členského štátu uvedený v odseku 1.

3. Členský štát bezodkladne informuje Komisiu a ostatné členské štáty o každom opatrení prijatom podľa odseku 1. Tieto informácie zahŕňajú všetky dostupné podrobnosti, najmä údaje potrebné na identifikáciu dotknutých produktov s digitálnymi prvkami, pôvod a dodávateľský reťazec týchto produktov s digitálnymi prvkami, povahu možného rizika a povahu a trvanie prijatých vnútroštátnych opatrení.

4. Komisia začne bezodkladne konzultácie s členskými štátmi a príslušnými hospodárskymi subjektmi a vyhodnotí prijaté vnútroštátne opatrenia. Na základe výsledkov tohto hodnotenia Komisia rozhodne, či opatrenie je alebo nie je opodstatnené, a v prípade potreby navrhne primerané opatrenia.

5. Rozhodnutie Komisie uvedené v odseku 4 je určené členským štátom.

6. Ak má Komisia dostatočný dôvod domnievať sa, a to aj na základe informácií poskytnutých agentúrou ENISA, že produkt s digitálnymi prvkami, hoci je v súlade s týmto nariadením, predstavuje riziká uvedené v odseku 1 tohto článku, informuje o tom a môže požiadať príslušný orgán alebo orgány dohľadu nad trhom, aby vykonali hodnotenie a riadili sa postupmi uvedenými v článku 54 a v odsekoch 1, 2 a 3 tohto článku.

7. Za okolností, ktoré odôvodňujú okamžitý zásah na zachovanie riadneho fungovania vnútorného trhu, a ak má Komisia dostatočný dôvod domnievať sa, že produkt s digitálnymi prvkami uvedený v odseku 6 naďalej predstavuje riziká uvedené v odseku 1 a príslušné orgány dohľadu nad trhom neprijali žiadne účinné opatrenia, Komisia vykoná hodnotenie rizík, ktoré predstavuje tento produkt s digitálnymi prvkami a môže požiadať agentúru ENISA, aby poskytla analýzu na podporu tohto hodnotenia a informuje o tom príslušné orgány dohľadu nad trhom. Príslušné hospodárske subjekty spolupracujú podľa potreby s agentúrou ENISA.

8. Komisia môže na základe hodnotenia uvedeného v odseku 7 potvrdiť, že sú potrebné nápravné alebo reštriktívne opatrenia na úrovni Únie. Na tento účel bezodkladne konzultuje s dotknutými členskými štátmi a príslušným hospodárskym subjektom alebo subjektmi.

9. Na základe konzultácie uvedenej v odseku 8 tohto článku môže Komisia prijať vykonávacie akty s cieľom rozhodnúť o nápravných alebo reštriktívnych opatreniach na úrovni Únie, ako aj nariadiť stiahnutie dotknutých produktov s digitálnymi prvkami z trhu alebo od používateľov v primeranej lehote úmernej povahe rizika. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 62 ods. 2.

10. Komisia bezodkladne oznámi vykonávacie akty uvedené v odseku 9 príslušnému hospodárskemu subjektu alebo subjektom. Členské štáty vykonávajú uvedené vykonávacie akty bezodkladne a náležite o tom informujú Komisiu.

11. Odseky 6 až 10 sa uplatňujú počas výnimočnej situácie, ktorá odôvodnila zásah Komisie, a dovtedy, kým dotknutý produkt s digitálnymi prvkami naďalej predstavuje riziká uvedené v odseku 1.

Formálny nesúlad

1. Orgán dohľadu nad trhom členského štátu požiada príslušného výrobcu o odstránenie predmetného nesúladu, ak dospeje k jednému z týchto zistení:

2. Ak nesúlad uvedený v odseku 1 pretrváva, príslušný členský štát prijme všetky primerané opatrenia na obmedzenie alebo zakázanie sprístupňovania produktu s digitálnymi prvkami na trhu, alebo zaistenie jeho stiahnutia od používateľov alebo z trhu.

Spoločné činnosti orgánov dohľadu nad trhom

1. Orgány dohľadu nad trhom sa môžu dohodnúť s inými príslušnými orgánmi na výkone spoločných činností zameraných na zaistenie kybernetickej bezpečnosti a ochrany spotrebiteľov v súvislosti s konkrétnymi produktmi s digitálnymi prvkami, ktoré sú uvedené na trh alebo sprístupnené na trhu, najmä produktmi s digitálnymi prvkami, v prípade ktorých sa často zistí, že predstavujú kybernetickobezpečnostné riziká.

2. Komisia alebo agentúra ENISA navrhne spoločné činnosti na kontrolu dodržiavania súladu s týmto nariadením, ktoré majú vykonávať orgány dohľadu nad trhom na základe údajov alebo informácií vo viacerých členských štátoch o možnom nesúlade produktov s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia, s požiadavkami stanovenými v tomto nariadení.

3. Orgány dohľadu nad trhom a v relevantnom prípade Komisia zaistia, aby dohoda o výkone spoločných činností neviedla k nekalej hospodárskej súťaži medzi hospodárskymi subjektmi a aby nemala negatívny vplyv na objektívnosť, nezávislosť a nestrannosť strán dohody.

4. Orgán dohľadu nad trhom môže využiť akékoľvek informácie, ktoré získal pri spoločných činnostiach vykonávaných v rámci akéhokoľvek vyšetrovania, ktoré vedie.

5. Dotknutý orgán dohľadu nad trhom a v relevantnom prípade Komisia sprístupnia verejnosti dohodu o spoločných činnostiach vrátane mien/názvov zúčastnených strán.

Kontrolné akcie

1. Orgány dohľadu nad trhom vykonávajú súbežné koordinované akcie na kontrolu (ďalej len „kontrolné akcie“) konkrétnych produktov s digitálnymi prvkami alebo ich kategórií na kontrolu súladu s týmto nariadením alebo odhaľovanie jeho porušení. Súčasťou uvedených kontrolných akcií môžu byť kontroly produktov s digitálnymi prvkami nadobudnutými pod utajenou totožnosťou.

2. Pokiaľ sa zapojené orgány dohľadu nad trhom nedohodnú inak, kontrolné akcie koordinuje Komisia. Koordinátor kontrolnej akcie v prípade potreby zverejní jej súhrnné výsledky.

3. Ak agentúra ENISA pri plnení svojich úloh, a to aj na základe oznámení doručených podľa článku 14 ods. 1 a 3, identifikuje kategórie produktov s digitálnymi prvkami, pre ktoré sa môžu organizovať kontrolné akcie, podá návrh kontrolnej akcie koordinátorovi uvedenému v odseku 2 tohto článku na zváženie orgánom dohľadu nad trhom.

4. Pri výkone kontrolných akcií môžu zapojené orgány dohľadu nad trhom využívať vyšetrovacie právomoci stanovené v článkoch 52 až 58 a akékoľvek iné právomoci, ktoré im boli zverené podľa vnútroštátneho práva.

5. Orgány dohľadu nad trhom môžu vyzvať úradníkov Komisie a iné sprevádzajúce osoby poverené Komisiou, aby sa zúčastnili na kontrolných akciách.

Výkon delegovania právomoci

1. Komisii sa udeľuje právomoc prijímať delegované akty za podmienok stanovených v tomto článku.

2. Právomoc prijímať delegované akty uvedené v článku 2 ods. 5 druhom pododseku, článku 7 ods. 3, článku 8 ods. 1 a 2, článku 13 ods. 8 štvrtom pododseku, článku 14 ods. 9, článku 25, článku 27 ods. 9, článku 28 ods. 5 a článku 31 ods. 5 sa Komisii udeľuje na obdobie piatich rokov odo 10. decembra 2024. Komisia vypracuje správu týkajúcu sa delegovania právomoci najneskôr deväť mesiacov pred uplynutím tohto päťročného obdobia. Delegovanie právomoci sa automaticky predlžuje o rovnako dlhé obdobia, pokiaľ Európsky parlament alebo Rada nevznesú voči takémuto predĺženiu námietku najneskôr tri mesiace pred uplynutím každého obdobia.

3. Delegovanie právomoci uvedené v článku 2 ods. 5 druhom pododseku, článku 7 ods. 3, článku 8 ods. 1 a 2, článku 13 ods. 8 štvrtom pododseku, článku 14 ods. 9, článku 25, článku 27 ods. 9, článku 28 ods. 5 a článku 31 ods. 5 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.

4. Komisia pred prijatím delegovaného aktu konzultuje s expertmi určenými jednotlivými členskými štátmi v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva.

5. Komisia oznamuje delegovaný akt hneď po jeho prijatí súčasne Európskemu parlamentu a Rade.

6. Delegovaný akt prijatý podľa článku 2 ods. 5 druhého pododseku, článku 7 ods. 3, článku 8 ods. 1 alebo 2, článku 13 ods. 8 štvrtého pododseku, článku 14 ods. 9, článku 25, článku 27 ods. 9, článku 28 ods. 5 alebo článku 31 ods. 5 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov od dátumu oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace.

Postup výboru

1. Komisii pomáha výbor. Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

2. Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

3. Ak sa má stanovisko výboru získať písomným postupom, tento postup sa ukončí bez výsledku, ak tak v rámci lehoty na vydanie stanoviska rozhodne predseda výboru alebo ak o to požiada člen výboru.

Dôvernosť informácií

1. Všetky strany, ktoré sa zúčastňujú na uplatňovaní tohto nariadenia, sú povinné zachovávať dôvernosť informácií a údajov nadobudnutých pri výkone svojich úloh a činností tak, aby chránili najmä:

2. Bez toho, aby bol dotknutý odsek 1, sa informácie, ktoré si dôverne vymieňajú orgány dohľadu nad trhom navzájom a orgány dohľadu nad trhom s Komisiou, nezverejňujú bez predchádzajúceho súhlasu orgánu dohľadu nad trhom, od ktorého pochádzajú.

3. Odsekmi 1 a 2 nie sú dotknuté práva a povinnosti Komisie, členských štátov a notifikovaných osôb, pokiaľ ide o výmenu informácií a šírenie upozornení, ani povinnosti dotknutých osôb poskytovať informácie podľa trestného práva členských štátov.

4. Komisia a členské štáty si v prípade potreby môžu vymieňať citlivé informácie s príslušnými orgánmi tretích krajín, s ktorými uzavreli bilaterálne alebo multilaterálne dohody o zachovaní dôvernosti zaručujúce primeranú úroveň ochrany.

Sankcie

1. Členské štáty stanovia pravidlá, pokiaľ ide o sankcie uplatniteľné pri porušení tohto nariadenia, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce. Členské štáty o týchto pravidlách a opatreniach bezodkladne informujú Komisiu a bezodkladne jej oznámia každú ďalšiu zmenu, ktorá ich ovplyvní.

2. Za nesúlad so základnými požiadavkami kybernetickej bezpečnosti stanovenými v prílohe I a s povinnosťami stanovenými v článkoch 13 a 14 sa ukladajú správne pokuty až do výšky 15 000 000 EUR, alebo ak je porušiteľom podnik, až do výšky 2,5 % jeho celkového ročného celosvetového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

3. Za neplnenie povinností stanovených v článkoch 18 až 23, článku 28, článku 30 ods. 1 až 4, článku 31 ods. 1 až 4, článku 32 ods. 1, 2 a 3, článku 33 ods. 5 a článkoch 39, 41, 47, 49 a 53 sa ukladajú správne pokuty až do výšky 10 000 000 EUR, alebo ak je porušiteľom podnik, až do výšky 2 % jeho celkového ročného celosvetového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

4. Za poskytnutie nesprávnych, neúplných alebo zavádzajúcich informácií v odpovedi na žiadosť notifikovaných osôb a orgánov dohľadu nad trhom sa ukladajú správne pokuty až do výšky 5 000 000 EUR, alebo ak je porušiteľom podnik, až do výšky 1 % jeho celkového ročného celosvetového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

5. Pri rozhodovaní o výške správnej pokuty sa v každom prípade zohľadnia všetky relevantné okolnosti konkrétnej situácie a náležite sa vezme do úvahy:

6. Orgány dohľadu nad trhom, ktoré ukladajú správne pokuty, oznámia uloženie uvedenej pokuty orgánom dohľadu nad trhom ostatných členských štátov prostredníctvom informačného a komunikačného systému uvedeného v článku 34 nariadenia (EÚ) 2019/1020.

7. Každý členský štát stanoví pravidlá, či a v akom rozsahu sa môžu správne pokuty ukladať orgánom verejnej moci a verejným subjektom zriadeným v danom členskom štáte.

8. V závislosti od právneho systému členských štátov sa pravidlá o správnych pokutách môžu uplatňovať tak, aby pokuty ukladali príslušné vnútroštátne súdy alebo iné orgány podľa právomocí stanovených v daných členských štátoch na vnútroštátnej úrovni. Uplatňovanie takýchto pravidiel v uvedených členských štátoch má rovnocenný účinok.

9. Podľa okolností každého jednotlivého prípadu sa správne pokuty môžu ukladať spolu s akýmikoľvek inými nápravnými alebo reštriktívnymi opatreniami, ktoré uplatnia orgány dohľadu nad trhom na to isté porušenie.

10. Odchylne od odsekov 3 až 9 sa správne pokuty uvedené v daných odsekoch neuplatňujú na:

Žaloby v zastúpení

Na žaloby v zastúpení podané na hospodárske subjekty vo veci porušenia ustanovení tohto nariadenia, ktoré poškodzujú alebo môžu poškodiť kolektívne záujmy spotrebiteľov, sa vzťahuje smernica (EÚ) 2020/1828.

Zmena nariadenia (EÚ) 2019/1020

V prílohe I k nariadeniu (EÚ) 2019/1020 sa dopĺňa tento bod:

„72.

Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/2847 (*1).

Zmena smernice (EÚ) 2020/1828

V prílohe I k smernici (EÚ) 2020/1828 sa dopĺňa tento bod:

„69.

Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/2847 (*2).

Zmena nariadenia (EÚ) č. 168/2013

V časti C1 prílohy II k nariadeniu Európskeho parlamentu a Rady (EÚ) č. 168/2013 (38) sa v tabuľke dopĺňa táto položka:

„

“

Prechodné ustanovenia

1. Certifikáty EÚ skúšky typu a rozhodnutia o schválení vydané v súvislosti s požiadavkami na kybernetickú bezpečnosť produktov s digitálnymi prvkami, na ktoré sa vzťahujú iné harmonizačné právne predpisy Únie ako toto nariadenie, zostávajú v platnosti do 11. júna 2028, pokiaľ ich platnosť neuplynie pred týmto dátumom, alebo pokiaľ nie je v takýchto iných harmonizačných právnych predpisoch Únie uvedené inak, pričom v takom prípade zostávajú v platnosti tak, ako sa v daných právnych predpisoch uvádza.

2. Na produkty s digitálnymi prvkami, ktoré boli uvedené na trh pred 11. decembrom 2027 sa vzťahujú požiadavky stanovené v tomto nariadení len vtedy, ak sú tieto produkty od uvedeného dátumu predmetom podstatnej úpravy.

3. Odchylne od odseku 2 tohto článku sa povinnosti stanovené v článku 14 uplatňujú na všetky produkty s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia a boli uvedené na trh pred 11. decembrom 2027.

Hodnotenie a preskúmanie

1. Komisia do 11. decembra 2030 a potom každé štyri roky podáva Európskemu parlamentu a Rade správu o hodnotení a preskúmaní tohto nariadenia. Uvedené správy sa zverejnia.

2. Komisia do 11. septembra 2028 po konzultácii s agentúrou ENISA a sieťou jednotiek CSIRT podá Európskemu parlamentu a Rade správu, v ktorej posúdi účinnosť jednotnej oznamovacej platformy stanovenej v článku 16, ako aj vplyv uplatňovania dôvodov súvisiacich s kybernetickou bezpečnosťou uvedených v článku 16 ods. 2 jednotkami CSIRT určenými za koordinátorov na účinnosť jednotnej oznamovacej platformy, pokiaľ ide o včasné rozosielanie doručených oznámení iným príslušným jednotkám CSIRT.

Nadobudnutie účinnosti a uplatňovanie

1. Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.

2. Toto nariadenie sa uplatňuje od 11. decembra 2027.

Článok 14 sa však uplatňuje od 11. septembra 2026 a kapitola IV (články 35 až 51) sa uplatňuje od 11. júna 2026.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Štrasburgu 23. októbra 2024