EU's forordning om cyberrobusthed for digitale produkter (CRA)

Artikel 1

Genstand

Ved denne forordning fastsættes:

Artikel 2

Anvendelsesområde

1. Denne forordning finder anvendelse på produkter med digitale elementer, der gøres tilgængelige på markedet, hvis tilsigtede formål eller rimeligt forudsigelige anvendelse omfatter en direkte eller indirekte logisk eller fysisk dataforbindelse til en enhed eller et netværk.

2. Denne forordning finder ikke anvendelse på produkter med digitale elementer, som følgende EU-retsakter finder anvendelse på:

3. Denne forordning finder ikke anvendelse på produkter med digitale elementer, der er certificeret i overensstemmelse med forordning (EU) 2018/1139.

4. Denne forordning finder ikke anvendelse på udstyr, der er omfattet af Europa-Parlamentets og Rådets direktiv 2014/90/EU .

5. Anvendelsen af denne forordning på produkter med digitale elementer, som er omfattet af andre EU-forskrifter, der fastlægger krav vedrørende alle eller nogle af de risici, som er omfattet af de væsentlige cybersikkerhedskrav i bilag I, kan begrænses eller udelukkes, hvis:

Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 61 til at supplere denne forordning ved at præcisere, hvorvidt en sådan begrænsning eller udelukkelse er nødvendig, de pågældende produkter og regler samt begrænsningens anvendelsesområde, hvis det er relevant.

6. Denne forordning finder ikke anvendelse på reservedele, der gøres tilgængelige på markedet for at udskifte identiske komponenter i produkter med digitale elementer, og som er fremstillet efter de samme specifikationer som de komponenter, de skal udskifte.

7. Denne forordning finder ikke anvendelse på produkter med digitale elementer, der udelukkende udvikles eller ændres til nationale sikkerheds- eller forsvarsformål, eller på produkter, der er specifikt designet til at behandle klassificerede oplysninger.

8. De forpligtelser, der er fastsat i denne forordning, omfatter ikke meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser med hensyn til medlemsstaternes nationale sikkerhed, offentlige sikkerhed eller forsvar.

Artikel 3

Definitioner

I denne forordning forstås ved:

Artikel 4

Fri bevægelighed

1. Medlemsstaterne må ikke hindre tilgængeliggørelse på markedet af produkter med digitale elementer, der opfylder kravene i denne forordning, for så vidt angår spørgsmål, der er omfattet af denne forordning.

2. Medlemsstaterne må ikke modsætte sig, at der på messer, udstillinger, demonstrationer eller lignende begivenheder præsenteres eller anvendes et produkt med digitale elementer, der ikke overholder denne forordning, herunder dets prototyper, forudsat at produktet præsenteres med et synligt skilt, hvoraf det tydeligt fremgår, at det ikke overholder denne forordning og ikke må gøres tilgængeligt på markedet, før det overholder denne forordning.

3. Medlemsstaterne må ikke forhindre tilgængeliggørelse på markedet af ufærdig software, der ikke overholder denne forordning, såfremt softwaren kun gøres tilgængelig i et begrænset tidsrum, der er nødvendigt til afprøvningsformål, og med et synligt skilt, hvoraf det tydeligt fremgår, at den ikke overholder denne forordning og ikke vil være tilgængelig på markedet til andre formål end afprøvning.

4. Stk. 3 finder ikke anvendelse på sikkerhedskomponenter som omhandlet i anden EU-harmoniseringslovgivning end denne forordning.

Artikel 5

Offentlige indkøb af produkter med digitale elementer

1. Denne forordning er ikke til hinder for, at medlemsstaterne underlægger produkter med digitale elementer yderligere cybersikkerhedskrav med henblik på offentlige indkøb eller anvendelse af disse produkter til specifikke formål, herunder når disse produkter indkøbes eller anvendes til nationale sikkerheds- eller forsvarsformål, forudsat at sådanne krav er i overensstemmelse med medlemsstaternes forpligtelser i henhold til EU-retten, og at de er nødvendige og forholdsmæssige for at opfylde disse formål.

2. Uden at det berører direktiv 2014/24/EU og 2014/25/EU, sikrer medlemsstaterne i forbindelse med indkøb af produkter med digitale elementer, der er omfattet af denne forordnings anvendelsesområde, at der i udbudsprocessen tages hensyn til overholdelsen af de væsentlige cybersikkerhedskrav i bilag I til denne forordning, herunder fabrikanternes evne til at håndtere sårbarheder effektivt.

Artikel 6

Krav til produkter med digitale elementer

Produkter med digitale elementer må kun gøres tilgængelige på markedet, hvis:

Artikel 7

Vigtige produkter med digitale elementer

1. Produkter med digitale elementer, hvis væsentligste funktionalitet henhører under en produktkategori, der er fastsat i bilag III, anses som vigtige produkter med digitale elementer og er omfattet af de overensstemmelsesvurderingsprocedurer, der er omhandlet i artikel 32, stk. 2 og 3. Integrationen af et produkt med digitale elementer, hvis væsentligste funktionalitet henhører under en produktkategori, der er fastsat i bilag III, gør ikke i sig selv det produkt, som det er integreret i, omfattet af de overensstemmelsesvurderingsprocedurer, der er omhandlet i artikel 32, stk. 2 og 3.

2. De kategorier af produkter med digitale elementer, der er omhandlet i denne artikels stk. 1, opdelt i klasse I og II, som fastsat i bilag III, opfylder mindst ét af følgende kriterier:

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at ændre bilag III ved at føje til listen en ny kategori inden for hver klasse af kategorierne af produkter med digitale elementer og præcisere dens definition, flytte en kategori af produkter fra en klasse til den anden eller fjerne en eksisterende kategori fra denne liste. Ved vurderingen af behovet for at ændre listen fastsat i bilag III tager Kommissionen hensyn til de cybersikkerhedsrelaterede funktioner eller den funktion og det niveau af cybersikkerhedsrisiko, som produkter med digitale elementer udgør som fastsat ved de kriterier, der er omhandlet i nærværende artikels stk. 2.

De delegerede retsakter, der er omhandlet i nærværende stykkes første afsnit, fastsætter, hvor det er relevant, en mindste overgangsperiode på 12 måneder, navnlig hvis en ny kategori af vigtige produkter med digitale elementer føjes til klasse I eller II eller flyttes fra klasse I til II som fastsat i bilag III, inden de relevante overensstemmelsesvurderingsprocedurer som omhandlet i artikel 32, stk. 2, og 3, begynder at finde anvendelse, medmindre en kortere overgangsperiode er berettiget i særligt hastende tilfælde.

4. Senest den 11. december 2025 vedtager Kommissionen en gennemførelsesretsakt, der præciserer den tekniske beskrivelse af kategorier af produkter med digitale elementer i klasse I og II som fastsat i bilag III og den tekniske beskrivelse af de kategorier af produkter med digitale elementer som fastsat i bilag IV. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

Artikel 8

Kritiske produkter med digitale elementer

1. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning for at fastlægge, hvilke produkter med digitale elementer, hvis væsentligste funktionalitet henhører under en produktkategori fastsat i bilag IV til denne forordning, skal indhente en europæisk cybersikkerhedsattest på et tillidsniveau, der som minimum er »betydeligt« i henhold til en europæisk cybersikkerhedscertificeringsordning vedtaget i henhold til forordning (EU) 2019/881, for at påvise overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I til nærværende forordning eller dele heraf, forudsat at der er vedtaget en europæisk cybersikkerhedscertificeringsordning i henhold til forordning (EU) 2019/881, der dækker disse kategorier af produkter med digitale elementer, og at den er tilgængelig for fabrikanterne. Disse delegerede retsakter præciserer det krævede tillidsniveau, der skal stå i et rimeligt forhold til det cybersikkerhedsrisikoniveau, der er forbundet med produkter med digitale elementer, og skal tage hensyn til deres tilsigtede formål, herunder den kritiske afhængighed af dem hos væsentlige enheder som omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555.

Inden vedtagelsen af sådanne delegerede retsakter foretager Kommissionen en vurdering af de potentielle markedsvirkninger af de påtænkte foranstaltninger og gennemfører høringer af relevante interessenter, herunder den europæiske cybersikkerhedscertificeringsgruppe, der er oprettet i henhold til forordning (EU) 2019/881. Vurderingen skal tage hensyn til medlemsstaternes parathed og kapacitetsniveau med hensyn til gennemførelsen af den relevante europæiske cybersikkerhedscertificeringsordning. Hvis der ikke er vedtaget delegerede retsakter som omhandlet i nærværende stykkes første afsnit, er produkter med digitale elementer, hvis væsentligste funktionalitet henhører under en produktkategori som fastsat i bilag IV, omfattet af de overensstemmelsesvurderingsprocedurer, der er omhandlet i artikel 32, stk. 3.

De delegerede retsakter, der er omhandlet i første afsnit, fastsætter en mindste overgangsperiode på seks måneder, medmindre en kortere overgangsperiode er berettiget i særligt hastende tilfælde.

2. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at ændre bilag IV ved at tilføje eller fjerne kategorier af kritiske produkter med digitale elementer. Ved fastlæggelsen af sådanne kategorier af kritiske produkter med digitale elementer og det krævede tillidsniveau i overensstemmelse med nærværende artikels stk. 1 tager Kommissionen hensyn til de kriterier, der er omhandlet i artikel 7, stk. 2, og sikrer, at kategorierne af produkter med digitale elementer opfylder mindst ét af følgende kriterier:

Inden vedtagelsen af sådanne delegerede retsakter foretager Kommissionen en vurdering af den type, der er omhandlet i stk. 1.

De delegerede retsakter, der er omhandlet i første afsnit, fastsætter en mindste overgangsperiode på seks måneder, medmindre en kortere overgangsperiode er berettiget i særligt hastende tilfælde.

Artikel 9

Høringer af interesserede parter

1. Ved udarbejdelsen af foranstaltninger til gennemførelse af denne forordning hører og tager Kommissionen hensyn til synspunkter fra relevante interessenter såsom relevante myndigheder i medlemsstaterne, virksomheder i den private sektor, herunder mikrovirksomheder og små og mellemstore virksomheder, open source software-samfundet, forbrugerorganisationer, den akademiske verden og relevante EU-agenturer og -organer samt ekspertgrupper, der er nedsat på EU-plan. Kommissionen skal navnlig, hvor det er relevant, høre og indhente synspunkter fra disse interessenter på en struktureret måde i forbindelse med:

2. Kommissionen afholder regelmæssige hørings- og informationsmøder, mindst én gang om året, for at indhente synspunkter fra de i stk. 1 omhandlede interessenter om gennemførelsen af denne forordning.

Artikel 10

Forbedring af færdigheder i et cybermodstandsdygtigt digitalt miljø

Med henblik på denne forordning og for at imødekomme fagfolks behov for støtte til gennemførelsen af denne forordning fremmer medlemsstaterne, hvor det er relevant, med støtte fra Kommissionen, Det Europæiske Kompetencecenter for Cybersikkerhed og ENISA, idet de fuldt ud respekterer medlemsstaternes ansvar på uddannelsesområdet, foranstaltninger og strategier, der har til formål at:

Artikel 11

Produktsikkerhed i almindelighed

Uanset artikel 2, stk. 1, tredje afsnit, litra b), i forordning (EU) 2023/988, finder kapitel III, afdeling 1, kapitel V og VII og kapitel IX-XI i nævnte forordning anvendelse på produkter med digitale elementer for så vidt angår aspekter og risici eller kategorier af risici, der ikke er omfattet af nærværende forordning, såfremt disse produkter ikke er omfattet af specifikke sikkerhedskrav i anden »EU-harmoniseringslovgivning« som defineret i artikel 3, nr. 27), i forordning (EU) 2023/988.

Artikel 12

Højrisiko-AI-systemer

1. Uden at dette berører de krav til nøjagtighed og robusthed, der er fastsat i artikel 15 i forordning (EU) 2024/1689, anses produkter med digitale elementer, som er omfattet af nærværende forordnings anvendelsesområde, og som er klassificeret som højrisiko-AI-systemer i henhold til nævnte forordnings artikel 6, for at overholde cybersikkerhedskravene i nævnte forordnings artikel 15, når:

2. For de produkter med digitale elementer og cybersikkerhedskrav, der er omhandlet i denne artikels stk. 1, finder den relevante overensstemmelsesvurderingsprocedure i henhold til artikel 43 i forordning (EU) 2024/1689 anvendelse. Med henblik på denne vurdering har bemyndigede organer, der har beføjelse til at kontrollere højrisiko-AI-systemernes overensstemmelse i henhold til forordning (EU) 2024/1689, også beføjelse til at kontrollere, at højrisiko-AI-systemerne, der er omfattet af nærværende forordnings anvendelsesområde, opfylder kravene i bilag I til nærværende forordning, forudsat at disse bemyndigede organers overholdelse af kravene i nærværende forordnings artikel 39 er blevet vurderet i forbindelse med bemyndigelsesproceduren i henhold til forordning (EU) 2024/1689.

3. Uanset denne artikels stk. 2 er vigtige produkter med digitale elementer som opført i bilag III til denne forordning, der er omfattet af overensstemmelsesvurderingsprocedurerne i denne forordnings artikel 32, stk. 2, litra a) og b), og artikel 32, stk. 3, samt kritiske produkter med digitale elementer som opført i bilag IV til denne forordning, som er pålagt at opnå et europæisk cybersikkerhedsattest i henhold til denne forordnings artikel 8, stk. 1, eller, hvis dette ikke er tilfældet, som er genstand for overensstemmelsesvurderingsprocedurerne omhandlet i denne forordnings artikel 32, stk. 3, og som er klassificeret som højrisiko-AI-systemer i henhold til artikel 6 i forordning (EU) 2024/1689, og på hvilke overensstemmelsesvurderingsproceduren baseret på intern kontrol som omhandlet i bilag VI til forordning (EU) 2024/1689 finder anvendelse, omfattet af overensstemmelsesvurderingsprocedurerne fastsat i nærværende forordning for så vidt angår de væsentlige cybersikkerhedskrav i nærværende forordning.

4. Fabrikanter af produkter med digitale elementer som omhandlet i denne artikels stk. 1 kan deltage i de reguleringsmæssige AI-sandkasser, der er omhandlet i artikel 57 i forordning (EU) 2024/1689.

KAPITEL II

ERHVERVSDRIVENDES FORPLIGTELSER OG BESTEMMELSER VEDRØRENDE GRATIS OPEN SOURCE-SOFTware

Artikel 13

Fabrikantens forpligtelser

1. Når et produkt med digitale elementer bringes i omsætning, sikrer fabrikanten, at det er designet, udviklet og produceret i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, del I.

2. Med henblik på at opfylde stk. 1 foretager fabrikanten en vurdering af de cybersikkerhedsrisici, der er forbundet med et produkt med digitale elementer, og tager resultatet af denne vurdering i betragtning i forbindelse med planlægning, design, udvikling, produktion, levering og vedligeholdelse af produktet med digitale elementer for at minimere cybersikkerhedsrisici, forebygge hændelser og minimere deres virkninger, herunder vedrørende brugernes sundhed og sikkerhed.

3. Cybersikkerhedsrisikovurderingen dokumenteres og ajourføres i relevant omfang i løbet af en supportperiode, der skal fastsættes i overensstemmelse med denne artikels stk. 8. Denne cybersikkerhedsrisikovurdering skal som minimum omfatte en analyse af cybersikkerhedsrisici baseret på det tilsigtede formål og den anvendelse, der med rimelighed kan forudses, samt anvendelsesbetingelserne for produktet med digitale elementer såsom driftsmiljøet eller de aktiver, der skal beskyttes, idet der tages højde for, hvor længe produktet forventes at være i brug. Cybersikkerhedsrisikovurderingen skal angive, om og i givet fald på hvilken måde sikkerhedskravene i bilag I, del I, nr. 2, finder anvendelse på det relevante produkt med digitale elementer, og hvordan disse krav gennemføres i overensstemmelse med cybersikkerhedsrisikovurderingen. Det skal også angives, hvordan fabrikanten skal anvende bilag I, del I, nr. 1, og de krav til håndtering af sårbarheder, der er fastsat i bilag I, del II.

4. Når et produkt med digitale elementer bringes i omsætning, medtager fabrikanten den cybersikkerhedsrisikovurdering, der er omhandlet i denne artikels stk. 3, i den tekniske dokumentation, der kræves i henhold til artikel 31 og bilag VII. For produkter med digitale elementer som omhandlet i artikel 12, der også er omfattet af andre EU-retsakter, kan cybersikkerhedsrisikovurderingen indgå i den risikovurdering, der kræves i henhold til disse EU-retsakter. Hvis visse væsentlige cybersikkerhedskrav ikke er relevante for produktet med digitale elementer, medtager fabrikanten en klar begrundelse herfor i den tekniske dokumentation.

5. Med henblik på at opfylde stk. 1 skal fabrikanter foretage due diligence ved integreringen af komponenter fra tredjeparter, således at disse komponenter ikke bringer cybersikkerheden af produktet med digitale elementer i fare, herunder når der integreres komponenter fra gratis open source-software, der ikke er gjort tilgængelige på markedet som led i en kommerciel aktivitet.

6. Ved identifikation af en sårbarhed i en komponent, herunder i en open source-komponent, som er integreret i produktet med digitale elementer, indberetter fabrikanten sårbarheden til den person eller enhed, der fremstiller eller vedligeholder komponenten, og håndterer og afhjælper sårbarheden i overensstemmelse med de krav til håndtering af sårbarheder, der er fastsat i bilag I, del II. Hvis fabrikanten har udviklet en software- eller hardwareændring for at afhjælpe sårbarheden i den pågældende komponent, skal fabrikanten dele den relevante kode eller dokumentation med den person eller enhed, der fremstiller eller vedligeholder komponenten, hvor det er relevant i et maskinlæsbart format.

7. Fabrikanten dokumenterer på en systematisk måde, der står i et rimeligt forhold til cybersikkerhedsrisicienes karakter, relevante cybersikkerhedsaspekter vedrørende produkterne med digitale elementer, herunder sårbarheder, som fabrikanten bliver bekendt med, og alle relevante oplysninger fra tredjeparter, og ajourfører i påkommende tilfælde cybersikkerhedsrisikovurderingen af produkterne.

8. Fabrikanten sikrer, når et produkt med digitale elementer bringes i omsætning, og i supportperioden, at det pågældende produkts sårbarheder, herunder dets komponenter, håndteres effektivt og i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, del II.

Fabrikanten fastsætter supportperioden således, at denne afspejler det tidsrum, hvori produktet forventes at være i brug, navnlig under hensyntagen til rimelige brugerforventninger, produktets art, herunder dets tilsigtede formål, samt relevant EU-ret, der fastsætter levetiden for produkter med digitale elementer. Ved fastsættelsen af supportperioden kan fabrikanten også tage hensyn til supportperioderne for produkter med digitale elementer, der tilbyder en lignende funktionalitet, og som er bragt i omsætning af andre fabrikanter, og til tilgængeligheden af driftsmiljøet, supportperioderne for integrerede komponenter, der leverer centrale funktioner og stammer fra tredjeparter, samt relevant vejledning fra den særlige administrative samarbejdsgruppe (ADCO), der er oprettet i henhold til artikel 52, stk. 15, og fra Kommissionen. De forhold, der skal tages hensyn til med henblik på at bestemme f supportperioden, skal overvejes på en måde, der sikrer proportionalitet.

Uden at det berører andet afsnit, skal supportperioden være på mindst fem år. Hvis produktet med digitale elementer forventes at være i brug i mindre end fem år, skal supportperioden svare til den forventede anvendelsestid.

Under hensyntagen til ADCO's henstillinger som omhandlet i artikel 52, stk. 16, kan Kommissionen vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning ved at præcisere minimumssupportperioden for specifikke produktkategorier, såfremt markedsovervågningsdataene tyder på utilstrækkelige supportperioder.

Fabrikanten medtager i den tekniske dokumentation de oplysninger, der blev taget i betragtning ved fastlæggelsen af supportperioden for et produkt med digitale elementer, jf. bilag VII.

Fabrikanten indfører passende politikker og procedurer, herunder politikker for koordineret offentliggørelse af sårbarheder, jf. bilag I, del II, nr. 5, til håndtering og afhjælpning af potentielle sårbarheder i produktet med digitale elementer indberettet fra interne eller eksterne kilder.

9. Fabrikanten sikrer, at hver sikkerhedsopdatering, jf. bilag I, del II, nr. 8, som er gjort tilgængelig for brugerne i supportperioden, forbliver tilgængelig efter udstedelsen i mindst ti år eller i resten af supportperioden, alt efter hvilket tidsrum der er længst.

10. Hvis en fabrikant har bragt efterfølgende væsentligt ændrede versioner af et softwareprodukt i omsætning, kan denne fabrikant vælge kun at sikre overholdelse af det væsentlige cybersikkerhedskrav i bilag I, del II, nr. 2, for den version, som fabrikanten senest har bragt i omsætning, forudsat at brugerne af de versioner, der tidligere er bragt i omsætning, har gratis adgang til den version, der senest er bragt i omsætning, og ikke pådrager sig yderligere omkostninger ved tilpasningen af det hardware- og softwaremiljø, hvori de anvender den oprindelige version af det pågældende produkt.

11. Fabrikanten kan opretholde offentlige softwarearkiver, der forbedrer brugernes adgang til historiske versioner. I disse tilfælde skal brugerne på en lettilgængelig måde informeres klart om de risici, der er forbundet med brug af ikkeunderstøttet software.

12. Inden et produkt med digitale elementer bringes i omsætning, udarbejder fabrikanten den tekniske dokumentation, der er omhandlet i artikel 31.

Fabrikanten gennemfører eller får gennemført de valgte overensstemmelsesvurderingsprocedurer som omhandlet i artikel 32.

Hvor det ved en af disse overensstemmelsesvurderingsprocedurer er blevet dokumenteret, at produktet med digitale elementer overholder de væsentlige cybersikkerhedskrav i bilag I, del I, og at de processer, som fabrikanten har indført, overholder de væsentlige cybersikkerhedskrav i bilag I, del II, udarbejder fabrikanten EU-overensstemmelseserklæringen i overensstemmelse med artikel 28 og anbringer CE-mærkningen i overensstemmelse med artikel 30.

13. Fabrikanten opbevarer den tekniske dokumentation og EU-overensstemmelseserklæringen, så de i mindst ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst, står til rådighed for markedsovervågningsmyndighederne.

14. Fabrikanten sikrer, at der findes procedurer til sikring af, at produkter med digitale elementer, der er del af en produktionsserie, fortsat er i overensstemmelse med denne forordning. Fabrikanten tager behørigt hensyn til ændringer i udviklings- og produktionsprocessen eller i designet eller egenskaberne af produktet med digitale elementer og til ændringer i de harmoniserede standarder, europæiske cybersikkerhedscertificeringsordninger eller fælles specifikationer som omhandlet i artikel 27, som der henvises til for at dokumentere overensstemmelsen af produktet med digitale elementer med de gældende krav, eller som anvendes til at kontrollere produktets overensstemmelse.

15. Fabrikanten sikrer, at dennes produkter med digitale elementer er forsynet med et type-, parti- eller serienummer eller en anden form for angivelse, ved hjælp af hvilken de kan identificeres, eller, hvis dette ikke er muligt, at disse oplysninger fremgår af emballagen eller af et dokument, der ledsager produktet med digitale elementer.

16. Fabrikantens navn, registrerede firmanavn eller registrerede varemærke og postadresse, e-mailadresse eller andre digitale kontaktoplysninger samt, i givet fald, webstedet, hvorpå fabrikanten kan kontaktes, skal fremgå af produktet med digitale elementer, af emballagen eller af et dokument, der ledsager produktet med digitale elementer. Disse oplysninger skal også indgå i de oplysninger og anvisninger til brugeren, der er anført i bilag II. Kontaktoplysningerne gives på et sprog, der er letforståeligt for brugere og markedsovervågningsmyndigheder.

17. Med henblik på denne forordning udpeger fabrikanten et centralt kontaktpunkt, der gør det muligt for brugerne at kommunikere direkte og hurtigt med denne, herunder for at lette indberetningen af sårbarheder i produktet med digitale elementer.

Fabrikanten sikrer, at det centrale kontaktpunkt er let at identificere for brugerne. Oplysninger om det centrale kontaktpunkt skal også indgå i de oplysninger og anvisninger til brugeren, der er anført i bilag II.

Det centrale kontaktpunkt skal give brugerne mulighed for at vælge deres foretrukne kommunikationsmiddel og må ikke begrænse sådanne midler til automatiserede værktøjer.

18. Fabrikanten sikrer, at produkter med digitale elementer ledsages af de oplysninger og anvisninger til brugeren, der er anført i bilag II, i papirform eller i elektronisk form. Sådanne oplysninger og anvisninger skal gives på et sprog, der let kan forstås af brugerne og markedsovervågningsmyndighederne. De skal være klare, forståelige og læselige. De skal muliggøre sikker installation, drift og anvendelse af produkter med digitale elementer. Fabrikanten opbevarer de oplysninger og anvisninger til brugeren, der er anført i bilag II, så de i mindst ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst, står til rådighed for de nationale markedsovervågningsmyndigheder. Hvis sådanne oplysninger og anvisninger gives online, sikrer fabrikanten, at de er tilgængelige, brugervenlige og til rådighed online i mindst ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst.

19. Fabrikanten sikrer, at slutdatoen for den supportperiode, der er omhandlet i stk. 8, herunder som minimum måneden og året, er klart og forståeligt angivet på købstidspunktet på en lettilgængelig måde og, i givet fald, på produktet med digitale elementer eller dets emballage eller ved hjælp af digitale midler.

Hvis det er teknisk muligt i lyset af arten af produktet med digitale elementer, skal fabrikanten vise en meddelelse til brugerne om, at deres produkt med digitale elementer har nået slutningen af sin supportperiode.

20. Fabrikanten udleverer enten en kopi af EU-overensstemmelseserklæringen eller en forenklet EU-overensstemmelseserklæring sammen med produktet med digitale elementer. Såfremt en forenklet EU-overensstemmelseserklæring udleveres, skal denne indeholde den nøjagtige internetadresse, hvor den fuldstændige EU-overensstemmelseserklæring kan tilgås.

21. Fra tidspunktet hvor et produkt med digitale elementer er bragt i omsætning og i supportperioden, træffer fabrikanten, hvis vedkommende ved eller har grund til at tro, at produktet med digitale elementer eller de processer, som fabrikanten har indført, ikke er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, omgående de nødvendige korrigerende foranstaltninger til at bringe produktet med digitale elementer eller fabrikantens processer i overensstemmelse eller til at tilbagetrække eller tilbagekalde produktet, c.

22. Efter en markedsovervågningsmyndigheds begrundede anmodning giver fabrikanten denne myndighed alle de oplysninger og al den dokumentation på papir eller elektronisk, som er nødvendig for at dokumentere, at produkterne med digitale elementer og de processer, der er indført af fabrikanten, er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, på et for denne myndighed letforståeligt sprog. Hvis denne myndighed anmoder herom, samarbejder fabrikanten med myndigheden om foranstaltninger, der træffes for at eliminere de cybersikkerhedsrisici, som det produkt med digitale elementer, fabrikanten har bragt i omsætning, indebærer.

23. En fabrikant, der indstiller driften og derfor ikke er i stand til at opfylde denne forordning, underretter, inden indstillingen af driften får virkning, de relevante markedsovervågningsmyndigheder om denne situation samt på enhver tilgængelig måde og i videst muligt omfang brugerne af de relevante produkter med digitale elementer, der er bragt i omsætning, om den forestående indstilling af driften.

24. Kommissionen kan ved hjælp af gennemførelsesretsakter, der tager hensyn til europæiske eller internationale standarder og bedste praksis, præcisere formatet for og elementerne i den softwarekomponentliste, der er omhandlet i bilag I, del II, nr. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

25. For at vurdere medlemsstaternes og hele Unionens afhængighed af softwarekomponenter og navnlig af komponenter, der kan betegnes som gratis open source-software, kan ADCO beslutte at foretage en EU-dækkende afhængighedsvurdering for specifikke kategorier af produkter med digitale elementer. Med henblik herpå kan markedsovervågningsmyndighederne anmode fabrikanter af sådanne kategorier af produkter med digitale elementer om at udlevere den relevante softwarekomponentliste som omhandlet i bilag I, del II, nr. 1. På grundlag af sådanne oplysninger kan markedsovervågningsmyndighederne give ADCO anonymiserede og aggregerede oplysninger om softwareafhængighed. ADCO forelægger en rapport om resultaterne af afhængighedsvurderingen for den samarbejdsgruppe, der er oprettet i henhold til artikel 14 i direktiv (EU) 2022/2555.

Artikel 14

Fabrikantens rapporteringsforpligtelser

1. En fabrikant underretter samtidig den CSIRT, der er udpeget som koordinator i overensstemmelse med denne artikels stk. 7, og ENISA om enhver aktivt udnyttet sårbarhed i produktet med digitale elementer, som fabrikanten får kendskab til. Fabrikanten underretter om den aktivt udnyttede sårbarhed via den fælles indberetningsplatform, der er oprettet i henhold til artikel 16.

2. Med henblik på den underretning, der er omhandlet i stk. 1, indgiver fabrikanten:

3. En fabrikant underretter samtidig den CSIRT, der er udpeget som koordinator i overensstemmelse med denne artikels stk. 7, og ENISA, om enhver alvorlig hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, som fabrikanten får kendskab til. Fabrikanten underretter om hændelsen via den fælles indberetningsplatform, der er oprettet i henhold til artikel 16.

4. Med henblik på den underretning, der er omhandlet i stk. 3, indgiver fabrikanten:

5. Med henblik på stk. 3 anses en hændelse, der indvirker på sikkerheden af produktet med digitale elementer, for at være alvorlig, hvis:

6. Hvis det er nødvendigt, kan den CSIRT, der er udpeget som koordinator, og som indledningsvist modtager underretningen, anmode fabrikanten om at forelægge en foreløbig rapport om relevante statusopdateringer om den aktivt udnyttede sårbarhed eller alvorlige hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer.

7. De underretninger, der er omhandlet i denne artikels stk. 1 og 3, indgives via den fælles indberetningsplatform, der er omhandlet i artikel 16, ved hjælp af et af de adgangspunkter for elektronisk underretning, der er omhandlet i artikel 16, stk. 1. Underretningen indgives ved hjælp af adgangspunktet for elektronisk underretning i den CSIRT, der er udpeget som koordinator i den medlemsstat, hvor fabrikanten har sit hovedforretningssted i Unionen, og skal samtidig være tilgængelig for ENISA.

Med henblik på denne forordning anses en fabrikant for at have sit hovedforretningssted i Unionen i den medlemsstat, hvor beslutningerne vedrørende cybersikkerheden af fabrikantens produkter med digitale elementer overvejende træffes. Hvis en sådan medlemsstat ikke kan fastslås, anses hovedforretningsstedet for at være i den medlemsstat, hvor den pågældende fabrikant forretningssted med det største antal ansatte i Unionen er beliggende.

Hvis en fabrikant ikke har noget hovedforretningssted i Unionen, indgiver denne de underretninger, der er omhandlet i stk. 1 og 3, ved hjælp af adgangspunktet for elektronisk underretning i den CSIRT, der er udpeget som koordinator i den medlemsstat, der er fastsat i henhold til følgende rækkefølge og på grundlag af de oplysninger, som fabrikanten har til rådighed:

For så vidt angår tredje afsnit, litra d), kan en fabrikant indgive underretninger vedrørende enhver efterfølgende aktivt udnyttet sårbarhed eller alvorlig hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, til den samme CSIRT, der er udpeget som koordinator, og til hvem fabrikanten indberettede i første omgang.

8. Efter at have fået kendskab til en aktivt udnyttet sårbarhed eller en alvorlig hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, underretter fabrikanten de berørte brugere af produktet med digitale elementer og, hvor det er relevant, alle brugere om denne sårbarhed eller hændelse, og om nødvendigt om eventuel risikobegrænsning og eventuelle korrigerende foranstaltninger, som brugerne kan træffe for at afbøde virkningen af den pågældende sårbarhed eller hændelse, hvor det er relevant i et struktureret maskinlæsbart format, der er let automatisk bearbejdeligt. Hvis fabrikanten ikke rettidigt oplyser brugerne af produktet med digitale elementer, kan de underrettede CSIRT'er, der er udpeget som koordinatorer, give brugerne sådanne oplysninger, når dette anses for at være forholdsmæssigt og nødvendigt for at forebygge eller afbøde virkningen af den pågældende sårbarhed eller hændelse.

9. Senest den 11. december 2025 vedtager Kommissionen delegerede retsakter i overensstemmelse med denne forordnings artikel 61 med henblik på at supplere denne forordning ved at præcisere vilkårene og betingelserne for anvendelse af de cybersikkerhedsrelaterede grunde i forbindelse med udsættelse af formidlingen af underretninger som omhandlet i denne forordnings artikel 16, stk. 2. Kommissionen samarbejder med CSIRT-netværket oprettet i henhold til artikel 15 i direktiv (EU) 2022/2555 og ENISA om udarbejdelsen af udkastene til delegerede retsakter.

10. Kommissionen kan ved hjælp af gennemførelsesretsakter yderligere præcisere formatet og procedurerne for de underretninger, der er omhandlet i denne artikel samt i artikel 15 og 16. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2. Kommissionen samarbejder med CSIRT-netværket og ENISA om udarbejdelsen af disse udkast til gennemførelsesretsakter.

Artikel 15

Frivillig indberetning

1. Fabrikanter såvel som andre fysiske eller juridiske personer kan på frivillig basis underrette en CSIRT, der er udpeget som koordinator, eller ENISA, om enhver sårbarhed i et produkt med digitale elementer samt om cybertrusler, der kan påvirke risikoprofilen for et produkt med digitale elementer.

2. Fabrikanter såvel som andre fysiske eller juridiske personer kan på frivillig basis underrette en CSIRT, der er udpeget som koordinator, eller ENISA, om enhver hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, samt nærvedhændelser, som kunne have resulteret i en sådan hændelse.

3. Den CSIRT, der er udpeget som koordinator, eller ENISA behandler de underretninger, der er omhandlet i denne artikels stk. 1 og 2, i overensstemmelse med proceduren i artikel 16.

Den CSIRT, der er udpeget som koordinator, kan prioritere behandlingen af obligatoriske underretninger frem for frivillige underretninger.

4. Hvis en anden fysisk eller juridisk person end fabrikanten indberetter en aktivt udnyttet sårbarhed eller en alvorlig hændelse, der har indvirkning på sikkerheden af et produkt med digitale elementer, i overensstemmelse med stk. 1 eller 2, skal den CSIRT, der er udpeget som koordinator, uden unødigt ophold underrette fabrikanten.

5. De CSIRT'er, der er udpeget som koordinatorer, såvel som ENISA sikrer fortroligheden og den passende beskyttelse af de oplysninger, der afgives af en fysisk eller juridisk person. Uden at det berører forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, må frivillig indberetning ikke medføre, at en underrettende fysisk eller juridisk person pålægges nogen yderligere forpligtelser, som vedkommende ikke ville være underlagt, hvis den ikke havde foretaget underretningen.

Artikel 16

Oprettelse af en fælles indberetningsplatform

1. Med henblik på de underretninger, der er omhandlet i artikel 14, stk. 1 og 3, og artikel 15, stk. 1 og 2, og for at forenkle fabrikanters indberetningsforpligtelser, opretter ENISA en fælles indberetningsplatform. Den daglige drift af denne fælles indberetningsplatform forvaltes og vedligeholdes af ENISA. Arkitekturen for den fælles indberetningsplatform skal gøre det muligt for medlemsstaterne og ENISA at indføre deres egne adgangspunkter for elektronisk underretning.

2. Efter at have modtaget en underretning formidler den CSIRT, der er udpeget som koordinator, og som indledningsvist modtager underretningen, straks meddelelsen via den fælles indberetningsplatform til de CSIRT'er, der er udpeget som koordinatorer på det område, hvor fabrikanten har angivet, at produktet med digitale elementer er blevet gjort tilgængeligt.

Under ekstraordinære omstændigheder og navnlig efter anmodning fra fabrikanten og i lyset af følsomhedsgraden af de indberettede oplysninger som angivet af fabrikanten i henhold til denne forordnings artikel 14, stk. 2, litra a), kan formidlingen af underretningen udsættes på grundlag af begrundede cybersikkerhedsrelaterede grunde i en periode, der er strengt nødvendig, herunder hvis en sårbarhed er omfattet af en koordineret procedure for offentliggørelse af sårbarheder som omhandlet i artikel 12, stk. 1, i direktiv (EU) 2022/2555. Hvis en CSIRT beslutter at tilbageholde en underretning, underretter den omgående ENISA om denne beslutning og giver en begrundelse for tilbageholdelsen af underretningen såvel som en angivelse af, hvornår den vil formidle underretningen i overensstemmelse med den formidlingsprocedure, der er fastsat i nærværende stykke. ENISA kan støtte CSIRT'en for så vidt angår anvendelsen af cybersikkerhedsrelaterede grunde i forbindelse med udsættelse af underretningens formidling.

Under særlige ekstraordinære omstændigheder, hvor fabrikanten i den underretning, der er omhandlet i artikel 14, stk. 2, litra b), anfører:

er det kun oplysningerne om, at fabrikanten har foretaget en underretning, de generelle oplysninger om produktet, oplysningerne om den generelle karakter af den udnyttede sårbarhed og oplysninger om, at der blev gjort opmærksom på sikkerhedsrelaterede grunde, som skal stilles til rådighed samtidig for ENISA, indtil den fuldstændige underretning formidles til de pågældende CSIRT'er og til ENISA. Hvis ENISA på grundlag af disse oplysninger finder, at der er tale om en systemisk risiko, der indvirker på sikkerheden i det indre marked, anbefaler ENISA den modtagende CSIRT at formidle den fuldstændige underretning til de andre CSIRT'er, der er udpeget som koordinatorer, og til ENISA selv.

3. Efter at have modtaget en underretning om en aktivt udnyttet sårbarhed i et produkt med digitale elementer eller om en alvorlig hændelse, der har indvirkning på sikkerheden af et produkt med digitale elementer, giver de CSIRT'er, der er udpeget som koordinatorer, markedsovervågningsmyndighederne i deres respektive medlemsstater de indberettede oplysninger, der er nødvendige for, at markedsovervågningsmyndighederne kan opfylde deres forpligtelser i henhold til denne forordning.

4. ENISA træffer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at håndtere sikkerhedsrisiciene for den fælles indberetningsplatform og de oplysninger, der indgives eller formidles via den fælles indberetningsplatform. Det underretter uden unødigt ophold CSIRT-netværket og Kommissionen om enhver sikkerhedshændelse, der har indvirkning på den fælles indberetningsplatform.

5. ENISA udarbejder og gennemfører i samarbejde med CSIRT-netværket specifikationer for de tekniske, operationelle og organisatoriske foranstaltninger vedrørende oprettelse, vedligeholdelse og sikker drift af den fælles indberetningsplatform, der er omhandlet i stk. 1, herunder som minimum sikkerhedsordningerne vedrørende oprettelse, drift og vedligeholdelse af den fælles indberetningsplatform samt de adgangspunkter for elektronisk underretning, som er oprettet af de CSIRT'er, der er udpeget som koordinatorer på nationalt plan, og ENISA på EU-plan, herunder proceduremæssige aspekter, så det i tilfælde, hvor der for en anmeldt sårbarhed ikke er nogen korrigerende eller afbødende foranstaltninger, sikres, at oplysninger om denne sårbarhed deles i overensstemmelse med strenge sikkerhedsprotokoller og på need-to-know-basis.

6. Hvis en CSIRT, der er udpeget som koordinator, er blevet gjort opmærksom på en aktivt udnyttet sårbarhed som led i en koordineret procedure for offentliggørelse af sårbarheder som omhandlet i artikel 12, stk. 1, i direktiv (EU) 2022/2555, kan den CSIRT, der er udpeget som koordinator, og som indledningsvist modtager underretningen, på grundlag af begrundede cybersikkerhedsrelaterede grunde udsætte formidlingen af den relevante underretning via den fælles indberetningsplatform i en periode, der ikke er længere, end hvad der er strengt nødvendigt, og indtil de involverede parter, der foretager koordineret offentliggørelse af sårbarheder, har givet deres samtykke til offentliggørelse. Dette krav forhindrer ikke fabrikanten i at anmelde en sådan sårbarhed på frivillig basis i overensstemmelse med proceduren i nærværende artikel.

Artikel 17

Andre bestemmelser vedrørende indberetning

1. ENISA kan forelægge det europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-CyCLONe), der er oprettet ved artikel 16 i direktiv (EU) 2022/2555, oplysninger, der er meddelt i henhold til denne forordnings artikel 14, stk. 1 og 3, og artikel 15, stk. 1 og 2, hvis sådanne oplysninger er relevante for den koordinerede forvaltning af omfattende cybersikkerhedshændelser og -kriser på operationelt plan. Med henblik på at fastslå en sådan relevans kan ENISA overveje tekniske analyser udført af CSIRT-netværket, hvis sådanne foreligger.

2. Hvor offentlighedens kendskab er nødvendig for at forebygge eller afbøde en alvorlig hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af hændelsen på anden vis er i den offentlige interesse, kan den CSIRT, der er udpeget som koordinator i den relevante medlemsstat, efter høring af den pågældende fabrikant og, hvor det er relevant, i samarbejde med ENISA, informere offentligheden om hændelsen eller kræve, at fabrikanten gør det.

3. ENISA udarbejder på grundlag af de underretninger, der er modtaget i henhold til denne forordnings artikel 14, stk. 1 og 3, og artikel 15, stk. 1 og 2, hver 24. måned en teknisk rapport om nye tendenser med hensyn til cybersikkerhedsrisici forbundet med produkter med digitale elementer og forelægger den for den samarbejdsgruppe, der er nedsat i henhold til artikel 14 i direktiv (EU) 2022/2555. Den første rapport forelægges senest 24 måneder efter datoen for anvendelsen af forpligtelserne i denne forordnings artikel 14, stk. 1 og 3. ENISA medtager relevante oplysninger fra sine tekniske rapporter i sin rapport om cybersikkerhedssituationen i Unionen i henhold til artikel 18 i direktiv (EU) 2022/2555.

4. Underretningen i sig selv i henhold til artikel 14, stk. 1 og 3, eller artikel 15, stk. 1 og 2, medfører ikke et øget ansvar for den underrettende fysiske eller juridiske person.

5. Når en sikkerhedsopdatering eller en anden form for korrigerende eller afbødende foranstaltning er tilgængelig, tilføjer ENISA efter aftale med fabrikanten af det pågældende produkt med digitale elementer den offentligt kendte sårbarhed, der er meddelt i henhold til denne forordnings artikel 14, stk. 1, eller artikel 15, stk. 1, til den europæiske sårbarhedsdatabase, der er oprettet i henhold til artikel 12, stk. 2, i direktiv (EU) 2022/2555.

6. De CSIRT'er, der er udpeget som koordinatorer, yder i forbindelse med rapporteringsforpligtelserne i henhold til artikel 14 helpdesk-støtte til fabrikanter, og navnlig til fabrikanter, der er mikrovirksomheder eller små eller mellemstore virksomheder.

Artikel 18

Bemyndigede repræsentanter

1. En fabrikant kan via en skriftlig fuldmagt udpege en bemyndiget repræsentant.

2. Forpligtelserne i artikel 13, stk. 1-11, stk. 12, første afsnit, og stk. 14, er ikke en del af den bemyndigede repræsentants fuldmagt.

3. En bemyndiget repræsentant udfører de opgaver, der er angivet i den fuldmagt, denne har modtaget fra fabrikanten. Den bemyndigede repræsentant forelægger på anmodning den kompetente myndighed en kopi af fuldmagten. Fuldmagten skal som minimum sætte den bemyndigede repræsentant i stand til:

Artikel 19

Importørens forpligtelser

1. Importøren må kun bringe produkter med digitale elementer, der opfylder de væsentlige cybersikkerhedskrav i bilag I, del I„ og hvor de processer, der er indført af fabrikanten, overholder de væsentlige cybersikkerhedskrav i bilag I, del II, i omsætning.

2. Importøren sikrer, før denne bringer et produkt med digitale elementer i omsætning, at:

Med henblik på dette stykke skal importører kunne fremlægge de nødvendige dokumenter som bevis for, at kravene i denne artikel er opfyldt.

3. Hvis en importør finder eller har grund til at tro, at et produkt med digitale elementer eller de processer, som fabrikanten har indført, ikke er i overensstemmelse med denne forordning, må importøren ikke bringe produktet i omsætning, før produktet eller de processer, som fabrikanten har indført, er blevet bragt i overensstemmelse med denne forordning. Hvis produktet med digitale elementer udgør en væsentlig cybersikkerhedsrisiko, underretter importøren endvidere fabrikanten og markedsovervågningsmyndighederne herom.

Hvis en importør har grund til at tro, at et produkt med digitale elementer kan udgøre en betydelig cybersikkerhedsrisiko i lyset af ikketekniske risikofaktorer, underretter importøren markedsovervågningsmyndighederne herom. Efter modtagelse af sådanne oplysninger følger markedsovervågningsmyndighederne de procedurer, der er omhandlet i artikel 54, stk. 2.

4. Importørens navn, registrerede firmanavn eller registrerede varemærke, postadresse, e-mailadresse eller anden digital kontakt samt, hvor det er relevant, det websted, hvor vedkommende kan kontaktes, skal fremgå af produktet med digitale elementer eller af emballagen eller af et dokument, der ledsager produktet med digitale elementer. Kontaktoplysningerne angives på et for brugere og markedsovervågningsmyndigheder letforståeligt sprog.

5. Hvis importøren ved eller har grund til at tro, at et produkt med digitale elementer, som importøren har bragt i omsætning, ikke er i overensstemmelse med denne forordning, træffer importøren omgående de nødvendige korrigerende foranstaltninger til at sikre, at produktet med digitale elementer bringes i overensstemmelse med denne forordning, eller til at tilbagetrække eller tilbagekalde produktet, hvis det er relevant.

Når importøren bliver bekendt med en sårbarhed i produktet med digitale elementer, underretter importøren uden unødigt ophold fabrikanten om denne sårbarhed. Hvis produktet med digitale elementer udgør en væsentlig cybersikkerhedsrisiko, underretter importøren endvidere omgående markedsovervågningsmyndighederne i de medlemsstater, hvor importøren har gjort produktet med digitale elementer tilgængeligt på markedet, herom og giver nærmere oplysninger, navnlig om den manglende overholdelse og om de trufne afhjælpende foranstaltninger.

6. Importøren opbevarer i mindst ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst, en kopi af EU-overensstemmelseserklæringen, så den står til rådighed for markedsovervågningsmyndighederne, og sikrer, at den tekniske dokumentation kan stilles til rådighed for disse myndigheder, hvis de anmoder herom.

7. Efter en markedsovervågningsmyndigheds begrundede anmodning giver importøren denne myndighed alle de oplysninger og al den dokumentation på papir eller elektronisk, som er nødvendig for at dokumentere, at produkterne med digitale elementer er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, del I, og at de processer, der er indført af fabrikanten, er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, del II, på et for denne myndighed letforståeligt sprog. Hvis denne myndighed anmoder herom, samarbejder importøren med myndigheden om foranstaltninger, der træffes for at eliminere de cybersikkerhedsrisici, som et produkt med digitale elementer, importøren har bragt i omsætning, indebærer.

8. Hvor importøren af et produkt med digitale elementer bliver bekendt med, at fabrikanten af det pågældende produkt har indstillet driften og derfor ikke er i stand til at opfylde de forpligtelser, der er fastsat i denne forordning, underretter importøren de relevante markedsovervågningsmyndigheder om denne situation samt, på enhver tilgængelig måde og i videst muligt omfang, brugerne af produkterne med digitale elementer, der er bragt i omsætning.

Artikel 20

Distributørens forpligtelser

1. Distributøren skal, når denne gør et produkt med digitale elementer tilgængeligt på markedet, handle med fornøden omhu for så vidt angår kravene i denne forordning.

2. Inden et produkt med digitale elementer gøres tilgængeligt på markedet, kontrollerer distributøren, at:

3. Hvis en distributør på baggrund af oplysninger i vedkommendes besiddelse finder eller har grund til at tro, at et produkt med digitale elementer eller de processer, der er indført af fabrikanten, ikke er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, må distributøren ikke gøre produktet med digitale elementer tilgængeligt på markedet, før det pågældende produkt eller de processer, som fabrikanten har indført, er blevet bragt i overensstemmelse med denne forordning. Hvis produktet med digitale elementer udgør en væsentlig cybersikkerhedsrisiko, underretter distributøren endvidere uden unødigt ophold markedsovervågningsmyndighederne herom.

4. Hvis distributøren på baggrund af oplysninger i vedkommendes besiddelse ved eller har grund til at tro, at et produkt med digitale elementer, som distributøren har gjort tilgængeligt på markedet, eller de processer, der er indført af fabrikanten, ikke er i overensstemmelse med denne forordning, træffer distributøren de nødvendige korrigerende foranstaltninger til at bringe produktet med digitale elementer eller de processer, som fabrikanten har indført, i overensstemmelse eller til at tilbagetrække eller tilbagekalde produktet, hvis det er relevant.

Når distributøren bliver bekendt med en sårbarhed i produktet med digitale elementer, underretter distributøren uden unødigt opholde fabrikanten om denne sårbarhed. Hvis produktet med digitale elementer udgør en væsentlig cybersikkerhedsrisiko, underretter distributøren endvidere omgående markedsovervågningsmyndighederne i de medlemsstater, hvor distributøren har gjort produktet med digitale elementer tilgængeligt på markedet, herom og giver nærmere oplysninger, navnlig om den manglende overholdelse og de trufne afhjælpende foranstaltninger.

5. Efter en markedsovervågningsmyndigheds begrundede anmodning giver distributøren denne myndighed alle de oplysninger og al den dokumentation på papir eller elektronisk, som er nødvendig for at dokumentere, at produkterne med digitale elementer og de processer, der er indført af fabrikanten, er i overensstemmelse med denne forordning, på et for denne myndighed letforståeligt sprog. Hvis denne myndighed anmoder herom, samarbejder distributøren med myndigheden om foranstaltninger, der træffes for at eliminere de cybersikkerhedsrisici, som et produkt med digitale elementer, distributøren har gjort tilgængeligt på markedet, indebærer.

6. Når distributøren af et produkt med digitale elementer på baggrund af oplysninger i vedkommendes besiddelse bliver bekendt med, at fabrikanten af det pågældende produkt har indstillet driften og derfor ikke er i stand til at opfylde de forpligtelser, der er fastsat i denne forordning, underretter distributøren uden unødigt ophold de relevante markedsovervågningsmyndigheder om denne situation samt, på enhver tilgængelig måde og i videst muligt omfang, brugerne af produkterne med digitale elementer, der er bragt i omsætning.

Artikel 21

Tilfælde, hvor fabrikantens forpligtelser finder anvendelse på importører og distributører

En importør eller distributør anses for at være fabrikant i denne forordnings forstand og er omfattet af artikel 13 og 14, hvor denne importør eller distributør bringer et produkt med digitale elementer i omsætning under sit navn eller varemærke eller foretager en væsentlig ændring af et produkt med digitale elementer, der allerede er bragt i omsætning.

Artikel 22

Andre tilfælde, hvor fabrikantens forpligtelser finder anvendelse

1. En fysisk eller juridisk person, bortset fra fabrikanten, importøren eller distributøren, som foretager en væsentlig ændring af et produkt med digitale elementer og bringer dette produkt i omsætning, anses for at være fabrikant i denne forordnings forstand.

2. Den person, der er omhandlet i denne artikels stk. 1, er underlagt forpligtelserne i artikel 13 og 14 for den del af produktet med digitale elementer, der berøres af den væsentlige ændring, eller, hvis den væsentlige ændring har indvirkning på cybersikkerheden af produktet med digitale elementer som helhed, for hele produktet.

Artikel 23

Identifikation af erhvervsdrivende

1. Erhvervsdrivende giver efter anmodning markedsovervågningsmyndighederne følgende oplysninger:

2. Erhvervsdrivende skal i ti år efter, at de har fået leveret eller har leveret produktet med digitale elementer, kunne forelægge de i stk. 1 nævnte oplysninger.

Artikel 24

Forpligtelser for open source software-forvaltere

1. Open source software-forvaltere indfører og dokumenterer på en verificerbar måde en cybersikkerhedspolitik med henblik på at fremme udviklingen af et sikkert produkt med digitale elementer samt en effektiv håndtering af sårbarheder hos udviklerne af det pågældende produkt. Denne politik skal også fremme frivillig indberetning af sårbarheder fra udviklerne af det pågældende produkt som fastsat i artikel 15 og tage højde for open source software-forvalterens specifikke karakter og de juridiske og organisatoriske ordninger, som vedkommende er underlagt. Denne politik skal navnlig omfatte aspekter vedrørende dokumentation, håndtering og afhjælpning af sårbarheder og i open source-samfundet fremme udvekslingen af oplysninger om opdagede sårbarheder.

2. Open source software-forvaltere samarbejder på anmodning fra markedsovervågningsmyndighederne med disse med henblik på at afbøde de cybersikkerhedsrisici, der er forbundet med et produkt med digitale elementer, som kan betegnes som gratis open source-software.

På grundlag af en begrundet anmodning fra en markedsovervågningsmyndighed giver open source software-forvaltere denne myndighed den i stk. 1 omhandlede dokumentation på et for denne myndighed letforståeligt sprog, i papirform eller i elektronisk form.

3. Forpligtelserne i artikel 14, stk. 1, finder anvendelse på open source software-forvaltere, i det omfang de er involveret i udviklingen af produkter med digitale elementer. Forpligtelserne i artikel 14, stk. 3 og 8, finder anvendelse på open source software-forvaltere, i det omfang alvorlige hændelser, der har indvirkning på sikkerheden af produkter med digitale elementer, påvirker net- og informationssystemer, der leveres af open source software-forvalterne til udvikling af sådanne produkter.

Artikel 25

Sikkerhedscertificering af gratis open source-software

For at lette den due diligence-forpligtelse, der er fastsat i artikel 13, stk. 5, navnlig for så vidt angår fabrikanter, der integrerer gratis open source software-komponenter i deres produkter med digitale elementer, tillægges Kommissionen beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning ved at indføre frivillige sikkerhedscertificeringsprogrammer, der gør det muligt for udviklere eller brugere af produkter med digitale elementer, der kan betegnes som gratis open source-software, samt andre tredjeparter at vurdere sådanne produkters overensstemmelse med alle eller visse væsentlige cybersikkerhedskrav eller andre forpligtelser, der er fastsat i denne forordning.

Artikel 26

Vejledning

1. For at lette gennemførelsen og sikre sammenhæng i en sådan gennemførelse offentliggør Kommissionen vejledning, der skal bistå de økonomiske aktører ved anvendelsen af denne forordning, med særligt fokus på at lette mikrovirksomheders og små og mellemstore virksomheders overholdelse af reglerne.

2. Hvor Kommissionen har til hensigt at yde vejledning som omhandlet i stk. 1, behandler den mindst følgende aspekter:

Kommissionen fører også en lettilgængelig liste over de delegerede retsakter og gennemførelsesretsakter, der vedtages i henhold til denne forordning.

3. Kommissionen hører relevante interessenter, når den udarbejder vejledning i henhold til denne artikel.

KAPITEL III

OVERENSSTEMMELSEN AF PRODUKTER MED DIGITALE ELEMENTER

Artikel 27

Overensstemmelsesformodning

1. Produkter med digitale elementer og processer indført af fabrikanten, som er i overensstemmelse med harmoniserede standarder eller dele deraf, hvis referencer er offentliggjort i Den Europæiske Unions Tidende, formodes at være i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, der er omfattet af disse standarder eller dele deraf.

Kommissionen anmoder i overensstemmelse med artikel 10, stk. 1, i forordning (EU) nr. 1025/2012 en eller flere europæiske standardiseringsorganisationer om at udarbejde harmoniserede standarder for de væsentlige cybersikkerhedskrav i bilag I til nærværende forordning. Ved udarbejdelsen af anmodninger om standardisering for nærværende forordning bestræber Kommissionen sig på at tage højde for eksisterende europæiske og internationale standarder for cybersikkerhed, som er gældende eller under udvikling, med henblik på at forenkle udviklingen af harmoniserede standarder i overensstemmelse med forordning (EU) nr. 1025/2012.

2. Kommissionen kan vedtage gennemførelsesretsakter, der fastlægger fælles specifikationer vedrørende tekniske krav, der giver mulighed for at opfylde de væsentlige cybersikkerhedskrav i bilag I for produkter med digitale elementer, som er omfattet af denne forordnings anvendelsesområde.

Disse gennemførelsesretsakter vedtages kun, når følgende betingelser er opfyldt:

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

3. Inden Kommissionen udarbejder det i denne artikels stk. 2 omhandlede udkast til gennemførelsesretsakt, underretter den det udvalg, der er omhandlet i artikel 22 i forordning (EU) nr. 1025/2012, om, at den anser betingelserne i nærværende artikels stk. 2 for at være opfyldt.

4. Når Kommissionen udarbejder det i stk. 2 omhandlede udkast til gennemførelsesretsakt, tager den synspunkter fra relevante organer i betragtning og hører alle relevante interessenter behørigt.

5. Produkter med digitale elementer og processer indført af fabrikanten, som er i overensstemmelse med de fælles specifikationer, der er fastsat ved gennemførelsesretsakter omhandlet i denne artikels stk. 2, eller dele heraf, formodes at være i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, der er omfattet af disse fælles specifikationer eller dele heraf.

6. Når en europæisk standardiseringsorganisation vedtager en harmoniseret standard og fremlægger denne for Kommissionen med henblik på offentliggørelse af henvisningen hertil i Den Europæiske Unions Tidende, foretager Kommissionen en vurdering af den harmoniserede standard i overensstemmelse med forordning (EU) nr. 1025/2012. Når en henvisning vedrørende en harmoniseret standard offentliggøres i Den Europæiske Unions Tidende, ophæver Kommissionen de i denne forordnings stk. 2 omhandlede gennemførelsesretsakter, eller dele deraf, som omfatter de samme væsentlige cybersikkerhedskrav, der er omfattet af denne harmoniserede standard.

7. Hvor en medlemsstat mener, at en fælles specifikation ikke lever helt op til de væsentlige cybersikkerhedskrav i bilag I, underretter medlemsstaten Kommissionen herom ved at give en udførlig forklaring. Kommissionen vurderer den udførlige forklaring og kan, hvis det er hensigtsmæssigt, ændre den gennemførelsesretsakt, som den pågældende fælles specifikation er oprettet ved.

8. Produkter med digitale elementer og processer indført af fabrikanten, for hvilke der er udstedt en EU-overensstemmelseserklæring eller attest i henhold til en europæisk cybersikkerhedscertificeringsordning vedtaget i medfør af forordning (EU) 2019/881, formodes at være i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, i det omfang EU-overensstemmelseserklæringen eller den europæiske cybersikkerhedsattest eller dele heraf dækker disse krav.

9. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med denne forordnings artikel 61 med henblik på at supplere denne forordning ved at præcisere de europæiske cybersikkerhedscertificeringsordninger, der er vedtaget i henhold til forordning (EU) 2019/881, og som kan anvendes til at påvise overensstemmelsen af produkter med digitale elementer med de væsentlige cybersikkerhedskrav eller dele heraf i bilag I til nærværende forordning. Udstedelsen af en europæisk cybersikkerhedsattest i henhold til sådanne ordninger på et tillidsniveau, der som minimum er »betydeligt«, fritager derudover fabrikanten fra forpligtelsen til at lade foretage en tredjepartsoverensstemmelsesvurdering vedrørende de tilsvarende krav, jf. nærværende forordnings artikel 32, stk. 2, litra a) og b) og artikel 32, stk. 3, litra a) og b).

Artikel 28

EU-overensstemmelseserklæring

1. EU-overensstemmelseserklæringen skal udfærdiges af fabrikanten i overensstemmelse med artikel 13, stk. 12, og det skal af EU-overensstemmelseserklæringen fremgå, at det er blevet dokumenteret, at de gældende væsentlige cybersikkerhedskrav i bilag I er opfyldt.

2. EU-overensstemmelseserklæringen skal følge den model, der er fastsat i bilag V, og indeholde de elementer, der er angivet i de relevante overensstemmelsesvurderingsprocedurer i bilag VIII. En sådan erklæring skal ajourføres, i det omfang det er relevant. Den stilles til rådighed på de sprog, der kræves af den medlemsstat, hvor produktet med digitale elementer bringes i omsætning eller gøres tilgængeligt på markedet.

Den forenklede EU-overensstemmelseserklæring, der er omhandlet i artikel 13, stk. 20, skal følge den model, der er fastsat i bilag VI. Den stilles til rådighed på de sprog, der kræves af den medlemsstat, hvor produktet med digitale elementer bringes i omsætning eller gøres tilgængeligt på markedet.

3. Hvis et produkt med digitale elementer er omfattet af mere end én EU-retsakt, der kræver en EU-overensstemmelseserklæring, udfærdiges der en enkelt EU-overensstemmelseserklæring for alle sådanne EU-retsakter. Det skal af erklæringen fremgå, hvilke EU-retsakter den vedrører, herunder hvor disse er offentliggjort.

4. Ved at udarbejde EU-overensstemmelseserklæringen påtager fabrikanten sig ansvaret for, at produktet med digitale elementer opfylder de gældende krav.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning ved at tilføje elementer til minimumsindholdet af EU-overensstemmelseserklæringen i bilag V for at tage hensyn til den teknologiske udvikling.

Artikel 29

Generelle principper for CE-mærkningen

CE-mærkningen er underkastet de generelle principper i artikel 30 i forordning (EF) nr. 765/2008.

Artikel 30

Regler og betingelser for anbringelse af CE-mærkning

1. CE-mærkningen anbringes synligt, let læseligt og uudsletteligt på produktet med digitale elementer. Hvis produktet med digitale elementer er af en sådan art, at dette ikke er muligt eller berettiget, anbringes CE-mærkningen på emballagen og på den i artikel 28 omhandlede EU-overensstemmelseserklæring, der ledsager produktet med digitale elementer. For produkter med digitale elementer i form af software anbringes CE-mærkningen enten på den i artikel 28 omhandlede EU-overensstemmelseserklæring eller på webstedet for softwareproduktet. I sidstnævnte tilfælde skal der være nem og direkte adgang for forbrugere til den relevante sektion på webstedet.

2. CE-mærkning på produktet med digitale elementer kan, såfremt arten af produktet med digitale elementer nødvendiggør det, være lavere end 5 mm, forudsat at den fortsat er synlig og læselig.

3. CE-mærkningen anbringes, før produktet med digitale elementer bringes i omsætning. Den kan følges af et piktogram eller en anden form for angivelse vedrørende cybersikkerhedsrisiko- eller brugskategori, der er fastsat i de i stk. 6 omhandlede gennemførelsesretsakter.

4. Efter CE-mærkningen anføres identifikationsnummeret på det bemyndigede organ, hvis dette organ deltager i den i stk. 6 omhandlede overensstemmelsesvurderingsprocedure på grundlag af fuld kvalitetssikring (baseret på modul H).

Det bemyndigede organs identifikationsnummer anbringes af organet selv eller efter dettes anvisninger af fabrikanten eller dennes bemyndigede repræsentant.

5. Medlemsstaterne benytter eksisterende mekanismer til at sikre, at CE-mærkningsordningen anvendes korrekt, og tager passende skridt i tilfælde af uretmæssig anvendelse af mærkningen. Hvis produktet med digitale elementer er omfattet af anden EU-harmoniseringslovgivning end denne forordning, som også indeholder bestemmelser om anbringelse af CE-mærkning, skal CE-mærkningen angive, at produktet ligeledes opfylder kravene i en anden sådan EU-harmoniseringslovgivning.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter fastsætte tekniske specifikationer for etiketter, piktogrammer eller andre mærker vedrørende sikkerheden af produkter med digitale elementer, deres supportperioder og mekanismer til at fremme deres anvendelse og til at øge offentlighedens bevidsthed om sikkerheden ved produkter med digitale elementer. Når Kommissionen udarbejder udkastene til gennemførelsesretsakter, hører den relevante interessenter og, hvis denne allerede er blevet nedsat i henhold til artikel 52, stk. 15, ADCO. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

Artikel 31

Teknisk dokumentation

1. Den tekniske dokumentation skal indeholde alle relevante data eller oplysninger om de midler, som fabrikanten anvender for at sikre, at produktet med digitale elementer og de processer, som fabrikanten har indført, opfylder de væsentlige cybersikkerhedskrav i bilag I. Den skal som minimum indeholde de i bilag VII fastsatte elementer.

2. Den tekniske dokumentation udarbejdes, inden produktet med digitale elementer bringes i omsætning, og ajourføres løbende, hvor det er relevant, i det mindste i supportperioden.

3. For produkter med digitale elementer som omhandlet i artikel 12, der også er omfattet af andre EU-retsakter, som indeholder bestemmelser om teknisk dokumentation, udarbejdes der en samlet teknisk dokumentation, som indeholder de oplysninger, der er omhandlet i bilag VII, og de oplysninger, der kræves i henhold til disse EU-retsakter.

4. Den tekniske dokumentation og korrespondance vedrørende overensstemmelsesvurderingsprocedurer udfærdiges på et officielt sprog i den medlemsstat, hvor det bemyndigede organ er etableret, eller på et for dette organ acceptabelt sprog.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning ved at tilføje de elementer, der skal indgå i den tekniske dokumentation fastsat jf. bilag VII, for at tage hensyn til den teknologiske udvikling samt udviklingen i forbindelse med gennemførelsen af denne forordning. Med henblik herpå sikrer Kommissionen, at den administrative byrde for mikrovirksomheder og små og mellemstore virksomheder er forholdsmæssig.

Artikel 32

Overensstemmelsesvurderingsprocedurer for produkter med digitale elementer

1. Fabrikanten foretager en overensstemmelsesvurdering af produktet med digitale elementer og de processer, som fabrikanten har indført, med henblik på at fastslå, om de væsentlige cybersikkerhedskrav i bilag I er opfyldt. Fabrikanten påviser overensstemmelse med de væsentlige cybersikkerhedskrav ved brug af en af følgende procedurer:

2. Hvis fabrikanten ved vurderingen af, hvorvidt et vigtigt produkt med digitale elementer, der henhører under klasse I som fastsat i bilag III, og de processer, der er indført af fabrikanten, overholder de væsentlige cybersikkerhedskrav i bilag I, ikke har anvendt eller kun delvist har anvendt harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger på et tillidsniveau, der som minimum er »betydeligt«, som omhandlet i artikel 27, eller hvis sådanne harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger ikke findes, underkastes det pågældende produkt med digitale elementer og de processer, som fabrikanten har indført, for så vidt angår disse væsentlige cybersikkerhedskrav en af følgende procedurer:

3. Hvis produktet er et vigtigt produkt med digitale elementer, der henhører under klasse II som fastsat i bilag III, påviser fabrikanten overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I ved brug af en af følgende procedurer:

4. Kritiske produkter med digitale elementer, der er opført i bilag IV, skal påvise overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I ved hjælp af en af følgende procedurer:

5. Fabrikanter af produkter med digitale elementer, der kan betegnes som gratis open source-software, og som er omfattet af kategorierne i bilag III, skal kunne påvise overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I ved hjælp af en af de procedurer, der er omhandlet i denne artikels stk. 1, forudsat at den tekniske dokumentation, der er omhandlet i artikel 31, gøres tilgængelig for offentligheden på det tidspunkt, hvor de pågældende produkter bringes i omsætning.

6. Der skal tages hensyn til mikrovirksomheders og små og mellemstore virksomheders, herunder nyetablerede virksomheders, særlige interesser og behov ved fastsættelsen af gebyrerne for overensstemmelsesvurderingsprocedurer, og disse gebyrer skal reduceres i forhold til deres særlige interesser og behov.

Artikel 33

Støtteforanstaltninger for mikrovirksomheder og små og mellemstore virksomheder, herunder nyetablerede virksomheder

1. Medlemsstaterne iværksætter, hvor det er relevant, følgende tiltag skræddersyet til mikrovirksomheders og små virksomheders behov:

2. Medlemsstaterne kan, hvor det er relevant, oprette reguleringsmæssige sandkasser for cyberrobusthed. Sådanne reguleringsmæssige sandkasser skal sikre kontrollerede afprøvningsmiljøer for innovative produkter med digitale elementer for at lette deres udvikling, design, validering og afprøvning med henblik på at overholde denne forordning i en begrænset periode, inden de bringes i omsætning. Kommissionen og, hvor det er relevant, ENISA kan yde teknisk støtte og rådgivning samt tilvejebringe værktøjer til oprettelse og drift af reguleringsmæssige sandkasser. De reguleringsmæssige sandkasser oprettes under direkte tilsyn, vejledning og støtte fra markedsovervågningsmyndighederne. Medlemsstaterne underretter Kommissionen og de øvrige markedsovervågningsmyndigheder om oprettelsen af en reguleringsmæssig sandkasse gennem ADCO. De reguleringsmæssige sandkasser berører ikke de kompetente myndigheders tilsynsbeføjelser eller korrigerende beføjelser. Medlemsstaterne sikrer åben, retfærdig og gennemsigtig adgang til reguleringsmæssige sandkasser og letter navnlig adgangen for mikrovirksomheder og små virksomheder, herunder nyetablerede virksomheder.

3. I overensstemmelse med artikel 26 yder Kommissionen vejledning til mikrovirksomheder og små og mellemstore virksomheder i forbindelse med gennemførelsen af denne forordning.

4. Kommissionen bekendtgør den finansielle støtte, der er tilgængelig inden for de lovgivningsmæssige rammer for eksisterende EU-programmer, navnlig for at lette den finansielle byrde for mikrovirksomheder og små virksomheder.

5. Mikrovirksomheder og små virksomheder kan tilvejebringe alle elementer af den tekniske dokumentation, der er angivet i bilag VII, ved hjælp af et forenklet format. Med henblik herpå præciserer Kommissionen ved hjælp af gennemførelsesretsakter den forenklede tekniske dokumentationsformular, der er rettet mod mikrovirksomheders og små virksomheders behov, herunder hvordan elementerne i bilag VII skal tilvejebringes. Hvis en mikrovirksomhed eller en lille virksomhed vælger at tilvejebringe de oplysninger, der er fastlagt i bilag VII, på en forenklet måde, skal den anvende den formular, der er omhandlet i dette stykke. Bemyndigede organer accepterer denne formular med henblik på en overensstemmelsesvurdering.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

Artikel 34

Aftaler om gensidig anerkendelse

Unionen kan under hensyntagen til niveauet for teknisk udvikling og tilgangen til overensstemmelsesvurdering i et tredjeland indgå aftaler om gensidig anerkendelse med tredjelande i overensstemmelse med artikel 218 i TEUF med det formål at fremme og lette international handel.

KAPITEL IV

BEMYNDIGELSE AF OVERENSSTEMMELSESVURDERINGSORGANER

Artikel 35

Bemyndigelse og underretning

1. Medlemsstaterne underretter Kommissionen og de øvrige medlemsstater om, hvilke organer der er bemyndiget til at udføre overensstemmelsesvurderingsopgaver i overensstemmelse med denne forordning.

2. Medlemsstaterne bestræber sig på senest den 11. december 2026 at sikre, at der er et tilstrækkeligt antal bemyndigede organer i Unionen til at foretage overensstemmelsesvurderinger, så der undgås flaskehalse og forhindringer for markedsadgang.

Artikel 36

Bemyndigende myndigheder

1. Hver medlemsstat udpeger en bemyndigende myndighed, som er ansvarlig for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegning og bemyndigelse af overensstemmelsesvurderingsorganer og for overvågning heraf, herunder overholdelsen af artikel 41.

2. Medlemsstater kan bestemme, at den stk. 1 omhandlede vurdering og overvågning foretages af et nationalt akkrediteringsorgan i den i forordning (EF) nr. 765/2008 anvendte betydning og i overensstemmelse med nævnte forordning.

3. Hvis den bemyndigende myndighed uddelegerer eller på anden måde betror den vurdering, bemyndigelse eller overvågning, der er omhandlet i denne artikels stk. 1, til et organ, der ikke er en statslig enhed, skal dette organ være en juridisk enhed og på tilsvarende vis overholde artikel 37. Derudover skal det have truffet foranstaltninger til dækning af erstatningsansvar i forbindelse med sine aktiviteter.

4. Den bemyndigende myndighed påtager sig det fulde ansvar for de opgaver, der udføres af det i stk. 3 omhandlede organ.

Artikel 37

Krav til bemyndigende myndigheder

1. En bemyndigende myndighed skal oprettes på en sådan måde, at der ikke opstår interessekonflikter med overensstemmelsesvurderingsorganer.

2. En bemyndigende myndighed skal være organiseret og arbejde på en sådan måde, at det sikres, at dens aktiviteter udøves objektivt og uvildigt.

3. En bemyndigende myndighed skal være organiseret på en sådan måde, at alle beslutninger om bemyndigelse af overensstemmelsesvurderingsorganet træffes af kompetente personer, der ikke er identiske med dem, der foretog vurderingen.

4. En bemyndigende myndighed må ikke udføre aktiviteter, som udføres af overensstemmelsesvurderingsorganer, eller yde rådgivningsservice på kommercielt eller konkurrencemæssigt grundlag.

5. En bemyndigende myndighed skal sikre, at de oplysninger, som den indhenter, behandles fortroligt.

6. En bemyndigende myndighed skal have et tilstrækkeligt antal kompetente medarbejdere til, at den kan udføre sine opgaver behørigt.

Artikel 38

Oplysningskrav for bemyndigende myndigheder

1. Medlemsstaterne underretter Kommissionen om deres procedurer for vurdering og bemyndigelse af overensstemmelsesvurderingsorganer og overvågning af bemyndigede organer og om eventuelle ændringer heraf.

2. Kommissionen gør de i stk. 1 omhandlede oplysninger offentligt tilgængelige.

Artikel 39

Krav til bemyndigede organer

1. Med henblik på bemyndigelse skal et overensstemmelsesvurderingsorgan opfylde kravene i stk. 2-12.

2. Et overensstemmelsesvurderingsorgan skal oprettes i henhold til national ret og skal være en juridisk person.

3. Et overensstemmelsesvurderingsorgan skal være et tredjepartsorgan, der er uafhængigt af den organisation eller det produkt med digitale elementer, som det vurderer.

Et organ, der tilhører en erhvervsorganisation eller brancheforening, som repræsenterer virksomheder, der er involveret i design, udvikling, produktion, tilvejebringelse, sammensætning, brug eller vedligeholdelse af produkter med digitale elementer, som det vurderer, kan, forudsat at det er påvist, at det er uafhængigt, og at der ikke foreligger interessekonflikter, anses for at være et sådant tredjepartsorgan.

4. Overensstemmelsesvurderingsorganet, dets øverste ledelse og det personale, der er ansvarligt for at foretage overensstemmelsesvurdering, må ikke være designeren, udvikleren, fabrikanten, leverandøren, importøren, distributøren, montøren, køberen, ejeren, brugeren eller reparatøren af de produkter med digitale elementer, som de vurderer, eller den bemyndigede repræsentant for nogen af disse parter. Dette forhindrer ikke anvendelse af vurderede produkter, der er nødvendige for overensstemmelsesvurderingsorganets aktiviteter, eller anvendelse af sådanne produkter til personlige formål.

Overensstemmelsesvurderingsorganet, dets øverste ledelse og det personale, der er ansvarligt for at foretage overensstemmelsesvurdering, må ikke være direkte involveret i design, udvikling, produktion, import, distribution, markedsføring, montering, anvendelse eller vedligeholdelse af de produkter med digitale elementer, som de vurderer, eller repræsentere parter, der er involveret i disse aktiviteter. De må ikke deltage i aktiviteter, som kan være i strid med deres objektivitet og integritet i forbindelse med de overensstemmelsesvurderingsaktiviteter, de er bemyndiget til. Dette gælder navnlig rådgivningstjenester.

Overensstemmelsesvurderingsorganer skal sikre, at deres dattervirksomheders eller underleverandørers aktiviteter ikke påvirker fortroligheden, objektiviteten eller uvildigheden af deres overensstemmelsesvurderingsaktiviteter.

5. Overensstemmelsesvurderingsorganerne og deres personale skal udføre overensstemmelsesvurderingsaktiviteterne med den størst mulige faglige integritet og den nødvendige tekniske kompetence på det specifikke område og må ikke påvirkes af nogen form for pression eller incitament, navnlig af økonomisk art, som kan have indflydelse på deres afgørelser eller resultaterne af deres overensstemmelsesvurderingsaktiviteter, særlig fra personer eller grupper af personer, som har en interesse i resultaterne af disse aktiviteter.

6. Et overensstemmelsesvurderingsorgan skal være i stand til at gennemføre alle de i bilag VIII omhandlede overensstemmelsesvurderingsopgaver, for hvilke det er blevet notificeret, uanset om disse opgaver udføres af overensstemmelsesvurderingsorganet selv eller på dets vegne og under dets ansvar.

Til enhver tid og for hver overensstemmelsesvurderingsprocedure og type eller kategori af produkter med digitale elementer, for hvilket det er blevet notificeret, skal et overensstemmelsesvurderingsorgan have følgende til rådighed:

Et overensstemmelsesvurderingsorgan skal råde over de fornødne midler til på en passende måde at udføre de tekniske og administrative opgaver, der er forbundet med overensstemmelsesvurderingsarbejdet, og det skal have adgang til alt nødvendigt udstyr og alle nødvendige faciliteter.

7. Det personale, som skal udføre overensstemmelsesvurderingsopgaverne, skal have:

8. Det skal sikres, at overensstemmelsesvurderingsorganerne, den øverste ledelse og det personale, der er ansvarligt for at foretage overensstemmelsesvurdering, arbejder uvildigt.

Aflønningen af den øverste ledelse og vurderingspersonalet må ikke afhænge af, hvor mange vurderinger de udfører eller resultaterne af disse vurderinger.

9. Overensstemmelsesvurderingsorganerne skal tegne en ansvarsforsikring, medmindre deres medlemsstat har overtaget ansvaret efter national ret, eller medmindre medlemsstaten selv er direkte ansvarlig for overensstemmelsesvurderingen.

10. Overensstemmelsesvurderingsorganets personale har tavshedspligt med hensyn til alle oplysninger, det kommer i besiddelse af ved udførelsen af dets opgaver i henhold til bilag VIII eller enhver bestemmelse i national ret til gennemførelse heraf, undtagen over for markedsovervågningsmyndighederne i den medlemsstat, hvor aktiviteterne udføres. Ejendomsrettigheder skal beskyttes. Overensstemmelsesvurderingsorganet skal have dokumenterede procedurer, der sikrer overholdelse af dette stykke.

11. Overensstemmelsesvurderingsorganet skal deltage i, eller sikre at dets vurderingspersonale er orienteret om, de relevante standardiseringsaktiviteter og aktiviteterne i den koordineringsgruppe af bemyndigede organer, der er nedsat i henhold til artikel 51, og skal som generel retningslinje anvende de administrative afgørelser og dokumenter, som arbejdet i denne gruppe udmøntes i.

12. Overensstemmelsesvurderingsorganer skal fungere i henhold til et sæt konsekvente, retfærdige, forholdsmæssige og rimelige vilkår og betingelser, samtidig med at unødvendige byrder undgås for erhvervsdrivende, idet der særlig tages hensyn til mikrovirksomheders og små og mellemstore virksomheders interesser for så vidt angår gebyrer.

Artikel 40

Formodning om bemyndigede organers overensstemmelse

Hvis et overensstemmelsesvurderingsorgan dokumenterer, at det opfylder kriterierne i de relevante harmoniserede standarder eller dele heraf, hvortil der er offentliggjort referencer i Den Europæiske Unions Tidende, formodes det at opfylde kravene i artikel 39, for så vidt som de gældende harmoniserede standarder dækker disse krav.

Artikel 41

Dattervirksomheder og underleverandører i tilknytning til bemyndigede organer

1. Hvis et bemyndiget organ giver bestemte opgaver i forbindelse med overensstemmelsesvurdering til underleverandører eller anvender en dattervirksomhed, sikrer det bemyndigede organ, at underleverandøren eller dattervirksomheden opfylder kravene i artikel 39, og underretter den bemyndigende myndighed herom.

2. De bemyndigede organer har det fulde ansvar for de opgaver, der udføres af underleverandører eller dattervirksomheder, uanset hvor de er etableret.

3. Aktiviteter må kun gives til underleverandører eller udføres af en dattervirksomhed, hvis fabrikanten har givet sit samtykke.

4. De bemyndigede organer sikrer, at de relevante dokumenter vedrørende vurderingen af underleverandørens eller dattervirksomhedens kvalifikationer og det arbejde, som de har udført i henhold til denne forordning, er til rådighed for den bemyndigende myndighed.

Artikel 42

Ansøgning om bemyndigelse

1. Et overensstemmelsesvurderingsorgan indgiver en ansøgning om bemyndigelse til den bemyndigende myndighed i den medlemsstat, hvor det er etableret.

2. Ansøgningen ledsages af en beskrivelse af de overensstemmelsesvurderingsaktiviteter, den eller de overensstemmelsesvurderingsprocedurer og det eller de produkter med digitale elementer, som organet hævder at være kompetent til, samt, i givet fald, af et akkrediteringscertifikat udstedt af et nationalt akkrediteringsorgan, hvor det attesteres, at overensstemmelsesvurderingsorganet opfylder kravene i artikel 39.

3. Hvis det pågældende overensstemmelsesvurderingsorgan ikke kan forelægge et akkrediteringscertifikat, forelægger det den bemyndigende myndighed al den dokumentation, der er nødvendig for at kontrollere, anerkende og regelmæssigt overvåge, at det opfylder kravene i artikel 39.

Artikel 43

Bemyndigelsesprocedure

1. De bemyndigende myndigheder må kun bemyndige overensstemmelsesvurderingsorganer, som opfylder kravene i artikel 39.

2. Den bemyndigende myndighed underretter Kommissionen og de øvrige medlemsstater ved hjælp af informationssystemet New Approach Notified and Designated Organisations, der er udviklet og forvaltes af Kommissionen.

3. Underretningen skal indeholde fyldestgørende oplysninger om overensstemmelsesvurderingsaktiviteterne, det pågældende overensstemmelsesvurderingsmodul eller de pågældende overensstemmelsesvurderingsmoduler og det pågældende produkt eller de pågældende produkter med digitale elementer og den relevante dokumentation for kompetencen.

4. Hvis en bemyndigelse ikke er baseret på et akkrediteringscertifikat som anført i artikel 42, stk. 2, forelægger den bemyndigende myndighed Kommissionen og de øvrige medlemsstater dokumentation, der attesterer overensstemmelsesvurderingsorganets kompetence og de ordninger, der er indført til sikring af, at der regelmæssigt føres tilsyn med organet, og at organet også fremover vil opfylde de i artikel 39 fastsatte krav.

5. Det pågældende organ må kun udføre aktiviteter som bemyndiget organ, hvis Kommissionen og de øvrige medlemsstater ikke har gjort indsigelse inden for to uger efter en underretning baseret på et akkrediteringscertifikat eller inden for to måneder efter en underretning, der ikke er baseret på et akkrediteringscertifikat.

Kun et sådant organ anses for at være et bemyndiget organ i denne forordnings forstand.

6. Kommissionen og de øvrige medlemsstater skal underrettes om eventuelle efterfølgende relevante ændringer af bemyndigelsen.

Artikel 44

Identifikationsnumre for og lister over bemyndigede organer

1. Kommissionen tildeler et bemyndiget organ et identifikationsnummer.

Hvert bemyndiget organ tildeles kun ét sådant nummer, også selv om organet er notificeret i henhold til flere EU-retsakter.

2. Kommissionen offentliggør listen over organer, der er notificeret i henhold til denne forordning, herunder de identifikationsnumre, de er blevet tildelt, og de aktiviteter, for hvilke de er notificeret.

Kommissionen sikrer, at denne liste holdes ajour.

Artikel 45

Ændringer af bemyndigelser

1. Hvis en bemyndigende myndighed har konstateret eller er blevet underrettet om, at et bemyndiget organ ikke længere opfylder kravene i artikel 39, eller at det ikke opfylder sine forpligtelser, begrænser, suspenderer eller inddrager den bemyndigende myndighed bemyndigelsen, alt efter hvad der er relevant, og afhængigt af i hvor høj grad disse krav eller forpligtelser ikke er blevet opfyldt. Den underretter omgående Kommissionen og de øvrige medlemsstater herom.

2. Hvis en bemyndigelse begrænses, suspenderes eller inddrages, eller hvis det bemyndigede organ har indstillet sin virksomhed, træffer den bemyndigende medlemsstat de nødvendige foranstaltninger for at sikre, at dette organs sager enten behandles af et andet bemyndiget organ eller gøres tilgængelige for de ansvarlige bemyndigende myndigheder og markedsovervågningsmyndigheder efter disses anmodning.

Artikel 46

Anfægtelse af de bemyndigede organers kompetence

1. Kommissionen undersøger alle tilfælde, hvor den tvivler på et bemyndiget organs kompetence eller på, at et bemyndiget organ fortsat opfylder de krav og forpligtelser, der påhviler det, og tilfælde, hvor den bliver gjort opmærksom på en sådan tvivl.

2. Den bemyndigende medlemsstat forelægger efter anmodning Kommissionen alle oplysninger om grundlaget for bemyndigelsen eller fastholdelsen af det bemyndigede organs kompetence.

3. Kommissionen sikrer, at alle følsomme oplysninger, den indhenter som led i sine undersøgelser, behandles fortroligt.

4. Hvis Kommissionen konstaterer, at et bemyndiget organ ikke eller ikke længere opfylder kravene vedrørende dets bemyndigelse, underretter Kommissionen den bemyndigende medlemsstat herom og anmoder den om at træffe de nødvendige korrigerende foranstaltninger, herunder om nødvendigt inddragelse af bemyndigelsen.

Artikel 47

Bemyndigede organers operationelle forpligtelser

1. Bemyndigede organer foretager overensstemmelsesvurdering i overensstemmelse med de overensstemmelsesvurderingsprocedurer, der er fastsat i artikel 32 og bilag VIII.

2. Overensstemmelsesvurderingerne foretages i overensstemmelse med proportionalitetsprincippet, således at de erhvervsdrivende ikke pålægges unødige byrder. Overensstemmelsesvurderingsorganer udfører deres aktiviteter under behørig hensyntagen til virksomhedernes størrelse, især med hensyn til mikrovirksomheder og små og mellemstore virksomheder, den sektor, som de opererer inden for, deres struktur, deres kompleksitet og cybersikkerhedsrisikoniveauet for de pågældende produkter med digitale elementer og den pågældende teknologi, og om produktionsprocessen har karakter af masse- eller serieproduktion.

3. Bemyndigede organer skal dog respektere den grad af strenghed og det beskyttelsesniveau, der kræves for, at produkterne med digitale elementer opfylder denne forordning.

4. Hvis et bemyndiget organ finder, at fabrikanten ikke har opfyldt kravene i bilag I eller i de dertil svarende harmoniserede standarder eller de fælles specifikationer som omhandlet i artikel 27, kræver det, at det fabrikanten træffer afhjælpende foranstaltninger, og det udsteder ikke en overensstemmelsesattest.

5. Hvis et bemyndiget organ i forbindelse med overensstemmelsesovervågning efter udstedelse af en attest finder, at et produkt med digitale elementer ikke længere opfylder kravene i denne forordning, kræver det, at fabrikanten afhjælper dette og suspenderer eller inddrager attesten om nødvendigt.

6. Hvis der ikke træffes afhjælpende foranstaltninger, eller hvis disse ikke har den ønskede virkning, begrænser, suspenderer eller inddrager det bemyndigede organ eventuelle attester, alt efter hvad der er relevant.

Artikel 48

Klage over afgørelser truffet af bemyndigede organer

Medlemsstaterne sikrer, at der findes en procedure for klager over de bemyndigede organers afgørelser.

Artikel 49

Oplysningspligt for bemyndigede organer

1. De bemyndigede organer oplyser den bemyndigende myndighed om følgende:

2. De bemyndigede organer giver de øvrige organer, der er bemyndiget i henhold til denne forordning, og som udfører lignende overensstemmelsesvurderingsaktiviteter og dækker samme produkter med digitale elementer, relevante oplysninger om spørgsmål vedrørende negative og, efter anmodning, positive overensstemmelsesvurderingsresultater.

Artikel 50

Erfaringsudveksling

Kommissionen sørger for, at der tilrettelægges erfaringsudveksling mellem medlemsstaternes nationale myndigheder med ansvar for bemyndigelsespolitik.

Artikel 51

Koordinering af bemyndigede organer

1. Kommissionen sikrer, at der etableres passende koordinering og samarbejde mellem bemyndigede organer, og at denne koordinering og dette samarbejde fungerer efter hensigten i form af en tværsektoriel gruppe af bemyndigede organer.

2. Medlemsstaterne sørger for, at de organer, de har bemyndiget, deltager i arbejdet i denne gruppe enten direkte eller gennem udpegede repræsentanter.

KAPITEL V

MARKEDSOVERVÅGNING OG HÅNDHÆVELSE

Artikel 52

Markedsovervågning og kontrol af produkter med digitale elementer på EU-markedet

1. Forordning (EU) 2019/1020 finder anvendelse på produkter med digitale elementer, der er omfattet af nærværende forordnings anvendelsesområde.

2. Hver medlemsstat udpeger med henblik på en virkningsfuld gennemførelse af denne forordning en eller flere markedsovervågningsmyndigheder. Medlemsstaterne kan udpege en eksisterende eller ny myndighed til at virke som markedsovervågningsmyndighed med henblik på denne forordning.

3. De markedsovervågningsmyndigheder, der er udpeget i henhold til denne artikels stk. 2, er også ansvarlige for at gennemføre markedsovervågningsaktiviteter i forbindelse med de forpligtelser for open source software-forvaltere, der er fastsat i artikel 24. Hvis en markedsovervågningsmyndighed finder, at en open source software-forvalter ikke opfylder forpligtelserne i nævnte artikel, skal den kræve, at open source software-forvalteren sikrer, at der træffes alle passende korrigerende tiltag. Open source software-forvaltere sikrer, at der træffes alle passende korrigerende tiltag med hensyn til deres forpligtelser i henhold til denne forordning.

4. Markedsovervågningsmyndighederne samarbejder, hvor det er relevant, med de nationale cybersikkerhedscertificeringsmyndigheder, der er udpeget i henhold til artikel 58 i forordning (EU) 2019/881, og udveksler regelmæssigt oplysninger. De udpegede markedsovervågningsmyndigheder samarbejder og udveksler regelmæssigt oplysninger med de CSIRT'er, der er udpeget som koordinatorer, og ENISA for så vidt angår tilsynet med gennemførelsen af rapporteringsforpligtelserne i henhold til nærværende forordnings artikel 14.

5. Markedsovervågningsmyndighederne kan anmode en CSIRT, der er udpeget som koordinator, eller ENISA om at yde teknisk rådgivning om spørgsmål vedrørende gennemførelsen og håndhævelsen af denne forordning. Markedsovervågningsmyndighederne kan, når de foretager en undersøgelse i henhold til artikel 54, anmode den CSIRT, der er udpeget som koordinator, eller ENISA om at fremlægge en analyse for at understøtte overensstemmelsesvurderinger af produkter med digitale elementer.

6. Markedsovervågningsmyndighederne samarbejder, hvor det er relevant, med andre markedsovervågningsmyndigheder, der er udpeget på grundlag af anden EU-harmoniseringslovgivning end denne forordning, og udveksler regelmæssigt oplysninger.

7. Markedsovervågningsmyndighederne samarbejder, alt efter hvad der er relevant, med de myndigheder, der fører tilsyn med EU- databeskyttelsesretten. Et sådant samarbejde omfatter underretning af disse myndigheder om ethvert resultat, der er relevant for udøvelsen af deres beføjelser, herunder ved ydelse af vejledning og rådgivning i henhold til stk. 10, hvis sådan vejledning og rådgivning vedrører behandling af personoplysninger.

De myndigheder, der fører tilsyn med EU-databeskyttelsesretten, har beføjelse til at anmode om og få adgang til al dokumentation, der er udarbejdet eller opbevares i henhold til denne forordning, når adgang til denne dokumentation er nødvendig for udførelsen af deres opgaver. De underretter de udpegede markedsovervågningsmyndigheder i den berørte medlemsstat om enhver sådan anmodning.

8. Medlemsstaterne sikrer, at de udpegede markedsovervågningsmyndigheder modtager tilstrækkelige finansielle og tekniske ressourcer, herunder, hvor det er relevant, behandlingsautomatiseringsværktøjer, samt menneskelige ressourcer med de cybersikkerhedsfærdigheder, der er nødvendige for at kunne udføre deres opgaver i henhold til denne forordning.

9. Kommissionen tilskynder til og letter udvekslingen af erfaringer mellem udpegede markedsovervågningsmyndigheder.

10. Markedsovervågningsmyndighederne kan yde vejledning og rådgivning til erhvervsdrivende om gennemførelsen af denne forordning med støtte fra Kommissionen og, hvor det er relevant, CSIRT'er og ENISA.

11. Markedsovervågningsmyndighederne oplyser forbrugerne om, hvor der kan indgives klager, der kunne tyde på manglende overholdelse af denne forordning, i overensstemmelse med artikel 11 i forordning (EU) 2019/1020, og giver forbrugerne oplysninger om, hvor og hvordan de kan få adgang til mekanismer, som kan lette indberetningen af sårbarheder, hændelser og cybertrusler, der kan påvirke produkter med digitale elementer.

12. Markedsovervågningsmyndighederne letter, hvor det er relevant, samarbejdet med relevante interessenter, herunder videnskabelige organisationer og forsknings- og forbrugerorganisationer.

13. Markedsovervågningsmyndighederne aflægger årligt rapport til Kommissionen om resultaterne af relevante markedsovervågningsaktiviteter. Den udpegede markedsovervågningsmyndighed indberetter straks alle oplysninger, der er fremskaffet i forbindelse med markedsovervågningsaktiviteter, og som kan være af potentiel interesse for anvendelsen af EU-konkurrenceretten, til Kommissionen og de relevante nationale konkurrencemyndigheder.

14. For produkter med digitale elementer, der er omfattet af denne forordnings anvendelsesområde, og som er klassificeret som højrisiko-AI-systemer i henhold til artikel 6 i forordning (EU) 2024/1689, skal de markedsovervågningsmyndigheder, der udpeges med henblik på nævnte forordning, være de myndigheder, der er ansvarlige for de markedsovervågningsaktiviteter, der kræves i henhold til nærværende forordning. De markedsovervågningsmyndigheder, der er udpeget i henhold til forordning (EU) 2024/1689, samarbejder, hvor det er relevant, med de markedsovervågningsmyndigheder, der er udpeget i henhold til nærværende forordning, og med de CSIRT'er, der er udpeget som koordinatorer, og med ENISA om tilsynet med gennemførelsen af rapporteringsforpligtelserne i henhold til nærværendes forordnings artikel 14. Markedsovervågningsmyndigheder udpeget i henhold til forordning (EU) 2024/1689 underretter navnlig markedsovervågningsmyndigheder udpeget i henhold til nærværende forordning om ethvert resultat, der er relevant for udførelsen af deres opgaver i forbindelse med gennemførelsen af nærværende forordning.

15. ADCO oprettes i henhold til artikel 30, stk. 2, i forordning (EU) 2019/1020 med henblik på ensartet gennemførelse af nærværende forordning. ADCO skal bestå af repræsentanter fra de udpegede markedsovervågningsmyndigheder og, hvis det er relevant, repræsentanter fra centrale forbindelseskontorer. ADCO behandler også specifikke spørgsmål vedrørende markedsovervågningsaktiviteterne i forbindelse med de forpligtelser, der pålægges open source software-forvaltere.

16. Markedsovervågningsmyndighederne overvåger, hvordan fabrikanterne har anvendt de kriterier, der er omhandlet i artikel 13, stk. 8, når de fastsætter supportperioden for deres produkter med digitale elementer.

ADCO offentliggør i en offentligt tilgængelig og brugervenlig form relevante statistikker om kategorier af produkter med digitale elementer, herunder gennemsnitlige supportperioder som fastsat af fabrikanten i henhold til artikel 13, stk. 8, og udstikker retningslinjer, der omfatter vejledende supportperioder for kategorier af produkter med digitale elementer.

Hvis dataene tyder på utilstrækkelige supportperioder for specifikke kategorier af produkter med digitale elementer, kan ADCO udstede henstillinger til markedsovervågningsmyndighederne om at fokusere deres aktiviteter på sådanne kategorier af produkter med digitale elementer.

Artikel 53

Adgang til oplysninger og dokumentation

Hvis det er nødvendigt for at vurdere, om produkter med digitale elementer og de processer, som fabrikanten har indført, opfylder de væsentlige cybersikkerhedskrav i bilag I, tildeles markedsovervågningsmyndighederne efter begrundet anmodning adgang til de data på et for dem let forståeligt sprog, som er nødvendige for at vurdere designet, udviklingen, produktionen og sårbarhedshåndteringen af sådanne produkter, herunder den relevante interne dokumentation fra den relevante erhvervsdrivende.

Artikel 54

Procedure på nationalt plan vedrørende produkter med digitale elementer, der udgør en væsentlig cybersikkerhedsrisiko

1. Hvis en medlemsstats markedsovervågningsmyndighed har tilstrækkelig grund til at antage, at et produkt med digitale elementer, herunder dets sårbarhedshåndtering, udgør en væsentlig cybersikkerhedsrisiko, foretager den uden unødigt ophold og, hvor det er hensigtsmæssigt, i samarbejde med den relevante CSIRT en evaluering af det pågældende produkt med digitale elementer for så vidt angår dets opfyldelse af alle de krav, der er fastsat i denne forordning. De relevante erhvervsdrivende samarbejder i nødvendigt omfang med markedsovervågningsmyndigheden.

Hvis markedsovervågningsmyndigheden i forbindelse med denne evaluering konstaterer, at produkter med digitale elementer ikke opfylder kravene i denne forordning, pålægger den straks den pågældende erhvervsdrivende at træffe alle fornødne afhjælpende tiltag for at bringe produktet med digitale elementer i overensstemmelse med disse krav, trække produktet med digitale elementer tilbage fra markedet eller tilbagekalde det inden for en rimelig tidsfrist, alt efter hvad markedsovervågningsmyndigheden måtte fastsætte i forhold til cybersikkerhedsrisikoens art.

Markedsovervågningsmyndigheden underretter det relevante bemyndigede organ herom. Artikel 18 i forordning (EU) 2019/1020 finder anvendelse på de afhjælpende tiltag.

2. Ved fastlæggelsen af væsentligheden af en cybersikkerhedsrisiko, der er omhandlet i denne artikels stk. 1, tager markedsovervågningsmyndighederne også hensyn til ikketekniske risikofaktorer, navnlig dem, der er fastsat som følge af koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan, som foretages i overensstemmelse med artikel 22 i direktiv (EU) 2022/2555. Hvor en markedsovervågningsmyndighed har tilstrækkelig grund til at antage, at et produkt med digitale elementer udgør en væsentlig cybersikkerhedsrisiko i lyset af ikketekniske risikofaktorer, underretter den de kompetente myndigheder, der er udpeget eller oprettet i henhold til artikel 8 i direktiv (EU) 2022/2555, og samarbejder i nødvendigt omfang med disse myndigheder.

3. Hvis markedsovervågningsmyndigheden finder, at den manglende overensstemmelse ikke er begrænset til dens nationale område, underretter den Kommissionen og de øvrige medlemsstater om resultaterne af evalueringen og om de tiltag, som den har pålagt den erhvervsdrivende at træffe.

4. Den erhvervsdrivende sikrer, at der træffes alle passende afhjælpende tiltag for så vidt angår alle de produkter med digitale elementer, som den erhvervsdrivende har gjort tilgængelige på EU-markedet.

5. Hvis den erhvervsdrivende ikke træffer tilstrækkelige afhjælpende tiltag inden for den frist, der er omhandlet i stk. 1, andet afsnit, træffer markedsovervågningsmyndigheden de nødvendige foreløbige foranstaltninger for at forbyde eller begrænse tilgængeliggørelsen af produktet med digitale elementer på det nationale marked eller for at trække produktet tilbage fra markedet eller kalde det tilbage.

Myndigheden underretter straks Kommissionen og de øvrige medlemsstater om disse foranstaltninger.

6. De i stk. 5 omhandlede oplysninger skal indeholde alle tilgængelige oplysninger, navnlig de data, der er nødvendige for identifikation af det produkt med digitale elementer, der ikke opfylder kravene, oprindelsesstedet for produktet med digitale elementer, arten af den påståede manglende opfyldelse af kravene og af den pågældende risiko, arten og varigheden af de trufne nationale foranstaltninger samt de synspunkter, som den pågældende erhvervsdrivende har fremsat. Markedsovervågningsmyndighederne oplyser navnlig, om den manglende overensstemmelse med kravene skyldes:

7. De øvrige medlemsstater ud over den medlemsstat, der har indledt proceduren, underretter straks Kommissionen og de øvrige medlemsstater om eventuelt trufne foranstaltninger og om yderligere oplysninger, som de måtte råde over, om, at det pågældende produkt med digitale elementer ikke opfylder kravene, og om deres indsigelser, i fald de ikke er indforstået med den meddelte nationale foranstaltning.

8. Hvis der ikke inden for tre måneder efter modtagelsen af den i stk. 5 i denne artikel omhandlede underretning er blevet gjort indsigelse af en medlemsstat eller Kommissionen mod en foreløbig foranstaltning truffet af en medlemsstat, anses denne foranstaltning for at være berettiget. Dette berører ikke den berørte erhvervsdrivendes procedurerettigheder i henhold til artikel 18 i forordning (EU) 2019/1020.

9. Markedsovervågningsmyndighederne i alle medlemsstaterne sikrer, at der straks træffes de fornødne restriktive foranstaltninger med hensyn til det pågældende produkt med digitale elementer såsom tilbagetrækning af dette produkt fra deres marked.

Artikel 55

EU-beskyttelsesprocedure

1. Hvor en medlemsstat inden for tre måneder efter modtagelsen af den i artikel 54, stk. 5, omhandlede underretning gør indsigelse mod en anden medlemsstats foranstaltning, eller hvor Kommissionen finder, at foranstaltningen er i strid med EU-retten, drøfter Kommissionen straks spørgsmålet med den relevante medlemsstat og den eller de relevante erhvervsdrivende og evaluerer den nationale foranstaltning. På grundlag af resultaterne af denne evaluering træffer Kommissionen senest ni måneder efter den i artikel 54, stk. 5, omhandlede underretning afgørelse om, hvorvidt den nationale foranstaltning er berettiget eller ej, og meddeler den pågældende medlemsstat denne afgørelse.

2. Hvis den nationale foranstaltning anses for at være berettiget, træffer alle medlemsstaterne de nødvendige foranstaltninger for at sikre, at produktet med digitale elementer, der ikke er i overensstemmelse med kravene, trækkes tilbage fra deres marked, og underretter Kommissionen herom. Hvis den nationale foranstaltning ikke anses for at være berettiget, trækker den pågældende medlemsstat foranstaltningen tilbage.

3. Hvor den nationale foranstaltning anses for at være berettiget, og produktet med digitale elementer ikke overholder kravene som følge af mangler ved de harmoniserede standarder, anvender Kommissionen proceduren i artikel 11 i forordning (EU) nr. 1025/2012.

4. Hvor den nationale foranstaltning anses for at være berettiget, og produktet med digitale elementer ikke overholder kravene som følge af mangler ved en europæisk cybersikkerhedscertificeringsordning som omhandlet i artikel 27, tager Kommissionen stilling til, om en eventuel delegeret retsakt, der er vedtaget i henhold til artikel 27, stk. 9, og som fastsætter formodningen om overensstemmelse for den pågældende certificeringsordning, skal ændres eller ophæves.

5. Hvor den nationale foranstaltning anses for at være berettiget, og den manglende overensstemmelse for så vidt angår produktet med digitale elementer tilskrives mangler ved de fælles specifikationer som omhandlet i artikel 27, tager Kommissionen stilling til, om en eventuel gennemførelsesretsakt, der er vedtaget i henhold til artikel 27, stk. 2, og som fastsætter disse fælles specifikationer, skal ændres eller ophæves.

Artikel 56

Procedure på EU-plan vedrørende produkter med digitale elementer, der udgør en væsentlig cybersikkerhedsrisiko

1. Hvor Kommissionen har tilstrækkelig grund til at antage, herunder på grundlag af oplysninger fra ENISA, at et produkt med digitale elementer, der udgør en væsentlig cybersikkerhedsrisiko, ikke opfylder kravene i denne forordning, underretter den de relevante markedsovervågningsmyndigheder. Hvor markedsovervågningsmyndighederne foretager en evaluering af det pågældende produkt med digitale elementer, der kan udgøre en væsentlig cybersikkerhedsrisiko for så vidt angår dets overholdelse af kravene i denne forordning, finder de procedurer, der er omhandlet i artikel 54 og 55, anvendelse.

2. Hvor Kommissionen har tilstrækkelig grund til at antage, at et produkt med digitale elementer udgør en væsentlig cybersikkerhedsrisiko i lyset af ikketekniske risikofaktorer, underretter den de relevante markedsovervågningsmyndigheder og, hvor det er relevant, de kompetente myndigheder, der er udpeget eller oprettet i henhold til artikel 8 i direktiv (EU) 2022/2555, og samarbejder i nødvendigt omfang med disse myndigheder. Kommissionen tager også hensyn til relevansen af de identificerede risici for det pågældende produkt med digitale elementer i lyset af dens opgaver vedrørende de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan, der er foreskrevet i artikel 22 i direktiv (EU) 2022/2555, og hører i nødvendigt omfang den samarbejdsgruppe, der er nedsat i henhold til artikel 14 i direktiv (EU) 2022/2555, og ENISA.

3. Under omstændigheder, der berettiger et hurtigt indgreb for at bevare et velfungerende indre marked, og hvor Kommissionen har tilstrækkelig grund til at antage, at det i stk. 1 omhandlede produkt med digitale elementer fortsat ikke overholder kravene i denne forordning, og de relevante markedsovervågningsmyndigheder ikke har truffet effektive foranstaltninger, foretager Kommissionen en evaluering af overholdelsen og kan anmode ENISA om at fremlægge en analyse for at understøtte denne. Kommissionen underretter de relevante markedsovervågningsmyndigheder herom. De relevante erhvervsdrivende samarbejder i nødvendigt omfang med ENISA.

4. På grundlag af den evaluering, der er omhandlet i stk. 3, kan Kommissionen beslutte, at en korrigerende eller restriktiv foranstaltning er nødvendig på EU-plan. Med henblik herpå hører den straks de berørte medlemsstater og den eller de relevante erhvervsdrivende.

5. På grundlag af den denne artikels stk. 4 omhandlede høring kan Kommissionen vedtage gennemførelsesretsakter med henblik på at træffe korrigerende eller restriktive foranstaltninger på EU-plan, herunder krav om, at de pågældende produkter med digitale elementer skal trækkes tilbage fra markedet eller tilbagekaldes inden for en rimelig tidsfrist, alt efter risikoens art. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, artikel 62, stk. 2.

6. Kommissionen meddeler omgående de i stk. 5 omhandlede gennemførelsesretsakter til den eller de relevante erhvervsdrivende. Medlemsstaterne gennemfører disse gennemførelsesretsakter straks og underretter Kommissionen herom.

7. Stk. 3-6 finder anvendelse, så længe den ekstraordinære situation, der begrundede Kommissionens indgreb, gør sig gældende, forudsat at produktet med digitale elementer ikke er bragt til at overholde denne forordning.

Artikel 57

Produkter med digitale elementer, der overholder kravene og udgør en væsentlig cybersikkerhedsrisiko

1. En medlemsstats markedsovervågningsmyndighed pålægger en erhvervsdrivende at træffe alle passende foranstaltninger, hvor den efter at have foretaget en evaluering i henhold til artikel 54 finder, at et produkt med digitale elementer og de processer, som fabrikanten har indført, overholder denne forordning, men at de udgør en væsentlig cybersikkerhedsrisiko og en risiko for:

De foranstaltninger, der er omhandlet i første afsnit, kan omfatte foranstaltninger til at sikre, at det pågældende produkt med digitale elementer og de processer, som fabrikanten har indført, ikke længere udgør de relevante risici, når det gøres tilgængeligt på markedet, tilbagetrækning fra markedet af det pågældende produkt med digitale elementer eller tilbagekaldelse af det, og de skal stå i et rimeligt forhold til arten af disse risici.

2. Fabrikanten eller andre relevante erhvervsdrivende sikrer, at der træffes korrigerende foranstaltninger med hensyn til de produkter med digitale elementer, som de har gjort tilgængelige på markedet i hele Unionen, inden for den tidsfrist, der er fastsat af medlemsstatens i stk. 1 omhandlede markedsovervågningsmyndighed.

3. Medlemsstaten underretter omgående Kommissionen og de øvrige medlemsstater om de foranstaltninger, der er truffet i henhold til stk. 1. Denne underretning skal omfatte alle tilgængelige oplysninger, særlig de data, der er nødvendige til identifikation af de pågældende produkter med digitale elementer, disse produkters oprindelse og forsyningskæde, arten af den pågældende risiko og arten og varigheden af de trufne nationale foranstaltninger.

4. Kommissionen drøfter straks spørgsmålet med medlemsstaterne og den relevante erhvervsdrivende og evaluerer de trufne nationale foranstaltninger. På grundlag af resultaterne af denne evaluering træffer Kommissionen afgørelse om, hvorvidt foranstaltningen er berettiget eller ej, og foreslår om nødvendigt passende foranstaltninger.

5. Kommissionen retter den i stk. 4 omhandlede afgørelse til medlemsstaterne.

6. Hvor Kommissionen har tilstrækkelig grund til at antage, herunder på grundlag af oplysninger fra ENISA, at et produkt med digitale elementer, selv om det overholder denne forordning, udgør de i denne artikels stk. 1 omhandlede risici, skal den informere den relevante markedsovervågningsmyndighed eller de relevante markedsovervågningsmyndigheder og kan anmode den eller dem om at foretage en evaluering og følge de procedurer, der er omhandlet i artikel 54 og i nærværende artikels stk. 1, 2 og 3.

7. Under omstændigheder, der berettiger et hurtigt indgreb for at bevare et velfungerende indre marked, og hvor Kommissionen har tilstrækkelig grund til at antage, at det i stk. 6 omhandlede produkt med digitale elementer fortsat udgør de i stk. 1 omhandlede risici, og de relevante nationale markedsovervågningsmyndigheder ikke har truffet effektive foranstaltninger, foretager Kommissionen en evaluering af risiciene forbundet med det pågældende produkt med digitale elementer og kan anmode ENISA om at fremlægge en analyse for at understøtte denne evaluering, og Kommissionen underretter de relevante markedsovervågningsmyndigheder herom. De relevante erhvervsdrivende samarbejder i nødvendigt omfang med ENISA.

8. På grundlag af den evaluering, der er omhandlet i stk. 7, kan Kommissionen beslutte, at der skal træffes en korrigerende eller restriktiv foranstaltning på EU-plan. Med henblik herpå hører den straks de berørte medlemsstater og den eller de relevante erhvervsdrivende.

9. På grundlag af den i denne artikels stk. 8 omhandlede høring kan Kommissionen vedtage gennemførelsesretsakter med henblik på at træffe afgørelse om korrigerende eller restriktive foranstaltninger på EU-plan, herunder krav om, at de pågældende produkter med digitale elementer skal trækkes tilbage fra markedet eller tilbagekaldes inden for en rimelig tidsfrist, alt efter risikoens art. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

10. Kommissionen meddeler omgående de i stk. 9 omhandlede gennemførelsesretsakter til den eller de relevante erhvervsdrivende. Medlemsstaterne gennemfører disse gennemførelsesretsakter straks og underretter Kommissionen herom.

11. Stk. 6-10 finder anvendelse, indtil den ekstraordinære situation, der begrundede Kommissionens indgreb, ikke længere er til stede, og så længe det pågældende produkt med digitale elementer fortsat udgør de i stk. 1 omhandlede risici.

Artikel 58

Formel manglende overholdelse

1. Hvor en medlemsstats markedsovervågningsmyndighed konstaterer et af følgende forhold, pålægger myndigheden den pågældende fabrikant at bringe den manglende overholdelse til ophør:

2. Hvis den i stk. 1 omhandlede manglende overholdelse varer ved, træffer den pågældende medlemsstat alle nødvendige foranstaltninger til at begrænse eller forbyde tilgængeliggørelsen af produktet med digitale elementer på markedet eller sikre, at det tilbagekaldes eller trækkes tilbage fra markedet.

Artikel 59

Markedsovervågningsmyndighedernes fælles aktiviteter

1. Markedsovervågningsmyndighederne kan aftale med andre relevante myndigheder at gennemføre fælles aktiviteter, der har til formål at sikre cybersikkerhed og forbrugerbeskyttelse for så vidt angår specifikke produkter med digitale elementer, der bringes i omsætning eller gøres tilgængelige på markedet, navnlig produkter med digitale elementer, der ofte viser sig at udgøre en cybersikkerhedsrisiko.

2. Kommissionen eller ENISA foreslår fælles aktiviteter til kontrol af overholdelsen af denne forordning, der skal udføres af markedsovervågningsmyndighederne på grundlag af tegn på eller oplysninger om, at kravene i denne forordning til produkter med digitale elementer, der falder inden for denne forordnings anvendelsesområde, muligvis ikke overholdes i flere medlemsstater.

3. Markedsovervågningsmyndighederne og, i givet fald, Kommissionen sikrer, at aftalen om at udføre fælles aktiviteter ikke medfører illoyal konkurrence mellem de erhvervsdrivende og ikke påvirker aftaleparternes objektivitet, uafhængighed og uvildighed negativt.

4. En markedsovervågningsmyndighed kan anvende alle oplysninger, der er opnået som resultat af de fælles aktiviteter, der gennemføres som led i en undersøgelse, som den iværksætter.

5. Den pågældende markedsovervågningsmyndighed og, i givet fald, Kommissionen gør aftalen om fælles aktiviteter, herunder de involverede parters navne, tilgængelig for offentligheden.

Artikel 60

Kontrolaktioner

1. Markedsovervågningsmyndighederne gennemfører samtidige, koordinerede kontrolaktioner af bestemte produkter med digitale elementer eller kategorier heraf for at kontrollere overholdelse eller afsløre overtrædelser af denne forordning. Disse kontrolaktioner kan omfatte inspektioner af produkter med digitale elementer, der er erhvervet under en dækidentitet.

2. Medmindre andet aftales af de involverede markedsovervågningsmyndigheder, koordinerer Kommissionen kontrolaktionerne. Kontrolaktionens koordinator gør, hvor det er hensigtsmæssigt, de samlede resultater offentligt tilgængelige.

3. Hvor ENISA i forbindelse med udførelsen af sine opgaver, herunder på grundlag af underretningerne modtaget i henhold til artikel 14, stk. 1 og 3, identificerer kategorier af produkter med digitale elementer, for hvilke der kan tilrettelægges kontrolaktioner, forelægger ENISA et forslag til kontrolaktion for den koordinator, der er omhandlet i nærværende artikels stk. 2, med henblik på markedsovervågningsmyndighedernes vurdering.

4. Ved gennemførelsen af kontrolaktioner kan de involverede kontrolovervågningsmyndigheder gøre brug af undersøgelsesbeføjelserne i artikel 52-58 og eventuelle andre beføjelser, som de er tillagt i henhold til national ret.

5. Markedsovervågningsmyndighederne kan opfordre tjenestemænd i Kommissionen og andre ledsagende personer, der er bemyndiget af Kommissionen, til at deltage i kontrolaktioner.

KAPITEL VI

DELEGEREDE BEFØJELSER OG UDVALGSPROCEDURE

Artikel 61

Udøvelse af de delegerede beføjelser

1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 2, stk. 5, andet afsnit, artikel 7, stk. 3, artikel 8, stk. 1 og 2, artikel 13, stk. 8, fjerde afsnit, artikel 14, stk. 9, artikel 25, artikel 27, stk. 9, artikel 28, stk. 5, og artikel 31, stk. 5, tillægges Kommissionen for en periode på fem år fra den 10. december 2024. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.

3. Den i artikel 2, stk. 5, andet afsnit, artikel 7, stk. 3, artikel 8, stk. 1 og 2, artikel 13, stk. 8, fjerde afsnit, artikel 14, stk. 9, artikel 25, artikel 27, stk. 9, artikel 28, stk. 5, og artikel 31, stk. 5, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4. Inden vedtagelse af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

6. En delegeret retsakt vedtaget i henhold til artikel 2, stk. 5, andet afsnit, artikel 7, stk. 3, artikel 8, stk. 1 eller 2, artikel 13, stk. 8, fjerde afsnit, artikel 14, stk. 9, artikel 25, artikel 27, stk. 9, artikel 28, stk. 5, eller artikel 31, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 62

Udvalgsprocedure

1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

3. Når udvalgets udtalelse indhentes efter en skriftlig procedure, afsluttes proceduren uden noget resultat, hvis formanden for udvalget træffer beslutning herom, eller et udvalgsmedlem anmoder herom inden fristen for afgivelse af udtalelsen.

KAPITEL VII

FORTROLIGHED OG SANKTIONER

Artikel 63

Fortrolighed

1. Alle parter, der involveret i anvendelsen af denne forordning, skal overholde tavshedspligten for oplysninger og data, der indhentes under udførelsen af deres opgaver og arbejde, på en sådan måde, at de navnlig beskytter:

2. Uden at det berører stk. 1, må oplysninger, der udveksles på fortrolig basis mellem markedsovervågningsmyndighederne og mellem markedsovervågningsmyndighederne og Kommissionen, ikke videregives uden forudgående tilladelse fra den oprindelige markedsmyndighed.

3. Stk. 1 og 2 berører ikke Kommissionens, medlemsstaternes og de bemyndigede organers rettigheder og forpligtelser med hensyn til udveksling af oplysninger og udsendelse af advarsler eller de berørte personers forpligtelse til at afgive oplysninger inden for rammerne af medlemsstaternes strafferet.

4. Kommissionen og medlemsstaterne kan om nødvendigt udveksle følsomme oplysninger med relevante myndigheder i tredjelande, med hvilke de har indgået bilaterale eller multilaterale aftaler om fortrolighed, der garanterer en tilstrækkelig grad af beskyttelse.

Artikel 64

Sanktioner

1. Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af bestemmelserne i denne forordning, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne giver straks Kommissionen meddelelse om disse regler og foranstaltninger og underretter den straks om senere ændringer, der berører dem.

2. Manglende opfyldelse af de væsentlige cybersikkerhedskrav i bilag I og forpligtelserne i artikel 13 og 14 straffes med administrative bøder på op til 15 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 2,5 % af dens samlede globale årsomsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

3. Manglende opfyldelse af forpligtelserne i artikel 18-23, artikel 28, artikel 30, stk. 1-4, artikel 31, stk. 1-4, artikel 32, stk. 1, 2 og 3, artikel 33, stk. 5, og artikel 39, 41, 47, 49 og 53, straffes med administrative bøder på op til 10 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 2 % af dens samlede globale årsomsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

4. Afgivelse af ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer og markedsovervågningsmyndigheder som svar på en anmodning straffes med administrative bøder på op til 5 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 1 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

5. Ved fastsættelsen af den administrative bødes størrelse tages der i hvert enkelt tilfælde hensyn til alle relevante omstændigheder i den specifikke situation, og der tages behørigt hensyn til følgende:

6. Markedsovervågningsmyndigheder, der pålægger administrative bøder, underretter markedsovervågningsmyndighederne i andre medlemsstater om denne pålæggelse gennem det informations- og kommunikationssystem, der er omhandlet i artikel 34 i forordning (EU) 2019/1020.

7. Hver medlemsstat fastsætter regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og offentlige organer, der er etableret i den pågældende medlemsstat.

8. Afhængigt af medlemsstaternes retssystem kan reglerne om administrative bøder anvendes på en sådan måde, at bøderne pålægges af kompetente nationale domstole eller andre organer i overensstemmelse med de kompetencer, der er fastlagt på nationalt plan i de pågældende medlemsstater. Anvendelsen af sådanne regler i disse medlemsstater har tilsvarende virkning.

9. Afhængigt af omstændighederne i hver enkelt sag kan der pålægges administrative bøder i tillæg til eventuelle andre korrigerende eller restriktive foranstaltninger, som markedsovervågningsmyndighederne anvender for den samme overtrædelse.

10. Uanset stk. 3-9 finder de administrative bøder, der er omhandlet i disse stykker, ikke anvendelse på følgende:

Artikel 65

Gruppesøgsmål

Direktiv (EU) 2020/1828 finder anvendelse på gruppesøgsmål, som anlægges som følge af erhvervsdrivendes overtrædelser af bestemmelser i denne forordning, som skader eller kan skade forbrugernes kollektive interesser.

KAPITEL VIII

OVERGANGSBESTEMMELSER OG AFSLUTTENDE BESTEMMELSER

Artikel 66

Ændring af forordning (EU) 2019/1020

I bilag I til forordning (EU) 2019/1020 indsættes følgende punkt:

»72.	Europa-Parlamentets og Rådets forordning (EU) 2024/2847.

Artikel 67

Ændring af direktiv (EU) 2020/1828

I bilag I til direktiv (EU) 2020/1828 tilføjes følgende punkt:

»69.	Europa-Parlamentets og Rådets forordning (EU) 2024/2847.

Artikel 68

Ændring af forordning (EU) nr. 168/2013

I tabellen i del C i bilag II til Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 tilføjes følgende punkt:

»

| 16 | 18 | beskyttelse af køretøjer mod cyberangreb | | x | x | x | x | x | x | x | x | x | x | x | x | x | X | | -- | -- | ---------------------------------------- | | - | - | - | - | - | - | - | - | - | - | - | - | - | - |

«

Artikel 69

Overgangsbestemmelser

1. Udstedte EU-typeafprøvningsattester og afgørelser om godkendelse vedrørende cybersikkerhedskrav til produkter med digitale elementer, der er omfattet af anden EU-harmoniseringslovgivning end denne forordning, forbliver gyldige indtil 11. juni 2028, medmindre de udløber inden denne dato, eller medmindre andet er angivet i sådan anden EU-harmoniseringslovgivning, i hvilket tilfælde de forbliver gyldige som omhandlet i den pågældende lovgivning.

2. Produkter med digitale elementer, der er bragt i omsætning inden den 11. december 2027, er kun omfattet af kravene i denne forordning, hvis disse produkter fra denne dato er genstand for væsentlige ændringer.

3. Uanset denne artikels stk. 2 finder de forpligtelser, der er fastsat i artikel 14, anvendelse på alle produkter med digitale elementer, der er omfattet af denne forordnings anvendelsesområde, og som er bragt i omsætning inden den 11. december 2027.

Artikel 70

Evaluering og revision

1. Senest den 11. december 2030 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om evaluering og revision af denne forordning. Disse rapporter offentliggøres.

2. Senest den 11. september 2028 forelægger Kommissionen efter høring af ENISA og CSIRT-netværket en rapport for Europa-Parlamentet og Rådet med en vurdering af effektiviteten af den fælles indberetningsplatform, der er fastsat i artikel 16, og indvirkningen af anvendelsen af de cybersikkerhedsrelaterede grunde, der er omhandlet i artikel 16, stk. 2, af de CSIRT'er, der er udpeget som koordinatorer, på effektiviteten af den fælles indberetningsplatform for så vidt angår rettidig formidling af modtagne underretninger til andre relevante CSIRT'er.

Artikel 71

Ikrafttræden og anvendelse

1. Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2. Denne forordning finder anvendelse fra den 11. december 2027.

Artikel 14 finder dog anvendelse fra den 11. september 2026, og kapitel IV (artikel 35 til 51) finder anvendelse fra den 11. juni 2026.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Strasbourg, den 23. oktober 2024.

På Europa-Parlamentets vegne

R. METSOLA

Formand

På Rådets vegne

ZSIGMOND B. P.

Formand

---

EUT C 100 af 16.3.2023, s. 101.

Europa-Parlamentets holdning af 12.3.2024 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 10.10.2024.

Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).

Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80).

Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).

EUT C 67 af 8.2.2022, s. 81.

Europa-Parlamentets og Rådets direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (EUT L 94 af 28.3.2014, s. 65).

Europa-Parlamentets og Rådets direktiv 2014/25/EU af 26. februar 2014 om fremgangsmåderne ved indgåelse af kontrakter inden for vand- og energiforsyning, transport samt posttjenester og om ophævelse af direktiv 2004/17/EF (EUT L 94 af 28.3.2014, s. 243).

Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af 5.5.2017, s. 176).

Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til typegodkendelse af motorkøretøjer og påhængskøretøjer dertil samt systemer, komponenter og separate tekniske enheder til sådanne køretøjer for så vidt angår deres generelle sikkerhed og beskyttelsen af køretøjspassagerer og bløde trafikanter og om ændring af Europa-Parlamentets og Rådets forordning (EU) 2018/858 og ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 78/2009, forordning (EF) nr. 79/2009 og forordning (EF) nr. 661/2009 og Kommissionens forordning (EF) nr. 631/2009, (EU) nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr. 1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011, (EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012, (EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 og (EU) 2015/166 (EUT L 325 af 16.12.2019, s. 1).

EUT L 82 af 9.3.2021, s. 30.

Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (EUT L 212 af 22.8.2018, s. 1).

Kommissionens delegerede forordning (EU) 2022/30 af 29. oktober 2021 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2014/53/EU for så vidt angår anvendelsen af de væsentlige krav, der er omhandlet i nævnte direktivs artikel 3, stk. 3, litra d), e) og f) (EUT L 7 af 12.1.2022, s. 6).

Europa-Parlamentets og Rådets direktiv 2014/53/EU af 16. april 2014 om harmonisering af medlemsstaternes love om tilgængeliggørelse af radioudstyr på markedet og om ophævelse af direktiv 1999/5/EF (EUT L 153 af 22.5.2014, s. 62).

Europa-Parlamentets og Rådets direktiv (EU) 2024/2853 af 23. oktober 2024 om produktansvar og om ophævelse af Rådets direktiv 85/374/EØF (EUT L, 2024/2853, 18.11.2024, ELI: http://data.eur...).

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).

Europa-Parlamentets og Rådets forordning (EU) 2024/1781 af 13. juni 2024 om fastlæggelse af en ramme for fastsættelse af krav til miljøvenligt design for bæredygtige produkter, om ændring af direktiv (EU) 2020/1828 og forordning (EU) 2023/1542 og om ophævelse af direktiv 2009/125/EF (EUT L, 2024/1781, 28.6.2024, ELI: http://data.euro...).

Kommissionens gennemførelsesforordning (EU) 2024/482 af 31. januar 2024 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/881 for så vidt angår vedtagelsen af den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC) (EUT L, 2024/482, 7.2.2024, ELI: http://data.europa...).

Europa-Parlamentets og Rådets forordning (EU) 2023/988 af 10. maj 2023 om produktsikkerhed i almindelighed, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 og Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2001/95/EF og Rådets direktiv 87/357/EØF (EUT L 135 af 23.5.2023, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.euro...).

Kommissionens henstilling (EU) 2019/534 af 26. marts 2019 Cybersikkerheden i forbindelse med 5G-net (EUT L 88 af 29.3.2019, s. 42).

Europa-Parlamentets og Rådets forordning (EU) 2023/1230 af 14. juni 2023 om maskiner og om ophævelse af Europa-Parlamentets og Rådets direktiv 2006/42/EF og af Rådets direktiv 73/361/EØF (EUT L 165 af 29.6.2023, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1).

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning og produktoverensstemmelse og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og (EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1).

Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).

Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og om ophævelse af forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF af 9. juli 2008 om fælles rammer for markedsføring af produkter og om ophævelse af Rådets afgørelse 93/465/EØF (EUT L 218 af 13.8.2008, s. 82).

EUT L 123 af 12.5.2016, s. 1.

Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13, ELI: data.europa.eu/eli/reg/2011/182/oj).

Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 af 25. november 2020 om adgang til anlæggelse af gruppesøgsmål til beskyttelse af forbrugernes kollektive interesser og om ophævelse af direktiv 2009/22/EF (EUT L 409 af 4.12.2020, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

EUT C 452 af 29.11.2022, s. 23.

Europa-Parlamentets og Rådets direktiv 2014/90/EU af 23. juli 2014 om skibsudstyr og om ophævelse af Rådets direktiv 96/98/EF (EUT L 257 af 28.8.2014, s. 146).

Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse (EUT L 157 af 15.6.2016, s. 1).

Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 af 15. januar 2013 om godkendelse og markedsovervågning af to- og trehjulede køretøjer samt quadricykler (EUT L 60 af 2.3.2013, s. 52).

---

BILAG I

VÆSENTLIGE CYBERSIKKERHEDSKRAV

Del I Cybersikkerhedskrav vedrørende egenskaberne ved produkter med digitale elementer

| | 1) | Produkter med digitale elementer skal designes, udvikles og produceres på en sådan måde, at de sikrer et passende cybersikkerhedsniveau baseret på risiciene. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 2) | På grundlag af den cybersikkerhedsrisikovurdering, der er omhandlet i artikel 13, stk. 2, og hvor det er relevant, skal produkter med digitale elementer: a) gøres tilgængelige på markedet uden kendte sårbarheder, der kan udnyttes b) gøres tilgængelige på markedet med en sikker konfiguration som standard, medmindre andet er aftalt mellem fabrikanten og erhvervsbrugeren i forbindelse med et skræddersyet produkt med digitale elementer, herunder muligheden for at nulstille produktet til dets oprindelige tilstand c) sikre, at sårbarheder kan afhjælpes gennem sikkerhedsopdateringer, herunder, hvor det er relevant, ved hjælp af automatiske sikkerhedsopdateringer, der som standardindstilling installeres, inden for en passende tidsramme, med en klar og brugervenlig fravalgsmekanisme og gennem underretning af brugerne om tilgængelige opdateringer og muligheden for midlertidigt at udsætte dem d) sikre beskyttelse mod uautoriseret adgang ved hjælp af passende kontrolmekanismer, herunder, men ikke begrænset til, autentificerings-, identitets- eller adgangsstyringssystemer, og give melding om mulig ikkeautoriseret adgang e) beskytte fortroligheden af opbevarede, videresendte eller på anden måde behandlede personoplysninger eller andre data, såsom ved at kryptere relevante data i hvile eller i transit ved brug af mekanismer på det aktuelle tekniske niveau og ved brug af andre tekniske midler f) beskytte integriteten af opbevarede, videresendte eller på anden måde behandlede personoplysninger eller andre data, kommandoer, programmer og konfigurationer mod enhver manipulation eller ændring, som brugeren ikke har givet tilladelse til, og give melding om korruption g) kun behandle personoplysninger eller andre data, der er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til det tilsigtede formål med produktet med digitale elementer (»dataminimering«) h) beskytte tilgængeligheden af væsentlige og grundlæggende funktioner, også efter en hændelse, herunder gennem modstandsdygtigheds- og afbødningsforanstaltninger mod denial of service-angreb i) minimere den negative indvirkning af selve produkterne eller forbundne enheder på tilgængeligheden af tjenester, der leveres af andre enheder eller netværk j) designes, udvikles og produceres med henblik på at begrænse angrebsflader, herunder eksterne grænseflader k) designes, udvikles og produceres med henblik på at mindske virkningen af en hændelse ved hjælp af passende mekanismer og teknikker til begrænsning af udnyttelsen l) levere sikkerhedsrelaterede oplysninger ved at registrere og overvåge relevante interne aktiviteter, herunder adgang til eller ændring af data, tjenester eller funktioner, med en fravalgsmekanisme for brugeren m) give brugerne mulighed for på sikker og nem vis at fjerne alle data og indstillinger på permanent basis og, hvis sådanne data kan overføres til andre produkter eller systemer, sikre, at dette gøres på en sikker måde. | | | -- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

Del II Krav til håndtering af sårbarheder

Fabrikanter af produkter med digitale elementer skal:

---

BILAG II

OPLYSNINGER OG ANVISNINGER TIL BRUGEREN

Produktet med digitale elementer skal som minimum ledsages af:

1.	Fabrikantens navn, registrerede firmanavn eller registrerede varemærke og postadresse, e-mailadresse eller andre digitale kontaktoplysninger samt, hvis et sådant foreligger, det websted, hvor fabrikanten kan kontaktes

2.	det centrale kontaktpunkt, hvor oplysninger om sårbarheder i produktet med digitale elementer kan indberettes og modtages, og hvor fabrikantens politik for koordineret offentliggørelse af sårbarheder kan findes

3.	navn og type og eventuelle yderligere oplysninger, der gør det muligt entydigt at identificere produktet med digitale elementer

4.	det tilsigtede formål med produktet med digitale elementer, herunder det sikkerhedsmiljø, som fabrikanten leverer, samt produktets væsentlige funktioner og oplysninger om sikkerhedsegenskaberne

5.	alle kendte eller forudsigelige omstændigheder vedrørende anvendelsen af produktet med digitale elementer i overensstemmelse med dets tilsigtede formål eller ved fejlanvendelse, der med rimelighed kan forudses, der kan medføre betydelige cybersikkerhedsrisici

6.	i givet fald den internetadresse, hvor der er adgang til EU-overensstemmelseserklæringen

7.	den type tekniske sikkerhedsstøtte, som fabrikanten tilbyder, og slutdatoen for den supportperiode, hvor brugerne kan forvente, at sårbarheder håndteres, og hvor brugerne kan forvente at modtage sikkerhedsopdateringer

8.

detaljerede anvisninger eller en internetadresse med henvisning til sådanne detaljerede anvisninger og oplysninger om: a) de nødvendige foranstaltninger ved første ibrugtagning og i hele levetiden for produktet med digitale elementer for at sikre en sikker anvendelse heraf b) hvordan ændringer af produktet med digitale elementer kan påvirke datasikkerheden c) hvordan sikkerhedsrelevante opdateringer kan installeres d) sikker nedlukning af produktet med digitale elementer, herunder oplysninger om, hvordan brugerdata kan fjernes sikkert e) hvordan den standardindstilling, der muliggør automatisk installation af sikkerhedsopdateringer som krævet af bilag I, del I, nr. 2, litra c), kan slås fra f) hvor produktet med digitale elementer er beregnet til at blive integreret i andre produkter med digitale elementer, de oplysninger, der er nødvendige for, at integratoren kan opfylde de væsentlige cybersikkerhedskrav, der er fastlagt i bilag I, og de dokumentationskrav, der er fastlagt i bilag VII

9.	hvis fabrikanten beslutter at stille softwarekomponentlisten til rådighed for brugeren, oplysninger om, hvor softwarekomponentlisten kan tilgås.

---

BILAG III

VIGTIGE PRODUKTER MED DIGITALE ELEMENTER

Klasse I

| | 1. | Software og hardware til identitetsstyringssystemer og til styring af privilegeret adgang, herunder autentificerings- og adgangskontrollæsere, herunder biometriske læsere | | | -- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 2. | Enkeltstående og indlejrede browsere | | | -- | ------------------------------------ |

| | 3. | Adgangskoder | | | -- | ------------ |

| | 4. | Software, der søger efter, fjerner eller sætter ondsindet software i karantæne | | | -- | ------------------------------------------------------------------------------ |

| | 5. | Produkter med digitale elementer, der fungerer som et virtuelt privat netværk (VPN) | | | -- | ----------------------------------------------------------------------------------- |

| | 6. | Netstyringssystemer | | | -- | ------------------- |

| | 7. | Systemer til sikkerhedsinformations- og hændelseshåndtering (SIEM) | | | -- | ------------------------------------------------------------------ |

| | 8. | Boot managers | | | -- | ------------- |

| | 9. | Public key-infrastruktur og software for udstedelse af digitale certifikater | | | -- | ---------------------------------------------------------------------------- |

| | 10. | Fysiske og virtuelle netværksgrænseflader | | | --- | ----------------------------------------- |

| | 11. | Operativsystemer | | | --- | ---------------- |

| | 12. | Routere, modemmer til internetforbindelse og afbrydere | | | --- | ------------------------------------------------------ |

| | 13. | Mikroprocessorer med sikkerhedsrelaterede funktioner | | | --- | ---------------------------------------------------- |

| | 14. | Mikrocontrollere med sikkerhedsrelaterede funktioner | | | --- | ---------------------------------------------------- |

| | 15. | Applikationsspecifikke integrerede kredsløb (ASIC) og programmerbare porte (FPPT) med sikkerhedsrelaterede funktioner | | | --- | --------------------------------------------------------------------------------------------------------------------- |

| | 16. | Virtuelle assistenter til generelle formål i intelligente bygninger | | | --- | ------------------------------------------------------------------- |

| | 17. | Produkter til intelligente bygninger med sikkerhedsfunktioner, herunder intelligente dørlåse, sikkerhedskameraer, systemer til overvågning af spædbørn og alarmsystemer | | | --- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 18. | Internetforbundet legetøj, der er omfattet af Europa-Parlamentets og Rådets direktiv 2009/48/EF , og som har sociale interaktive funktioner (f.eks. at det kan tale eller filme), eller som har lokaliseringsfunktioner | | | --- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 19. | Personlige wearable-produkter, der skal bæres af eller anbringes på et menneskelegeme, og som har et sundhedsovervågningsformål (såsom sporing), og som forordning (EU) 2017/745 eller (EU) 2017/746 ikke finder anvendelse på, eller personlige wearable-produkter, der skal anvendes af og til børn. | | | --- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

Klasse II

| | 1. | Hypervisorer og container runtime-systemer, der understøtter virtuel udførelse af operativsystemer og lignende miljøer | | | -- | ---------------------------------------------------------------------------------------------------------------------- |

| | 2. | Firewalls, systemer til opdagelse og forebyggelse af indtrængen | | | -- | --------------------------------------------------------------- |

| | 3. | Mikroprocessorer, der er sikret mod manipulation | | | -- | ------------------------------------------------ |

| | 4. | Mikrocontrollere, der er sikret mod manipulation. | | | -- | ------------------------------------------------- |

---

Europa-Parlamentets og Rådets direktiv 2009/48/EF af 18. juni 2009 om sikkerhedskrav til legetøj (EUT L 170 af 30.6.2009, s. 1).

---

BILAG IV

KRITISKE PRODUKTER MED DIGITALE ELEMENTER

1.

Hardwareenheder med sikkerhedsbokse.

2.

Gateways til intelligente målere inden for intelligente målersystemer som defineret i artikel 2, nr. 23), i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 og andre enheder til avancerede sikkerhedsformål, herunder til sikker krypteringsbehandling.

3.

Smartcards eller lignende enheder, herunder sikre elementer.

---

Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU (EUT L 158 af 14.6.2019, s. 125).

---

BILAG V

EU-OVERENSSTEMMELSESERKLÆRING

Den i artikel 28 omhandlede EU-overensstemmelseserklæring skal indeholde følgende oplysninger:

1.	Navn og type og eventuelle yderligere oplysninger, der gør det muligt entydigt at identificere produktet med digitale elementer.

2.	Navn og adresse på fabrikanten eller dennes bemyndigede repræsentant.

3.	En erklæring om, at EU-overensstemmelseserklæringen udstedes på udbyderens eksklusive ansvar.

4.	Erklæringens genstand (identifikation af produktet med digitale elementer, så det kan spores, hvilket kan omfatte et foto, hvor det er relevant).

5.	En erklæring om, at genstanden for erklæringen beskrevet ovenfor er i overensstemmelse med den relevante EU-harmoniseringslovgivning.

6.	Henvisninger til de relevante anvendte harmoniserede standarder eller referencer til anden fælles specifikation eller cybersikkerhedscertificering, som der erklæres overensstemmelse med.

7.	Hvis det er relevant, navnet og nummeret på det bemyndigede organ, en beskrivelse af den udførte overensstemmelsesvurderingsprocedure og identifikation af den udstedte attest.

8.	Yderligere oplysninger: Underskrevet for og på vegne af: (udstedelsessted og -dato): (navn, stilling) (underskrift):

---

BILAG VI

FORENKLET EU-OVERENSSTEMMELSESERKLÆRING

Den i artikel 13, stk. 20, omhandlede forenklede EU-overensstemmelseserklæring udformes som følger:

| | … [fabrikantens navn] erklærer herved, at typen af produktet med digitale elementer … [betegnelse for type af produkt med digitale elementer] er i overensstemmelse med forordning (EU) 2024/2847 . | | | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

| | EU-overensstemmelseserklæringens fulde tekst kan findes på følgende internetadresse: … | | | -------------------------------------------------------------------------------------- |

---

EUT L, 2024/2847, 20.11.2024, ELI: http://data.eur....

---

BILAG VII

INDHOLD AF DEN TEKNISKE DOKUMENTATION

Den i artikel 31 omhandlede tekniske dokumentation skal som minimum indeholde følgende oplysninger, alt efter hvad der er relevant for det pågældende produkt med digitale elementer:

1.

en generel beskrivelse af produktet med digitale elementer, herunder: a) dets tilsigtede formål b) softwareversioner, der påvirker overholdelsen af de væsentlige cybersikkerhedskrav c) hvis produktet med digitale elementer er et hardwareprodukt, fotografier eller illustrationer af dets eksterne elementer, mærkninger og intern indretning d) oplysninger og anvisninger til brugeren som anført bilag II

2.

en beskrivelse af design, udvikling og produktion af produktet med digitale elementer og af sårbarhedshåndteringsprocesser, herunder: a) nødvendige oplysninger om design og udvikling af produktet med digitale elementer, herunder i givet fald tegninger og skemaer og en beskrivelse af systemarkitekturen, der forklarer, hvordan softwarekomponenter bygger på eller indgår i hinanden og integreres i den samlede behandling b) nødvendige oplysninger om og specifikationer for de sårbarhedshåndteringsprocesser, som fabrikanten har indført, herunder softwarekomponentlisten, politikken for koordineret offentliggørelse af sårbarheder, dokumentation for angivelse af en kontaktadresse til indberetning af sårbarheder og en beskrivelse af de tekniske løsninger, der er valgt til sikker distribution af opdateringer c) nødvendige oplysninger om og specifikationer for produktions- og overvågningsprocesserne for produktet med digitale elementer og validering af disse processer

3.	en vurdering af de cybersikkerhedsrisici, som produktet med digitale elementer i henhold til artikel 13 designes, udvikles, produceres, leveres og vedligeholdes til at beskytte imod, herunder hvordan de væsentlige cybersikkerhedskrav i bilag I, del 1, finder anvendelse

4.	relevante oplysninger, der blev taget i betragtning ved fastlæggelsen af supportperioden i henhold til artikel 13, stk. 8, for produktet med digitale elementer

5.

en liste over de helt eller delvist anvendte harmoniserede standarder, hvis referencer er offentliggjort i Den Europæiske Unions Tidende, fælles specifikationer som fastsat i denne forordnings artikel 27 eller europæiske cybersikkerhedscertificeringsordninger, der er vedtaget i henhold til forordning (EU) 2019/881 i henhold til nærværende forordnings artikel 27, stk. 8, og, hvor disse harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger ikke er blevet anvendt, beskrivelser af de løsninger, der er anvendt for at opfylde de væsentlige cybersikkerhedskrav i bilag I, del I og II, herunder en liste over andre relevante tekniske specifikationer, som er anvendt. I tilfælde af delvis anvendelse af harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger skal den tekniske dokumentation angive, hvilke dele der er anvendt

6.	rapporter om de afprøvninger, der er foretaget for at kontrollere, at produktet med digitale elementer og sårbarhedshåndteringsprocesserne opfylder de gældende væsentlige cybersikkerhedskrav som fastsat i bilag I, del I og II

7.	en kopi af EU-overensstemmelseserklæringen

8.	i givet fald softwarekomponentlisten efter en begrundet anmodning fra en markedsovervågningsmyndighed, forudsat at det er nødvendigt for, at denne myndighed kan kontrollere overholdelsen af de væsentlige cybersikkerhedskrav i bilag I.

---

BILAG VIII

OVERENSSTEMMELSESVURDERINGSPROCEDURER

Del I Overensstemmelsesvurderingsprocedure på grundlag af intern kontrol (baseret på modul A)

| | 1. | Intern kontrol er den procedure for overensstemmelsesvurdering, hvorved fabrikanten opfylder forpligtelserne i denne dels punkt 2, 3 og 4 og på eget eksklusive ansvar sikrer og erklærer, at produkterne med digitale elementer opfylder alle de væsentlige cybersikkerhedskrav i bilag I, del I, og at fabrikanten opfylder de væsentlige cybersikkerhedskrav i bilag I, del II. | | | -- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 2. | Fabrikanten udarbejder den tekniske dokumentation, der er beskrevet i bilag VII. | | | -- | -------------------------------------------------------------------------------- |

| | 3. | Design, udvikling, produktion og håndtering af sårbarheder i produkter med digitale elementer Fabrikanten træffer alle nødvendige foranstaltninger for, at det i forbindelse med design, udvikling og produktion og sårbarhedshåndteringsprocesserne og overvågningen heraf sikres, at de fremstillede eller udviklede produkter med digitale elementer og de procedurer, som fabrikanten har indført, opfylder de væsentlige cybersikkerhedskrav i bilag I, del I og II. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 4. | Overensstemmelsesmærkning og overensstemmelseserklæring 4.1. Fabrikanten anbringer CE-mærkningen på hvert enkelt produkt med digitale elementer, der opfylder kravene i denne forordning. 4.2. Fabrikanten udarbejder en skriftlig EU-overensstemmelseserklæring for hvert enkelt produkt med digitale elementer i overensstemmelse med artikel 28 og opbevarer den sammen med den tekniske dokumentation, så den står til rådighed for de nationale myndigheder i ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst. Det skal af EU-overensstemmelseserklæringen fremgå, hvilket produkt med digitale elementer den vedrører. Et eksemplar af EU-overensstemmelseserklæringen stilles efter anmodning til rådighed for de relevante myndigheder. | | | -- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 5. | Bemyndigede repræsentanter Fabrikantens forpligtelser i punkt 4 kan opfyldes af dennes bemyndigede repræsentant på fabrikantens vegne og ansvar, forudsat at de relevante forpligtelser er angivet i fuldmagten. | | | -- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

Del II EU-typeafprøvning (baseret på modul B)

| | 1. | EU-typeafprøvning er den del af overensstemmelsesvurderingsproceduren, hvor et bemyndiget organ undersøger det tekniske design og udviklingen af et produkt med digitale elementer og de sårbarhedshåndteringsprocesser, som fabrikanten har indført, og attesterer, at et produkt med digitale elementer opfylder de væsentlige cybersikkerhedskrav i bilag I, del I, og at fabrikanten opfylder de væsentlige cybersikkerhedskrav i bilag I, del II. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

| | 2. | EU-typeafprøvning udføres som en vurdering af egnetheden af det tekniske design og udviklingen af et produkt med digitale elementer ved undersøgelse af den tekniske dokumentation og den støttedokumentation, der er omhandlet i punkt 3, samt undersøgelse af prøveeksemplarer af en eller flere kritiske dele af produktet (kombination af produktionstype og designtype) | | | -- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 3. | Fabrikanten indgiver ansøgning om EU-typeafprøvning til et enkelt bemyndiget organ efter eget valg. Ansøgningen skal indeholde: 3.1. fabrikantens navn og adresse samt, hvis ansøgningen indgives af den bemyndigede repræsentant, denne bemyndigede repræsentants navn og adresse 3.2. en skriftlig erklæring om, at samme ansøgning ikke er indgivet til et andet bemyndiget organ 3.3. den tekniske dokumentation, der skal gøre det muligt at vurdere, om produktet med digitale elementer er i overensstemmelse med de gældende væsentlige cybersikkerhedskrav i bilag I, del I, og fabrikantens sårbarhedshåndteringsprocesser i bilag I, del II, og skal indeholde en fyldestgørende analyse og vurdering af risiciene. Den tekniske dokumentation skal angive de gældende krav og skal, i det omfang det er relevant for vurderingen, omfatte designet, fremstillingen og brugen af produktet med digitale elementer. Den tekniske dokumentation skal, hvor det er relevant, mindst indeholde de elementer, der er anført i bilag VII 3.4. støttedokumentationen, der viser egnetheden af de tekniske design- og udviklingsløsninger og sårbarhedshåndteringsprocesserne. I denne støttedokumentation skal nævnes al dokumentation, der er blevet anvendt, særlig hvis de relevante harmoniserede standarder eller tekniske specifikationer ikke er blevet anvendt fuldt ud. I støttedokumentationen skal om nødvendigt indgå resultaterne af afprøvninger, som er blevet foretaget af fabrikantens laboratorium eller af et andet afprøvningslaboratorium på fabrikantens vegne og ansvar. | | | -- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 4. | Det bemyndigede organ skal træffe følgende foranstaltninger: 4.1. undersøge den tekniske dokumentation og støttedokumentationen for at vurdere tilstrækkeligheden af det tekniske design og udviklingen af produktet med digitale elementer for så vidt angår de væsentlige cybersikkerhedskrav i bilag I, del I, og af de sårbarhedshåndteringsprocesser, som fabrikanten har indført, for så vidt angår de væsentlige cybersikkerhedskrav i bilag I, del II 4.2. kontrollere, at prøveeksemplarer er udviklet og fremstillet i overensstemmelse med den tekniske dokumentation, og fastslå, hvilke elementer der er designet og udviklet i overensstemmelse med de relevante bestemmelser i de pågældende harmoniserede standarder eller tekniske specifikationer, samt hvilke elementer der er designet og udviklet uden anvendelse af de relevante bestemmelser i disse standarder 4.3. foretage eller lade foretage de nødvendige undersøgelser og afprøvninger til at kontrollere, at de relevante harmoniserede standarder eller tekniske specifikationer for kravene i bilag I er blevet anvendt korrekt, såfremt fabrikanten har valgt at anvende de løsninger, der er nævnt heri 4.4. foretage eller lade foretage de nødvendige undersøgelser og afprøvninger til at kontrollere, at fabrikantens løsninger opfylder de væsentlige cybersikkerhedskrav, såfremt fabrikanten ikke har anvendt de løsninger, der er omhandlet i de relevante harmoniserede standarder eller tekniske specifikationer for kravene i bilag I 4.5. aftale med fabrikanten, hvor undersøgelserne og afprøvningerne skal foretages. | | | -- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 5. | Det bemyndigede organ udarbejder en evalueringsrapport om aktiviteterne udført i overensstemmelse med punkt 4 og resultatet af disse. Uden at dette berører det bemyndigede organs ansvar over for de bemyndigende myndigheder, offentliggør det bemyndigede organ ikke indholdet af denne rapport, hverken helt eller delvist, uden fabrikantens samtykke. | | | -- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 6. | Hvor typen og sårbarhedshåndteringsprocesserne opfylder de væsentlige cybersikkerhedskrav i bilag I, udsteder det bemyndigede organ en EU-typeafprøvningsattest til fabrikanten. Attesten skal indeholde fabrikantens navn og adresse, undersøgelsens konklusioner, eventuelle betingelser for attestens gyldighed og de oplysninger, der er nødvendige for at identificere den godkendte type og sårbarhedshåndteringsprocesserne. Attesten kan have et eller flere bilag. Attesten og bilagene dertil skal indeholde alle relevante oplysninger for at gøre det muligt at vurdere, om fremstillede eller udviklede produkter med digitale elementer er i overensstemmelse med den undersøgte type og de undersøgte sårbarhedshåndteringsprocesser, og at foretage kontrol under brug. Hvor typen og sårbarhedshåndteringsprocesserne ikke opfylder de relevante væsentlige cybersikkerhedskrav i bilag I, afviser det bemyndigede organ at udstede en EU-typeafprøvningsattest og oplyser ansøgeren herom med en detaljeret begrundelse for afslaget. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 7. | Det bemyndigede organ holder sig ajour med eventuelle ændringer i det generelt anerkendte aktuelle tekniske niveau, som tyder på, at den godkendte type og sårbarhedshåndteringsprocesserne måske ikke længere opfylder de relevante væsentlige cybersikkerhedskrav i bilag I, og beslutter, om sådanne ændringer kræver yderligere undersøgelser. I bekræftende fald underretter det bemyndigede organ fabrikanten herom. Fabrikanten underretter det bemyndigede organ, som opbevarer den tekniske dokumentation vedrørende EU-typeafprøvningsattesten, om enhver ændring af den godkendte type og sårbarhedshåndteringsprocesserne, som kan påvirke overensstemmelsen med de væsentlige cybersikkerhedskrav i bilag I eller betingelserne for attestens gyldighed. Sådanne ændringer kræver en tillægsgodkendelse i form af en tilføjelse til den oprindelige EU-typeafprøvningsattest. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

| | 8. | Det bemyndigede organ aflægger regelmæssigt kontrolbesøg for at sikre, at sårbarhedshåndteringsprocesserne som fastsat i bilag I, del II, gennemføres på passende vis. | | | -- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 9. | Hvert bemyndiget organ oplyser dets bemyndigende myndigheder om de EU-typeafprøvningsattester og tillæg hertil, som det har udstedt eller trukket tilbage, og stiller med jævne mellemrum eller efter anmodning listen over attester og eventuelle tillæg hertil, der er blevet afvist, suspenderet eller på anden måde begrænset, til rådighed for dets bemyndigende myndigheder Hvert bemyndiget organ oplyser de øvrige bemyndigede organer om de EU-typeafprøvningsattester og tillæg hertil, som det har afvist, trukket tilbage, suspenderet eller på anden måde begrænset, og, efter anmodning, om attester og tillæg hertil, som det har udstedt. Kommissionen, medlemsstaterne og de øvrige bemyndigede organer kan efter anmodning få en kopi af EU-typeafprøvningsattesterne og eventuelle tillæg hertil. Efter anmodning kan Kommissionen og medlemsstaterne få en kopi af den tekniske dokumentation og resultaterne af de undersøgelser, som det bemyndigede organ har foretaget. Det bemyndigede organ opbevarer en kopi af EU-typeafprøvningsattesten, bilagene og tillæggene hertil samt den tekniske dokumentation, herunder den dokumentation, som fabrikanten har indgivet, indtil udløbet af attestens gyldighedsperiode. | | | -- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 10. | Fabrikanten opbevarer en kopi af EU-typeafprøvningsattesten, bilagene og tillæggene hertil samt den tekniske dokumentation, så disse dokumenter står til rådighed for de nationale myndigheder i ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst. | | | --- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

| | 11. | Fabrikantens bemyndigede repræsentant kan indgive den i punkt 3 omhandlede ansøgning og opfylde de i punkt 7 og 10 omhandlede forpligtelser, forudsat at de relevante forpligtelser er angivet i fuldmagten. | | | --- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

Del III Typeoverensstemmelse på grundlag af intern produktionskontrol (baseret på modul C)

| | 1. | Typeoverensstemmelse på grundlag af intern produktionskontrol er den del af overensstemmelsesvurderingsproceduren, hvorved fabrikanten opfylder forpligtelser i denne dels punkt 2 og 3 og sikrer og erklærer, at produkterne med digitale elementer er i overensstemmelse med den type, der er beskrevet i EU-typeafprøvningsattesten, og opfylder de væsentlige cybersikkerhedskrav i bilag I, del I, og at fabrikanten opfylder de væsentlige cybersikkerhedskrav i bilag I, del II. | | | -- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 2. | Produktion Fabrikanten træffer alle nødvendige foranstaltninger for, at det ved produktionen og overvågningen heraf sikres, at de fremstillede produkter med digitale elementer er i overensstemmelse med den godkendte type beskrevet i EU-typeafprøvningsattesten og opfylder de væsentlige cybersikkerhedskrav i bilag I, del I, og sikrer, at fabrikanten opfylder de væsentlige cybersikkerhedskrav i bilag I, del II. | | | -- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 3. | Overensstemmelsesmærkning og overensstemmelseserklæring 3.1. Fabrikanten anbringer CE-mærkningen på hvert enkelt produkt med digitale elementer, som er i overensstemmelse med typen beskrevet i EU-typeafprøvningsattesten, og som opfylder de relevante krav i denne forordning. 3.2. Fabrikanten udarbejder en skriftlig overensstemmelseserklæring for hver produktmodel og opbevarer den, så den står til rådighed for de nationale myndigheder i ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst. Det skal af overensstemmelseserklæringen fremgå, hvilken produktmodel den vedrører. Et eksemplar af overensstemmelseserklæringen stilles efter anmodning til rådighed for de relevante myndigheder. | | | -- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 4. | Bemyndiget repræsentant Fabrikantens forpligtelser i henhold til punkt 3 kan opfyldes af dennes bemyndigede repræsentant på fabrikantens vegne og ansvar, forudsat at de relevante forpligtelser er angivet i fuldmagten. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

Del IV Overensstemmelse på grundlag af fuld kvalitetssikring (baseret på modul H)

| | 1. | Overensstemmelse på grundlag af fuld kvalitetssikring er den procedure for overensstemmelsesvurdering, hvorved fabrikanten opfylder forpligtelserne i denne dels punkt 2 og 5 og på eget eksklusive ansvar sikrer og erklærer, at de pågældende produkter med digitale elementer eller produktkategorier opfylder de væsentlige cybersikkerhedskrav i bilag I, del I, og at de sårbarhedshåndteringsprocesser, som fabrikanten har indført, opfylder kravene i bilag I, del II. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 2. | Design, udvikling, produktion og håndtering af sårbarheder i produkter med digitale elementer Fabrikanten skal ved design, udvikling og endelig produktinspektion og -afprøvning af de pågældende produkter med digitale elementer og ved håndtering af sårbarheder anvende et godkendt kvalitetsstyringssystem som angivet i punkt 3, sikre dets effektivitet i hele supportperioden og være underlagt overvågning som angivet i punkt 4. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

| | 3. | Kvalitetsstyringssystem 3.1. Fabrikanten indgiver en ansøgning om vurdering af kvalitetsstyringssystemet for de pågældende produkter med digitale elementer til et bemyndiget organ efter eget valg. Ansøgningen skal indeholde: a) fabrikantens navn og adresse samt, hvis ansøgningen indgives af den bemyndigede repræsentant, denne bemyndigede repræsentants navn og adresse b) den tekniske dokumentation for en model af hver kategori af produkter med digitale elementer, der påtænkes fremstillet eller udviklet. Den tekniske dokumentation skal, hvor det er relevant, mindst indeholde de elementer, der er anført i bilag VII c) dokumentation vedrørende kvalitetsstyringssystemet, og d) en skriftlig erklæring om, at samme ansøgning ikke er blevet indgivet til et andet bemyndiget organ. 3.2. Kvalitetsstyringssystemet skal sikre, at produkterne med digitale elementer opfylder de væsentlige cybersikkerhedskrav i bilag I, del I, og at de sårbarhedshåndteringsprocesser, som fabrikanten har indført, opfylder kravene i bilag I, del II. Alle de forhold, krav og bestemmelser, som fabrikanten har taget hensyn til, skal dokumenteres på en systematisk og overskuelig måde i form af skriftlige politikker, procedurer og anvisninger. Dokumentationen vedrørende kvalitetsstyringssystemet skal sikre, at kvalitetsprogrammer, -planer, -manualer og -registreringer fortolkes ens. Den skal navnlig indeholde en fyldestgørende beskrivelse af: a) kvalitetsmålsætningerne og organisationsstrukturerne samt ledelsens ansvar og beføjelser med hensyn til design, udvikling, fremstilling, produktkvalitet og håndtering af sårbarheder b) de tekniske design- og udviklingsspecifikationer, herunder standarder, som vil blive anvendt, og, hvor de relevante harmoniserede standarder eller tekniske specifikationer ikke vil blive anvendt fuldt ud, de metoder, der vil blive anvendt til at sikre, at de væsentlige cybersikkerhedskrav i bilag I, del I, der gælder for produkterne med digitale elementer, vil blive opfyldt c) de proceduremæssige specifikationer, herunder standarder, som vil blive anvendt, og, hvor de relevante harmoniserede standarder eller tekniske specifikationer ikke vil blive anvendt fuldt ud, de metoder, der vil blive anvendt til at sikre, at de væsentlige cybersikkerhedskrav i bilag I, del II, der gælder for fabrikanten, vil blive opfyldt d) de teknikker og processer og systematiske foranstaltninger til design- og udviklingskontrol og -verifikation, der vil blive anvendt ved design og udvikling af produkter med digitale elementer, der henhører under den pågældende produktkategori e) de teknikker, fremgangsmåder og systematiske foranstaltninger, der vil blive anvendt ved produktion, kvalitetskontrol og kvalitetssikring f) de undersøgelser og afprøvninger, der skal udføres før, under og efter produktionen, og den hyppighed, hvormed dette sker g) kvalitetsregistreringerne såsom inspektionsrapporter og afprøvningsdata, kalibreringsdata og rapporter vedrørende det berørte personales kvalifikationer h) metoderne til kontrol af, at den krævede design- og produktkvalitet er opnået, og at kvalitetsstyringssystemet fungerer effektivt. 3.3. Det bemyndigede organ vurderer kvalitetsstyringssystemet for at fastslå, om det opfylder de i punkt 3.2 omhandlede krav. De elementer i kvalitetsstyringssystemet, som overholder de relevante specifikationer i den nationale standard, der gennemfører den relevante harmoniserede standard eller tekniske specifikation, skal af det bemyndigede organ anses for at opfylde kravene. Ud over erfaring med kvalitetsstyringssystemer skal kontrolholdet have mindst ét medlem med erfaring i vurdering på det relevante produktområde og inden for den pågældende produktteknologi og have viden om de gældende krav i denne forordning. Kontrollen skal indbefatte et besøg på fabrikantens eventuelle anlæg. Kontrolholdet skal gennemgå den tekniske dokumentation, der er omhandlet i punkt 3.1, litra b), med henblik på at kontrollere fabrikantens evne til at fastslå de relevante krav i denne forordning og foretage de nødvendige undersøgelser for at sikre, at produktet med digitale elementer overholder disse krav. Afgørelsen meddeles fabrikanten eller dennes bemyndigede repræsentant. Meddelelsen skal indeholde resultaterne af kontrollen og begrundelsen for afgørelsen. 3.4. Fabrikanten forpligter sig til at opfylde de forpligtelser, der stammer fra kvalitetsstyringssystemet, således som det er godkendt, og til at vedligeholde det, således at det forbliver hensigtsmæssigt og effektivt. 3.5. Fabrikanten underretter det bemyndigede organ, som har godkendt kvalitetsstyringssystemet, om enhver påtænkt ændring af systemet. Det bemyndigede organ evaluerer de foreslåede ændringer og afgør, om det ændrede kvalitetsstyringssystem stadig opfylder de i punkt 3.2 omhandlede krav, eller om en fornyet vurdering er nødvendig. Det bemyndigede organ meddeler fabrikanten sin afgørelse. Meddelelsen skal indeholde resultaterne af undersøgelsen og en begrundelse for afgørelsen. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

| | 4. | Overvågning under det bemyndigede organs ansvar 4.1. Formålet med overvågningen er at sikre, at fabrikanten behørigt opfylder de forpligtelser der stammer fra det godkendte kvalitetssystem. 4.2. Fabrikanten skal med henblik på kontrol give det bemyndigede organ adgang til design-, udviklings-, produktions-, inspektions-, afprøvnings- og lagerfaciliteterne og give det alle nødvendige oplysninger, navnlig: a) dokumentation om kvalitetsstyringssystemet b) kvalitetsregistreringer som fastsat i konstruktionsdelen af kvalitetsstyringssystemet, herunder resultater af analyser, beregninger og afprøvninger c) kvalitetsregistreringer som fastsat i produktionsdelen af kvalitetsstyringssystemet såsom inspektionsrapporter og afprøvningsdata, kalibreringsdata og rapporter om personalets kvalifikationer. 4.3. Det bemyndigede organ aflægger jævnligt kontrolbesøg for at sikre, at fabrikanten opretholder og anvender kvalitetsstyringssystemet, og det udsteder en kontrolrapport til fabrikanten. | | | -- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 5. | Overensstemmelsesmærkning og overensstemmelseserklæring 5.1. Fabrikanten anbringer CE-mærkningen, og på det i punkt 3.1 omhandlede bemyndigede organs ansvar dette organs identifikationsnummer på hvert produkt med digitale elementer, som opfylder kravene i bilag I, del I. 5.2. Fabrikanten udarbejder en skriftlig overensstemmelseserklæring for hver produktmodel og opbevarer den, så den står til rådighed for de nationale myndigheder i ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst. Det skal af overensstemmelseserklæringen fremgå, hvilken produktmodel den vedrører. Et eksemplar af overensstemmelseserklæringen stilles efter anmodning til rådighed for de relevante myndigheder. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 6. | Fabrikanten skal, i mindst ti år efter at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst, kunne forelægge de nationale myndigheder: a) den i punkt 3.1 omhandlede tekniske dokumentation b) den i punkt 3.1 omhandlede dokumentation vedrørende kvalitetsstyringssystemet c) de i punkt 3.5 omhandlede ændringer som godkendt d) de i punkt 3.5 og 4.3 omhandlede afgørelser og rapporter fra det bemyndigede organ. | | | -- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 7. | Hvert bemyndiget organ skal underrette sine bemyndigende myndigheder om udstedte eller tilbagekaldte godkendelser af kvalitetsstyringssystemer og med jævne mellemrum eller efter anmodning stille en fortegnelse over afviste, suspenderede eller på anden måde begrænsede godkendelser af kvalitetsstyringssystemer til rådighed for sine bemyndigende myndigheder. Hvert bemyndiget organ skal underrette de øvrige bemyndigede organer om afviste, suspenderede eller tilbagekaldte godkendelser af kvalitetsstyringssystemer og, efter anmodning, om udstedte godkendelser af kvalitetsstyringssystemer. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 8. | Bemyndiget repræsentant Fabrikantens forpligtelser i henhold til punkt 3.1, 3.5, 5 og 6 kan opfyldes af den bemyndigede repræsentant på fabrikantens vegne og ansvar, forudsat at de relevante forpligtelser er angivet i fuldmagten. | | | -- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

Der er fremsat en erklæring/erklæringer vedrørende denne retsakt, og den kan findes i EUT C, C/2024/6786, 20.11.2024, ELI: http://data.e....

---

ELI: data.europa.eu/eli/reg/2024/2847/oj

ISSN 1977-0634 (electronic edition)

---