Overwegingen bij COM(2022)454 - Horizontale cyberbeveiligingsvereisten voor producten met digitale elementen - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2022)454 - Horizontale cyberbeveiligingsvereisten voor producten met digitale elementen. |
|---|---|
| document | COM(2022)454   |
| datum | 15 september 2022 |
(2) Deze verordening is erop gericht de randvoorwaarden te scheppen voor de ontwikkeling van veilige producten met digitale elementen door ervoor te zorgen dat hardware- en softwareproducten met minder kwetsbaarheden in de handel worden gebracht en dat fabrikanten de veiligheid gedurende de hele levenscyclus van een product serieus nemen. Zij is er ook op gericht de voorwaarden te scheppen die gebruikers in staat stellen rekening te houden met cyberbeveiliging bij het selecteren en gebruiken van producten met digitale elementen.
(3) De desbetreffende wetgeving van de Unie die momenteel van kracht is, omvat verschillende reeksen horizontale regels die betrekking hebben op bepaalde aspecten van cyberbeveiliging vanuit verschillende invalshoeken, waaronder maatregelen om de beveiliging van de digitale toeleveringsketen te verbeteren. De bestaande wetgeving van de Unie met betrekking tot cyberbeveiliging, met inbegrip van [Richtlijn XXX/XXXX (NIS2)] en Verordening (EU) 2019/881 van het Europees Parlement en de Raad 15 , heeft echter niet rechtstreeks betrekking op verplichte eisen voor de beveiliging van producten met digitale elementen.
(4) Hoewel de bestaande wetgeving van de Unie van toepassing is op bepaalde producten met digitale elementen, bestaat er geen horizontaal regelgevingskader van de Unie met uitgebreide cyberbeveiligingsvereisten voor alle producten met digitale elementen. Met de verschillende handelingen en initiatieven die tot dusver op Unie- en nationaal niveau zijn genomen, worden de vastgestelde problemen en risico’s op het gebied van cyberbeveiliging slechts gedeeltelijk aangepakt, wat leidt tot het ontstaan van een lappendeken van wetgeving binnen de interne markt, waardoor de rechtsonzekerheid voor zowel fabrikanten als gebruikers van deze producten toeneemt en bedrijven onnodig worden belast om aan een groot aantal vereisten voor soortgelijke producten te voldoen. De cyberbeveiliging van deze producten heeft een sterke grensoverschrijdende dimensie, aangezien producten die in één land worden vervaardigd, vaak door organisaties en consumenten op de gehele interne markt worden gebruikt. Dit maakt het noodzakelijk om dit gebied op het niveau van de Unie te reguleren. Het regelgevingslandschap van de Unie moet worden geharmoniseerd door cyberbeveiligingsvereisten in te voeren voor producten met digitale elementen. Daarnaast zou er moeten worden gezorgd voor rechtszekerheid voor marktdeelnemers en gebruikers in de hele Unie en voor een betere harmonisatie van de eengemaakte markt, waardoor de voorwaarden voor marktdeelnemers die de EU-markt willen betreden, worden verbeterd.
(5) Op het niveau van de Unie wordt in diverse programmatische en politieke documenten, zoals de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk 16 , de conclusies van de Raad van 2 december 2020 en 23 mei 2022 of de resolutie van het Europees Parlement van 10 juni 2021 17 , aangedrongen op specifieke cyberbeveiligingsvereisten van de Unie voor digitale of verbonden producten, in een context waarin verschillende landen over de hele wereld maatregelen nemen om dit probleem op eigen initiatief aan te pakken. In het eindverslag van de Conferentie over de toekomst van Europa 18 werd door de burgers gepleit voor “een sterkere rol voor de EU bij de bestrijding van cyberdreigingen”.
(6) Om het algemene cyberbeveiligingsniveau van alle producten met digitale elementen die op de interne markt worden gebracht, te verhogen, moeten voor deze producten doelgerichte en technologieneutrale essentiële cyberbeveiligingsvereisten worden ingevoerd die horizontaal van toepassing zijn.
(7) Onder bepaalde omstandigheden kunnen alle producten met digitale elementen die zijn geïntegreerd in of verbonden met een groter elektronisch informatiesysteem, als aanvalsvector dienen voor kwaadwillige actoren. Als gevolg daarvan kunnen zelfs hardware en software die als minder kritiek worden beschouwd, een eerste aantasting van een apparaat of netwerk vergemakkelijken, waardoor kwaadwillige actoren geprivilegieerde toegang tot een systeem kunnen krijgen of zich zijwaarts tussen systemen kunnen bewegen. Fabrikanten moeten er daarom voor zorgen dat alle producten met digitale elementen waarmee verbinding mogelijk is, worden ontworpen en ontwikkeld overeenkomstig de essentiële eisen van deze verordening. Hieronder vallen zowel producten die fysiek kunnen worden verbonden via hardware-interfaces als producten die logisch worden verbonden, zoals netwerkaansluitingen, leidingen, bestanden, applicatieprogramma-interfaces of andere soorten software-interfaces. Aangezien cyberdreigingen zich kunnen verspreiden via verschillende producten met digitale elementen voordat zij een bepaald doel treffen, bijvoorbeeld door het koppelen van meerdere exploits, moeten fabrikanten ook zorgen voor de cyberbeveiliging van producten die slechts indirect verbonden zijn met andere apparaten of netwerken.
(8) Door cyberbeveiligingsvereisten vast te stellen voor het in de handel brengen van producten met digitale elementen, zal de cyberbeveiliging van deze producten voor zowel consumenten als bedrijven worden verbeterd. Hieronder vallen ook eisen voor het in de handel brengen van consumentenproducten met digitale elementen die bestemd zijn voor kwetsbare consumenten, zoals speelgoed en babymonitors.
(9) Deze verordening waarborgt een hoog niveau van cyberbeveiliging van producten met digitale elementen. Zij heeft geen betrekking op diensten, zoals Software-as-a-Service (SaaS), met uitzondering van oplossingen voor gegevensverwerking op afstand die zijn gekoppeld aan een product met digitale elementen bedoeld voor normale gegevensverwerking op afstand, waarvoor de software is ontworpen en ontwikkeld door of onder de verantwoordelijkheid van de fabrikant van het betrokken product, bij gebreke waarvan een dergelijk product met digitale elementen een van zijn functies niet zou kunnen vervullen. [Richtlijn XXX/XXXX (NIS2)] stelt eisen vast voor cyberbeveiliging en het melden van incidenten voor essentiële en belangrijke entiteiten, zoals kritieke infrastructuur, om de veerkracht van de door hen verleende diensten te vergroten. [Richtlijn XXX/XXXX (NIS2)] is van toepassing op cloudcomputerdiensten en cloudmodellen, zoals SaaS. Alle entiteiten die cloudcomputerdiensten aanbieden in de Unie die de drempel voor middelgrote ondernemingen halen of overschrijden, vallen binnen het toepassingsgebied van die richtlijn.
(10) Om innovatie of onderzoek niet in de weg te staan, mag vrije en opensourcesoftware die buiten het kader van een handelsactiviteit wordt ontwikkeld of geleverd, niet onder deze verordening vallen. Dit geldt met name voor software, met inbegrip van de broncode en gewijzigde versies ervan, die openlijk gedeeld en vrij toegankelijk, bruikbaar, veranderbaar en herdistribueerbaar is. In de context van software omvat een handelsactiviteit mogelijk niet alleen het in rekening brengen van een prijs voor een product, maar ook het in rekening brengen van een prijs voor technische ondersteuningsdiensten, het aanbieden van een softwareplatform waarmee de fabrikant andere diensten te gelde maakt, of het gebruik van persoonsgegevens voor andere redenen dan uitsluitend de verbetering van de beveiliging, compatibiliteit of interoperabiliteit van de software.
(11) Een veilig internet is onontbeerlijk voor de werking van kritieke infrastructuur en voor de samenleving als geheel. [Richtlijn XXX/XXXX (NIS2)] heeft tot doel een hoog niveau van cyberbeveiliging te waarborgen van diensten die worden verleend door essentiële en belangrijke entiteiten, waaronder aanbieders van digitale infrastructuur die de kernfuncties van het open internet ondersteunen en internettoegang en internetdiensten waarborgen. Het is daarom belangrijk dat de producten met digitale elementen die aanbieders van digitale infrastructuur nodig hebben om de werking van het internet te waarborgen, op een veilige manier worden ontwikkeld en voldoen aan gevestigde normen voor internetbeveiliging. Deze verordening, die van toepassing is op alle hardware- en softwareproducten die verbonden kunnen worden, heeft ook tot doel de naleving door aanbieders van digitale infrastructuur van de vereisten voor de toeleveringsketen uit hoofde van [Richtlijn XXX/XXXX (NIS2)] te vergemakkelijken, door ervoor te zorgen dat de producten met digitale elementen die zij voor de verlening van hun diensten gebruiken, op veilige wijze worden ontwikkeld en dat zij toegang hebben tot tijdige beveiligingsupdates voor dergelijke producten.
(12) Verordening (EU) 2017/745 van het Europees Parlement en de Raad 19 bevat voorschriften voor medische hulpmiddelen en Verordening (EU) 2017/746 van het Europees Parlement en de Raad 20 bevat voorschriften voor medische hulpmiddelen voor in-vitrodiagnostiek. Beide verordeningen pakken cyberbeveiligingsrisico’s aan en volgen specifieke benaderingen die ook in deze verordening aan bod komen. Meer in het bijzonder bevatten de Verordeningen (EU) 2017/745 en (EU) 2017/746 essentiële eisen voor medische hulpmiddelen die via een elektronisch systeem functioneren of die zelf software zijn. Bepaalde niet-ingebedde software en de levenscyclusbenadering vallen ook onder die verordeningen. Deze eisen verplichten fabrikanten om hun producten te ontwikkelen en te bouwen door de beginselen van risicobeheer toe te passen en door eisen vast te stellen met betrekking tot IT-beveiligingsmaatregelen en bijbehorende conformiteitsbeoordelingsprocedures. Bovendien bestaan er sinds december 2019 specifieke richtsnoeren inzake cyberbeveiliging voor medische hulpmiddelen, die fabrikanten van medische hulpmiddelen, met inbegrip van hulpmiddelen voor in-vitrodiagnostiek, ondersteuning bieden om aan alle relevante essentiële eisen van bijlage I bij die verordeningen met betrekking tot cyberbeveiliging te voldoen 21 . Producten met digitale elementen waarop een van die verordeningen van toepassing is, mogen daarom niet onder deze verordening vallen.
(13) Bij Verordening (EU) 2019/2144 van het Europees Parlement en de Raad 22 zijn voorschriften vastgesteld voor de typegoedkeuring van voertuigen en van de systemen en onderdelen daarvan, waarbij bepaalde cyberbeveiligingsvereisten worden ingevoerd, onder meer inzake het gebruik van een gecertificeerd beheersysteem voor cyberbeveiliging en inzake software-updates, die betrekking hebben op het beleid en de processen van organisaties voor cyberrisico’s in verband met de gehele levenscyclus van voertuigen, apparatuur en diensten in overeenstemming met de toepasselijke voorschriften van de Verenigde Naties inzake technische specificaties en cyberbeveiliging 23 , en waarin wordt voorzien in specifieke conformiteitsbeoordelingsprocedures. Wat de luchtvaart betreft, is de belangrijkste doelstelling van Verordening (EU) 2018/1139 van het Europees Parlement en de Raad 24 de totstandbrenging en instandhouding van een hoog, uniform veiligheidsniveau in de burgerluchtvaart in de Unie. Hiermee komt een kader tot stand voor essentiële eisen inzake luchtwaardigheid voor luchtvaartproducten en hun onderdelen en apparatuur, met inbegrip van software, die rekening houden met de verplichtingen om te beschermen tegen bedreigingen van de informatiebeveiliging. Producten met digitale elementen waarop Verordening (EU) 2019/2144 van toepassing is en producten die zijn gecertificeerd overeenkomstig Verordening (EU) 2018/1139, zijn derhalve niet onderworpen aan de in deze verordening vastgestelde essentiële eisen en conformiteitsbeoordelingsprocedures. Het certificeringsproces uit hoofde van Verordening (EU) 2018/1139 waarborgt het door deze verordening beoogde zekerheidsniveau.
(14) Bij deze verordening worden horizontale cyberbeveiligingsregels vastgesteld die niet specifiek zijn voor sectoren of bepaalde producten met digitale elementen. Niettemin zouden er sectorale of productspecifieke voorschriften van de Unie kunnen worden ingevoerd met eisen die betrekking hebben op alle of een deel van de risico’s die onder de essentiële eisen van deze verordening vallen. In dergelijke gevallen kan de toepassing van deze verordening op producten met digitale elementen die vallen onder andere voorschriften van de Unie waarin eisen worden vastgesteld met betrekking tot alle of een deel van de risico’s die worden gedekt door de essentiële eisen van bijlage I bij deze verordening, worden beperkt of uitgesloten indien een dergelijke beperking of uitsluiting in overeenstemming is met het algemene regelgevingskader dat op die producten van toepassing is, en de sectorale voorschriften hetzelfde beschermingsniveau bieden als deze verordening. De Commissie is bevoegd gedelegeerde handelingen vast te stellen om deze verordening te wijzigen door dergelijke producten en voorschriften aan te wijzen. Deze verordening bevat specifieke bepalingen voor bestaande Uniewetgeving waarvoor dergelijke beperkingen of uitsluitingen moeten gelden, om de relatie met die Uniewetgeving te verduidelijken.
(15) Bij Gedelegeerde Verordening (EU) 2022/30 is gespecificeerd dat de essentiële eisen van artikel 3, lid 3, punt d) (netwerkschade en misbruik van netwerkmiddelen), punt e) (persoonsgegevens en privacy) en punt f) (fraude) van Richtlijn 2014/53/EU van toepassing zijn op bepaalde radioapparatuur. [Uitvoeringsbesluit XXX/2022 van de Commissie betreffende een normalisatieverzoek aan de Europese normalisatieorganisaties] bevat voorschriften voor de ontwikkeling van specifieke normen waarin nader wordt gespecificeerd hoe deze drie essentiële eisen moeten worden aangepakt. De bij deze verordening vastgestelde essentiële eisen omvatten alle elementen van de essentiële eisen als bedoeld in artikel 3, lid 3, punten d), e) en f), van Richtlijn 2014/53/EU. Daarnaast zijn de in deze verordening vastgestelde essentiële eisen afgestemd op de doelstellingen van de eisen voor specifieke normen die in dat normalisatieverzoek zijn opgenomen. Indien de Commissie Gedelegeerde Verordening (EU) 2022/30 intrekt of wijzigt met als gevolg dat die niet langer van toepassing is op bepaalde producten die onder deze verordening vallen, moeten de Commissie en de Europese normalisatieorganisaties bij de voorbereiding en ontwikkeling van geharmoniseerde normen derhalve rekening houden met de normalisatiewerkzaamheden die in het kader van Uitvoeringsbesluit C(2022) 5637 van de Commissie betreffende een normalisatieverzoek voor Gedelegeerde Verordening (EU) 2022/30 tot aanvulling van de richtlijn radioapparatuur zijn verricht om de uitvoering van deze verordening te vergemakkelijken.
(16) Richtlijn 85/374/EEG 25 vormt een aanvulling op deze verordening. Die richtlijn bevat aansprakelijkheidsregels voor producten met gebreken, zodat gelaedeerden schadevergoeding kunnen vorderen wanneer schade is veroorzaakt door producten met gebreken. Zij stelt het beginsel vast dat de fabrikant van een product aansprakelijk is voor schade die wordt veroorzaakt door een gebrek aan veiligheid in zijn product, ongeacht of er sprake is van schuld (“risicoaansprakelijkheid”). Wanneer een dergelijk gebrek aan veiligheid voortkomt uit een gebrek aan beveiligingsupdates nadat het product in de handel is gebracht, en hierdoor schade wordt veroorzaakt, kan de fabrikant aansprakelijk worden gesteld. In deze verordening moeten verplichtingen voor fabrikanten worden vastgesteld die betrekking hebben op het verstrekken van dergelijke beveiligingsupdates.
(17) Deze verordening mag geen afbreuk doen aan Verordening (EU) 2016/679 van het Europees Parlement en de Raad 26 , met inbegrip van bepalingen betreffende de vaststelling van certificeringsmechanismen voor gegevensbescherming en van gegevensbeschermingszegels en -merktekens, om de naleving van die verordening bij verwerkingen door verwerkingsverantwoordelijken en verwerkers aan te tonen. Dergelijke handelingen zouden kunnen worden ingebed in een product met digitale elementen. Gegevensbescherming door ontwerp en door standaardinstellingen, en cyberbeveiliging in het algemeen, zijn essentiële elementen van Verordening (EU) 2016/679. Door consumenten en organisaties te beschermen tegen cyberbeveiligingsrisico’s, moeten de essentiële cyberbeveiligingsvereisten van deze verordening ook bijdragen tot een betere bescherming van persoonsgegevens en privacy van personen. Synergieën op het gebied van zowel normalisatie als certificering op het gebied van cyberbeveiliging moeten in aanmerking worden genomen in het kader van de samenwerking tussen de Commissie, de Europese normalisatieorganisaties, het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), het Europees Comité voor gegevensbescherming (EDPB), opgericht bij Verordening (EU) 2016/679, en de nationale toezichthoudende autoriteiten voor gegevensbescherming. Ook op het gebied van markttoezicht en handhaving moeten synergieën tussen deze verordening en de gegevensbeschermingswetgeving van de Unie worden gecreëerd. Daartoe moeten de krachtens deze verordening aangewezen nationale markttoezichtautoriteiten samenwerken met autoriteiten die toezicht houden op de gegevensbeschermingswetgeving van de Unie. Ook moeten deze laatsten toegang hebben tot informatie die relevant is voor de uitvoering van hun taken.
(18) Voor zover hun producten binnen het toepassingsgebied van deze verordening vallen, moeten afgevers van Europese portemonnees voor digitale identiteit als bedoeld in artikel [artikel 6 bis, lid 2, van Verordening (EU) nr. 910/2014, zoals gewijzigd bij het voorstel voor een verordening tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit] zowel voldoen aan de horizontale essentiële eisen van deze verordening als aan de specifieke beveiligingsvereisten die zijn vastgesteld bij artikel [artikel 6 bis van Verordening (EU) nr. 910/2014, zoals gewijzigd bij het voorstel voor een verordening tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit]. Om de naleving te vergemakkelijken, moeten afgevers van Europese portemonnees voor digitale identiteit kunnen aantonen dat die portemonnees voldoen aan de vereisten die respectievelijk zijn vastgesteld in beide rechtshandelingen, door hun producten te certificeren in het kader van een Europese cyberbeveiligingscertificeringsregeling, die is vastgesteld op grond van Verordening (EU) 2019/881 en waarvoor de Commissie bij uitvoeringshandeling heeft voorzien in een vermoeden van conformiteit met betrekking tot deze verordening, voor zover het certificaat, of delen daarvan, die vereisten dekt.
(19) Bepaalde taken waarin deze verordening voorziet, moeten door Enisa worden uitgevoerd overeenkomstig artikel 3, lid 2, van Verordening (EU) 2019/881. Enisa moet met name meldingen van fabrikanten ontvangen van actief uitgebuite kwetsbaarheden in producten met digitale elementen, alsook van incidenten die gevolgen hebben voor de veiligheid van die producten. Enisa moet deze meldingen ook doorsturen naar de betrokken computer security incident response teams (CSIRT’s) of, respectievelijk, naar de betrokken centrale contactpunten van de lidstaten die zijn aangewezen overeenkomstig artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)], en de relevante markttoezichtautoriteiten in kennis stellen van de gemelde kwetsbaarheid. Op basis van de informatie die het verzamelt, moet Enisa om de twee jaar een technisch verslag opstellen over opkomende trends met betrekking tot cyberbeveiligingsrisico’s in producten met digitale elementen en dit voorleggen aan de samenwerkingsgroep als bedoeld in Richtlijn [Richtlijn XXX/XXXX (NIS2)]. Voorts moet Enisa, gezien zijn deskundigheid en zijn mandaat, het proces voor de uitvoering van deze verordening kunnen ondersteunen. Het moet met name gezamenlijke activiteiten kunnen voorstellen die door markttoezichtautoriteiten moeten worden uitgevoerd op basis van aanwijzingen of informatie over mogelijke niet-conformiteit met deze verordening van producten met digitale elementen in verschillende lidstaten, of categorieën producten kunnen identificeren waarvoor gelijktijdige gecoördineerde controleacties moeten worden georganiseerd. In uitzonderlijke omstandigheden moet Enisa, op verzoek van de Commissie, evaluaties kunnen uitvoeren met betrekking tot specifieke producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden, wanneer onmiddellijk ingrijpen nodig is om de goede werking van de interne markt te beschermen.
(20) Op producten met digitale elementen moet de CE-markering worden aangebracht om aan te geven dat zij in overeenstemming zijn met deze verordening, zodat zij vrij kunnen bewegen op de interne markt. De lidstaten mogen het in de handel brengen van producten met digitale elementen die aan de eisen van deze verordening voldoen en waarop de CE-markering is aangebracht, niet op ongerechtvaardigde wijze belemmeren.
(21) Om ervoor te zorgen dat fabrikanten software voor testdoeleinden kunnen uitgeven alvorens hun producten aan een conformiteitsbeoordeling te onderwerpen, mogen de lidstaten het beschikbaar stellen van niet-afgewerkte software, zoals alfa- en bètaversies of release candidates, niet verhinderen, mits de versie slechts beschikbaar wordt gesteld voor de tijd die nodig is om deze te testen en feedback te verzamelen. Fabrikanten moeten ervoor zorgen dat software die onder deze voorwaarden beschikbaar wordt gesteld, pas na een risicobeoordeling wordt uitgegeven en voor zover mogelijk voldoet aan de bij deze verordening opgelegde beveiligingseisen met betrekking tot de kenmerken van producten met digitale elementen. Fabrikanten moeten ook de vereisten inzake de respons op kwetsbaarheden zoveel mogelijk toepassen. Fabrikanten mogen gebruikers niet dwingen om te upgraden naar versies die alleen voor testdoeleinden worden uitgegeven.
(22) Om ervoor te zorgen dat producten met digitale elementen, wanneer zij in de handel worden gebracht, geen cyberbeveiligingsrisico’s voor personen en organisaties inhouden, moeten voor dergelijke producten essentiële eisen worden vastgesteld. Wanneer de producten vervolgens met fysieke of digitale middelen worden gewijzigd op een wijze die niet door de fabrikant is voorzien en die ertoe kan leiden dat zij niet langer aan de relevante essentiële eisen voldoen, moet de wijziging als ingrijpend worden beschouwd. Software-updates of -reparaties kunnen bijvoorbeeld worden gelijkgesteld met onderhoudswerkzaamheden, mits zij een reeds in de handel gebracht product niet zodanig wijzigen dat de naleving van de toepasselijke eisen in het gedrang komt of dat het beoogde gebruik waarvoor het product is beoordeeld, wordt gewijzigd. Net als bij fysieke reparaties of wijzigingen moet een product met digitale elementen worden beschouwd als ingrijpend gewijzigd door een softwarewijziging wanneer de software-update de oorspronkelijke beoogde functies, het type of de prestaties van het product wijzigt en deze wijzigingen niet in de initiële risicobeoordeling waren voorzien, de aard van het gevaar is gewijzigd of het risiconiveau is toegenomen als gevolg van de software-update.
(23) In lijn met het algemeen erkende begrip van ingrijpende wijziging van producten die vallen onder de harmonisatiewetgeving van de Unie, is het passend dat voor een product met digitale elementen een nieuwe conformiteitsbeoordeling wordt uitgevoerd wanneer er sprake is van een ingrijpende wijziging die gevolgen kan hebben voor de conformiteit van een product met deze verordening, of wanneer het beoogde doel van dat product verandert. Indien de fabrikant een conformiteitsbeoordeling uitvoert waarbij een derde partij betrokken is, moeten wijzigingen die mogelijk ingrijpend zijn, in voorkomend geval ter kennis van de derde partij worden gebracht.
(24) Het opknappen, onderhouden en repareren van een product met digitale elementen, als gedefinieerd in Verordening [verordening inzake ecologisch ontwerp], leidt niet noodzakelijkerwijs tot een ingrijpende wijziging van het product, bijvoorbeeld als het beoogde gebruik en de functies niet worden gewijzigd en het risiconiveau ongewijzigd blijft. De verbetering van een product door de fabrikant kan echter leiden tot veranderingen in het ontwerp en de ontwikkeling van het product en kan derhalve van invloed zijn op het beoogde gebruik en de conformiteit van het product met de eisen van deze verordening.
(25) Producten met digitale elementen moeten als kritiek worden beschouwd wanneer de negatieve gevolgen van het uitbuiten van potentiële kwetsbaarheden in de cyberbeveiliging van het product ernstig kunnen zijn als gevolg van, onder meer, de aan cyberbeveiliging verbonden functionaliteit of het beoogde gebruik. Met name kunnen kwetsbaarheden in producten met digitale elementen met een aan cyberbeveiliging verbonden functionaliteit, zoals beveiligde elementen, leiden tot de verspreiding van veiligheidsproblemen in de hele toeleveringsketen. De ernst van de gevolgen van een cyberbeveiligingsincident kan ook toenemen wanneer rekening wordt gehouden met het beoogde gebruik van het product, bijvoorbeeld in een industriële omgeving of in de context van een essentiële entiteit van het type als bedoeld in bijlage [bijlage I] bij Richtlijn [Richtlijn XXX/XXXX (NIS2)], of voor de uitvoering van kritieke of gevoelige functies, zoals de verwerking van persoonsgegevens.
(26) Kritieke producten met digitale elementen moeten aan strengere conformiteitsbeoordelingsprocedures worden onderworpen volgens een evenredige aanpak. Daartoe moeten kritieke producten met digitale elementen in twee klassen worden ingedeeld, naargelang van het niveau van het cyberbeveiligingsrisico in verband met deze productcategorieën. Een potentieel cyberincident waarbij producten van klasse II betrokken zijn, kan grotere negatieve gevolgen hebben dan een incident met producten van klasse I, bijvoorbeeld vanwege de aard van hun aan cyberbeveiliging verbonden functie of het beoogde gebruik ervan in gevoelige omgevingen, en moet daarom aan een strengere conformiteitsbeoordelingsprocedure worden onderworpen.
(27) De in bijlage III bij deze verordening bedoelde categorieën kritieke producten met digitale elementen moeten worden opgevat als de producten die de kernfunctionaliteit hebben van het type dat is opgenomen in bijlage III bij deze verordening. Bijlage III bij deze verordening omvat bijvoorbeeld een lijst van producten die door hun kernfunctionaliteit worden gedefinieerd als microprocessoren voor algemeen gebruik van klasse II. Als gevolg daarvan zijn microprocessoren voor algemene doeleinden onderworpen aan een verplichte conformiteitsbeoordeling door derden. Dit is niet het geval voor andere producten die niet uitdrukkelijk in bijlage III bij deze verordening worden genoemd, waarin een microprocessor voor algemeen gebruik kan zijn geïntegreerd. De Commissie moet [uiterlijk 12 maanden na de inwerkingtreding van deze verordening] gedelegeerde handelingen vaststellen om de productcategorieën die vallen onder de klassen I en II van bijlage III nader te specificeren.
(28) Deze verordening pakt cyberbeveiligingsrisico’s op gerichte wijze aan. Producten met digitale elementen kunnen echter andere veiligheidsrisico’s met zich meebrengen die geen verband houden met cyberbeveiliging. Die risico’s moeten verder worden gereguleerd door andere desbetreffende productwetgeving van de Unie. Indien er geen andere harmonisatiewetgeving van de Unie van toepassing is, moeten zij onder Verordening [verordening inzake algemene productveiligheid] vallen. Daarom moeten in het licht van het gerichte karakter van deze verordening, in afwijking van artikel 2, lid 1, derde alinea, punt b), van Verordening [verordening inzake algemene productveiligheid], hoofdstuk III, deel 1, de hoofdstukken V en VII, en de hoofdstukken IX, X en XI van Verordening [verordening inzake algemene productveiligheid] van toepassing zijn op producten met digitale elementen met betrekking tot veiligheidsrisico’s die niet onder deze verordening vallen, indien die producten niet onderworpen zijn aan specifieke eisen die worden opgelegd bij andere harmonisatiewetgeving van de Unie in de zin van [artikel 3, punt 25, van de verordening inzake algemene productveiligheid].
(29) Producten met digitale elementen die overeenkomstig artikel 6 van Verordening 27 [de AI-verordening] als AI-systemen met een hoog risico worden aangemerkt en die binnen het toepassingsgebied van deze verordening vallen, moeten voldoen aan de essentiële eisen van deze verordening. Wanneer die AI-systemen met een hoog risico aan de essentiële eisen van deze verordening voldoen, moeten zij worden geacht in overeenstemming te zijn met de cyberbeveiligingsvereisten van artikel [artikel 15] van Verordening [de AI-verordening], voor zover die vereisten worden gedekt door de EU-conformiteitsverklaring of delen daarvan, die uit hoofde van deze verordening is afgegeven. Wat betreft de conformiteitsbeoordelingsprocedures met betrekking tot de essentiële cyberbeveiligingsvereisten van producten met digitale elementen die onder deze verordening vallen en als een AI-systeem met een hoog risico worden aangemerkt, moeten in de regel de desbetreffende bepalingen van artikel 43 van Verordening [de AI-verordening] worden toegepast in plaats van de respectieve bepalingen van deze verordening. Deze regel mag echter niet leiden tot een verlaging van het vereiste betrouwbaarheidsniveau voor kritieke producten met digitale elementen die onder deze verordening vallen. Daarom moeten, in afwijking van deze regel, AI-systemen met een hoog risico die binnen het toepassingsgebied van Verordening [de AI-verordening] vallen en ook worden aangemerkt als kritieke producten met digitale elementen overeenkomstig deze verordening en waarop de conformiteitsbeoordelingsprocedure op basis van interne controle als bedoeld in bijlage VI bij Verordening [de AI-verordening] van toepassing is, onderworpen zijn aan de bepalingen inzake conformiteitsbeoordeling van deze verordening wat de essentiële eisen van deze verordening betreft. In dat geval moeten voor alle andere aspecten die onder Verordening [de AI-verordening] vallen, de respectieve bepalingen inzake conformiteitsbeoordeling op basis van interne controle van bijlage VI bij Verordening [de AI-verordening] van toepassing zijn.
(30) Machineproducten die binnen het toepassingsgebied van Verordening [voorstel voor een machineverordening] vallen en die producten met digitale elementen zijn in de zin van deze verordening en waarvoor op grond van deze verordening een conformiteitsverklaring is afgegeven, moeten worden geacht in overeenstemming te zijn met de essentiële veiligheids- en gezondheidseisen van [punten 1.1.9 en 1.2.1 van bijlage III] bij Verordening [voorstel voor een machineverordening], wat betreft de bescherming tegen corruptie en de veiligheid en betrouwbaarheid van besturingssystemen, voor zover de overeenstemming met die eisen wordt aangetoond door de krachtens deze verordening afgegeven EU-conformiteitsverklaring.
(31) Verordening [voorstel voor een verordening betreffende de Europese ruimte voor gezondheidsgegevens] vormt een aanvulling op de essentiële eisen van deze verordening. De systemen voor elektronische patiëntendossiers (“EPD-systemen”) die onder het toepassingsgebied van Verordening [voorstel voor een verordening betreffende de Europese ruimte voor gezondheidsgegevens] vallen en producten met digitale elementen in de zin van deze verordening zijn, moeten daarom ook voldoen aan de essentiële eisen van deze verordening. De fabrikanten ervan moeten de conformiteit aantonen, zoals vereist bij Verordening [voorstel voor een verordening betreffende de Europese ruimte voor gezondheidsgegevens]. Om de naleving te vergemakkelijken, kunnen fabrikanten één enkele technische documentatie opstellen die de door beide rechtshandelingen vereiste elementen bevat. Aangezien deze verordening niet van toepassing is op SaaS als zodanig, vallen EPD-systemen die via het SaaS-licentie- en leveringsmodel worden aangeboden, niet binnen het toepassingsgebied van deze verordening. Evenzo vallen EPD-systemen die intern worden ontwikkeld en gebruikt, niet binnen het toepassingsgebied van deze verordening, aangezien zij niet in de handel worden gebracht.
(32) Om ervoor te zorgen dat producten met digitale elementen zowel bij het in de handel brengen als gedurende hun hele levenscyclus beveiligd zijn, moeten essentiële eisen inzake de respons op kwetsbaarheden en essentiële cyberbeveiligingsvereisten met betrekking tot de kenmerken van producten met digitale elementen worden vastgesteld. Hoewel fabrikanten moeten voldoen aan alle essentiële eisen in verband met de respons op kwetsbaarheden en ervoor moeten zorgen dat al hun producten worden geleverd zonder bekende kwetsbaarheden die kunnen worden uitgebuit, moeten zij bepalen welke andere essentiële eisen met betrekking tot de productkenmerken relevant zijn voor het betrokken producttype. Daartoe moeten fabrikanten de cyberbeveiligingsrisico’s beoordelen die verbonden zijn aan een product met digitale elementen, om betrokken risico’s en relevante essentiële eisen vast te stellen en passende geharmoniseerde normen of gemeenschappelijke specificaties toe te passen.
(33) Om de beveiliging van producten met digitale elementen die op de interne markt worden gebracht, te verbeteren, is het noodzakelijk essentiële eisen vast te stellen. Deze essentiële eisen mogen geen afbreuk doen aan de gecoördineerde risicobeoordelingen van kritieke toeleveringsketens van de EU die zijn vastgesteld bij [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)] 28 , waarbij rekening wordt gehouden met zowel technische als, in voorkomend geval, niet-technische risicofactoren, zoals ongepaste beïnvloeding van leveranciers door een derde land. Voorts mogen ze geen afbreuk doen aan de prerogatieven van de lidstaten om aanvullende eisen vast te stellen die rekening houden met niet-technische factoren om een hoog niveau van veerkracht te waarborgen, waaronder die welke zijn gedefinieerd in Aanbeveling (EU) 2019/534, in de gecoördineerde risicobeoordeling van de beveiliging van 5G-netwerken in de hele EU en in het EU-instrumentarium voor 5G-cyberbeveiliging dat is overeengekomen door de NIS-samenwerkingsgroep als bedoeld in [Richtlijn XXX/XXXX (NIS2)].
(34) Om ervoor te zorgen dat de nationale CSIRT’s en het overeenkomstig artikel [artikel X] van Richtlijn [Richtlijn XX/XXXX (NIS2)] aangewezen centrale contactpunt de informatie krijgen die zij nodig hebben om hun taken te vervullen en het algemene niveau van cyberbeveiliging van essentiële en belangrijke entiteiten te verhogen, en om de doeltreffende werking van markttoezichtautoriteiten te waarborgen, moeten fabrikanten van producten met digitale elementen Enisa in kennis stellen van actief uitgebuite kwetsbaarheden. Aangezien de meeste producten met digitale elementen op de hele interne markt in de handel worden gebracht, moet elke uitgebuite kwetsbaarheid in een product met digitale elementen worden beschouwd als een bedreiging voor de werking van de interne markt. Fabrikanten moeten ook overwegen gerepareerde kwetsbaarheden openbaar te maken in de Europese kwetsbaarheidsdatabase die is opgezet krachtens Richtlijn [Richtlijn XX/XXXX (NIS2)] en wordt beheerd door Enisa of in een andere openbaar toegankelijke kwetsbaarheidsdatabase.
(35) Fabrikanten moeten eveneens elk incident dat gevolgen heeft voor de veiligheid van het product met digitale elementen, aan Enisa melden. Niettegenstaande de verplichtingen inzake incidentenmelding in Richtlijn [Richtlijn XXX/XXXX (NIS2)] voor essentiële en belangrijke entiteiten, is het van cruciaal belang dat Enisa, de door de lidstaten overeenkomstig artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)] aangewezen centrale contactpunten en de markttoezichtautoriteiten informatie ontvangen van de fabrikanten van producten met digitale elementen, aan de hand waarvan zij de veiligheid van deze producten kunnen beoordelen. Om ervoor te zorgen dat gebruikers snel kunnen reageren op incidenten die gevolgen hebben voor de beveiliging van hun producten met digitale elementen, moeten fabrikanten ook hun gebruikers informeren over dergelijke incidenten en, in voorkomend geval, over eventuele corrigerende maatregelen die de gebruikers kunnen nemen om de gevolgen van het incident te beperken, bijvoorbeeld door relevante informatie op hun websites te publiceren of, indien de fabrikant in staat is contact op te nemen met de gebruikers en indien de risico’s dit rechtvaardigen, door rechtstreeks contact met de gebruikers op te nemen.
(36) Fabrikanten van producten met digitale elementen moeten een gecoördineerd beleid inzake openbaarmaking van kwetsbaarheden invoeren om de melding van kwetsbaarheden door personen of entiteiten te vergemakkelijken. In een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden moet een gestructureerd proces worden gespecificeerd aan de hand waarvan kwetsbaarheden op dusdanige wijze aan een fabrikant worden gemeld dat deze in staat is een diagnose te stellen en de kwetsbaarheden te verhelpen voordat gedetailleerde informatie over de kwetsbaarheden aan derden of het publiek wordt vrijgegeven. Aangezien informatie over kwetsbaarheden die kunnen worden uitgebuit in veelgebruikte producten met digitale elementen tegen hoge prijzen op de zwarte markt kan worden verkocht, moeten fabrikanten van dergelijke producten als onderdeel van hun beleid voor gecoördineerde openbaarmaking van kwetsbaarheden programma’s kunnen gebruiken om de melding van kwetsbaarheden te stimuleren, door ervoor te zorgen dat personen of entiteiten erkenning en compensatie krijgen voor hun inspanningen (zogenaamde “bug bounty”-programma’s).
(37) Om kwetsbaarheidsanalyses te vergemakkelijken, moeten fabrikanten componenten in de producten met digitale elementen identificeren en documenteren, onder meer door een softwarestuklijst op te stellen. Een softwarestuklijst kan degenen die software vervaardigen, kopen en exploiteren, informatie verschaffen die hun inzicht in de toeleveringsketen vergroot, wat tal van voordelen heeft, en met name fabrikanten en gebruikers helpt nieuwe kwetsbaarheden en risico’s op te sporen. Het is bijzonder belangrijk dat fabrikanten ervoor zorgen dat hun producten geen kwetsbare componenten bevatten die door derden zijn ontwikkeld.
(38) Om de beoordeling van de conformiteit met de eisen van deze verordening te vergemakkelijken, moet er een vermoeden van conformiteit bestaan voor producten met digitale elementen die in overeenstemming zijn met geharmoniseerde normen die de essentiële eisen van deze verordening omzetten in gedetailleerde technische specificaties, en die zijn vastgesteld overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad 29 . Verordening (EU) nr. 1025/2012 voorziet in een procedure voor bezwaren tegen geharmoniseerde normen die niet volledig aan de eisen van deze verordening voldoen.
(39) Bij Verordening (EU) 2019/881 is een vrijwillig Europees kader voor cyberbeveiligingscertificering voor ICT-producten, -processen en -diensten vastgesteld. Europese cyberbeveiligingscertificeringsregelingen kunnen betrekking hebben op producten met digitale elementen die onder deze verordening vallen. Deze verordening moet synergieën tot stand brengen met Verordening (EU) 2019/881. Om de beoordeling van de conformiteit met de eisen van deze verordening te vergemakkelijken, worden producten met digitale elementen die zijn gecertificeerd of waarvoor een conformiteitsverklaring is afgegeven in het kader van een cyberbeveiligingsregeling krachtens Verordening (EU) 2019/881 en die door de Commissie in een uitvoeringshandeling is geïdentificeerd, geacht in overeenstemming te zijn met de essentiële eisen van deze verordening, voor zover het cyberbeveiligingscertificaat of de conformiteitsverklaring of delen daarvan die eisen dekken. De behoefte aan nieuwe Europese cyberbeveiligingscertificeringsregelingen voor producten met digitale elementen moet in het licht van deze verordening worden beoordeeld. Dergelijke toekomstige Europese cyberbeveiligingscertificeringsregelingen voor producten met digitale elementen moeten rekening houden met de essentiële eisen van deze verordening en de naleving ervan vergemakkelijken. De Commissie moet de bevoegdheid krijgen om door middel van uitvoeringshandelingen de Europese cyberbeveiligingscertificeringsregelingen te specificeren die kunnen worden gebruikt om de conformiteit met de essentiële eisen van deze verordening aan te tonen. Voorts moet de Commissie, om onnodige administratieve lasten voor fabrikanten te vermijden, in voorkomend geval specificeren of een cyberbeveiligingscertificaat dat in het kader van een dergelijke Europese cyberbeveiligingscertificeringsregeling is afgegeven, de verplichting voor fabrikanten om een conformiteitsbeoordeling door derden te laten verrichten, zoals bepaald in deze verordening voor de overeenkomstige eisen, overbodig maakt.
(40) Bij de inwerkingtreding van de uitvoeringshandeling tot vaststelling van [Uitvoeringsverordening (EU) …/… van de Commissie van XXX betreffende de Europese op gemeenschappelijke criteria gebaseerde cyberbeveiligingscertificeringsregeling] (EUCC) die betrekking heeft op onder deze verordening vallende hardwareproducten, zoals hardwarebeveiligingsmodules en microprocessoren, kan de Commissie door middel van een uitvoeringshandeling bepalen hoe de EUCC een vermoeden van conformiteit met de essentiële eisen als bedoeld in bijlage I bij deze verordening of delen daarvan vestigt. Voorts kan in een dergelijke uitvoeringshandeling worden gespecificeerd hoe een in het kader van de EUCC afgegeven certificaat de verplichting voor fabrikanten wegneemt om een beoordeling te laten uitvoeren door derden, zoals vereist krachtens deze verordening voor de overeenkomstige eisen.
(41) Indien er geen geharmoniseerde normen worden vastgesteld of wanneer de geharmoniseerde normen onvoldoende betrekking hebben op de essentiële eisen van deze verordening, moet de Commissie door middel van uitvoeringshandelingen gemeenschappelijke specificaties kunnen vaststellen. Redenen om dergelijke gemeenschappelijke specificaties te ontwikkelen, in plaats van te vertrouwen op geharmoniseerde normen, kunnen onder meer bestaan in een afwijzing van het normalisatieverzoek door een van de Europese normalisatieorganisaties, onnodige vertragingen bij de vaststelling van passende geharmoniseerde normen, of een gebrek aan overeenstemming van ontwikkelde normen met de eisen van deze verordening of met een verzoek van de Commissie. Om de beoordeling van de conformiteit met de essentiële eisen van deze verordening te vergemakkelijken, moet er een vermoeden van conformiteit bestaan voor producten met digitale elementen die in overeenstemming zijn met de gemeenschappelijke specificaties, die de Commissie overeenkomstig deze verordening heeft vastgesteld om gedetailleerde technische specificaties van die eisen aan te geven.
(42) Fabrikanten moeten een EU-conformiteitsverklaring opstellen om de krachtens deze verordening vereiste informatie te verstrekken over de conformiteit van producten met digitale elementen met de essentiële eisen van deze verordening en, indien van toepassing, van de andere relevante harmonisatiewetgeving van de Unie waaronder het product valt. Fabrikanten kunnen ook op grond van andere wetgeving van de Unie worden verplicht een EU-conformiteitsverklaring op te stellen. Om effectieve toegang tot informatie voor markttoezichtdoeleinden te waarborgen, moet één EU-conformiteitsverklaring worden opgesteld met betrekking tot de naleving van alle betrokken rechtshandelingen van de Unie. Om de administratieve lasten voor marktdeelnemers te verminderen, moet het mogelijk zijn dat die EU-conformiteitsverklaring een dossier is dat bestaat uit afzonderlijke conformiteitsverklaringen.
(43) De CE-markering, die de conformiteit van een product aangeeft, is het zichtbare resultaat van een volledig proces waaronder de conformiteitsbeoordeling in ruime zin valt. De algemene beginselen voor de CE-markering zijn vastgesteld in Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad 30 . In deze verordening moeten voorschriften worden vastgesteld voor het aanbrengen van de CE-markering op producten met digitale elementen. De CE-markering moet de enige markering zijn die garandeert dat producten met digitale elementen voldoen aan de eisen van deze verordening.
(44) Om marktdeelnemers in staat te stellen de conformiteit met de essentiële eisen van deze verordening aan te tonen en om markttoezichtautoriteiten in staat te stellen te waarborgen dat producten met digitale elementen die op de markt worden aangeboden, aan deze eisen voldoen, moet worden voorzien in conformiteitsbeoordelingsprocedures. Bij Besluit nr. 768/2008/EG van het Europees Parlement en de Raad 31 zijn modules voor conformiteitsbeoordelingsprocedures vastgesteld die in verhouding staan tot het betrokken risiconiveau en het vereiste beveiligingsniveau. Om voor coherentie tussen de sectoren te zorgen en ad-hocvarianten te voorkomen, zijn de conformiteitsbeoordelingsprocedures die geschikt zijn om de conformiteit van producten met digitale elementen met de essentiële eisen van deze verordening te controleren, op die modules gebaseerd. De conformiteitsbeoordelingsprocedures moeten zowel product- als procesgerelateerde eisen voor de gehele levenscyclus van producten met digitale elementen onderzoeken en verifiëren, met inbegrip van planning, ontwerp, ontwikkeling of productie, testen en onderhoud van het product.
(45) De conformiteitsbeoordeling van producten met digitale elementen moet in de regel door de fabrikant onder eigen verantwoordelijkheid worden uitgevoerd volgens de procedure op basis van module A bij Besluit 768/2008/EG. De fabrikant moet over de flexibiliteit blijven beschikken om te kiezen voor een strengere conformiteitsbeoordelingsprocedure waarbij een derde partij betrokken is. Indien het product wordt aangemerkt als een kritiek product van klasse I, is aanvullende zekerheid vereist om aan te tonen dat het product aan de essentiële eisen van deze verordening voldoet. De fabrikant moet in het kader van Verordening (EU) 2019/881 geharmoniseerde normen, gemeenschappelijke specificaties of cyberbeveiligingscertificeringsregelingen toepassen die door de Commissie in een uitvoeringshandeling zijn vastgesteld, indien hij de conformiteitsbeoordeling onder zijn eigen verantwoordelijkheid wil uitvoeren (module A). Als de fabrikant dergelijke geharmoniseerde normen, gemeenschappelijke specificaties of cyberbeveiligingscertificeringsregelingen niet toepast, moet hij een conformiteitsbeoordeling ondergaan waarbij een derde partij betrokken is. Rekening houdend met de administratieve lasten voor fabrikanten en het feit dat cyberbeveiliging een belangrijke rol speelt in de ontwerp- en ontwikkelingsfase van materiële en immateriële producten met digitale elementen, zijn conformiteitsbeoordelingsprocedures op basis van respectievelijk de modules B+C of module H van Besluit 768/2008/EG gekozen als de meest geschikte voor een evenredige en doeltreffende beoordeling van de conformiteit van kritieke producten met digitale elementen. De fabrikant die de conformiteitsbeoordeling door derden laat verrichten, kan de procedure kiezen die het best past bij zijn ontwerp- en productieproces. Gezien het nog grotere cyberbeveiligingsrisico in verband met het gebruik van als kritieke producten van klasse II aangemerkte producten, moet bij de conformiteitsbeoordeling in dat geval altijd een derde partij betrokken zijn.
(46) Hoewel de vervaardiging van materiële producten met digitale elementen doorgaans vereist dat fabrikanten aanzienlijke inspanningen leveren tijdens de ontwerp-, ontwikkelings- en productiefase, is de vervaardiging van producten met digitale elementen in de vorm van software bijna uitsluitend gericht op ontwerp en ontwikkeling, terwijl de productiefase een kleine rol speelt. Toch moeten softwareproducten in veel gevallen nog worden samengesteld, gebouwd, verpakt, beschikbaar gesteld voor download of op fysieke dragers worden gekopieerd voordat zij in de handel worden gebracht. Deze activiteiten moeten worden beschouwd als productieactiviteiten wanneer met de desbetreffende conformiteitsbeoordelingsmodules wordt nagegaan of het product in de ontwerp-, ontwikkelings- en productiefasen aan de essentiële eisen van deze verordening voldoet.
(47) Met het oog op de uitvoering van een conformiteitsbeoordeling door derden voor producten met digitale elementen, moeten de conformiteitsbeoordelingsinstanties door de nationale aanmeldende autoriteiten bij de Commissie en de andere lidstaten worden aangemeld, op voorwaarde dat zij voldoen aan een reeks vereisten, met name inzake onafhankelijkheid, competenties en afwezigheid van belangenconflicten.
(48) Om een consistent kwaliteitsniveau bij de uitvoering van de conformiteitsbeoordeling van producten met digitale elementen te waarborgen, moeten ook eisen worden vastgesteld voor aanmeldende autoriteiten en andere instanties die betrokken zijn bij de beoordeling, aanmelding en monitoring van aangemelde instanties. Het in deze verordening beschreven systeem moet worden aangevuld met het accreditatiesysteem van Verordening (EG) nr. 765/2008. Aangezien accreditatie een essentieel middel is om de bekwaamheid van conformiteitsbeoordelingsinstanties te verifiëren, moet zij ook worden gebruikt voor doeleinden van aanmelding.
(49) Transparante accreditatie zoals bepaald in Verordening (EG) nr. 765/2008, die het nodige vertrouwen in conformiteitscertificaten waarborgt, moet door de nationale overheidsinstanties in de hele Unie worden beschouwd als het middel bij uitstek om de technische bekwaamheid van conformiteitsbeoordelingsinstanties aan te tonen. Nationale autoriteiten kunnen echter van mening zijn dat zij over passende middelen beschikken om die beoordeling zelf uit te voeren. In dergelijke gevallen moeten zij, om het juiste niveau van geloofwaardigheid van door andere nationale autoriteiten verrichte evaluaties te waarborgen, aan de Commissie en de andere lidstaten de nodige documenten overleggen om te staven dat de geëvalueerde conformiteitsbeoordelingsinstanties voldoen aan de toepasselijke regelgevingsvereisten.
(50) Conformiteitsbeoordelingsinstanties besteden vaak een deel van hun activiteiten in verband met conformiteitsbeoordelingen uit of doen een beroep op een dochteronderneming. Om het beschermingsniveau te waarborgen dat is vereist voor het product met digitale elementen dat in de handel wordt gebracht, is het van essentieel belang dat de betrokken onderaannemers en dochterondernemingen voor de uitvoering van conformiteitsbeoordelingstaken aan dezelfde eisen voldoen als de aangemelde instanties.
(51) De aanmeldende autoriteit moet de aanmelding van een conformiteitsbeoordelingsinstantie via het Nando-informatiesysteem (New Approach Notified and Designated Organisations) aan de Commissie en de andere lidstaten toezenden. Nando is het door de Commissie ontwikkelde en beheerde elektronische aanmeldingsinstrument dat een lijst van alle aangemelde instanties bevat.
(52) Omdat aangemelde instanties hun diensten in de gehele Unie kunnen aanbieden, moeten de andere lidstaten en de Commissie in staat worden gesteld bezwaren in te brengen tegen een aangemelde instantie. Daarom is het belangrijk te voorzien in een periode waarin eventuele twijfels of bedenkingen omtrent de bekwaamheid van conformiteitsbeoordelingsinstanties kunnen worden weggenomen voordat zij als aangemelde instantie gaan functioneren.
(53) In het belang van het concurrentievermogen is het cruciaal dat aangemelde instanties de conformiteitsbeoordelingsprocedures toepassen op een wijze die geen onnodige lasten voor de marktdeelnemers met zich meebrengt. Om dezelfde reden, en om een gelijke behandeling van de marktdeelnemers te waarborgen, moet bij de technische uitvoering van de conformiteitsbeoordelingsprocedures worden gezorgd voor consistentie. Dit kan het best worden bereikt door passende coördinatie en samenwerking tussen aangemelde instanties.
(54) Markttoezicht is een essentieel instrument om de correcte en uniforme toepassing van de Uniewetgeving te waarborgen. Daarom moet een rechtskader tot stand worden gebracht waarbinnen passend markttoezicht kan worden uitgeoefend. De in Verordening (EU) 2019/1020 van het Europees Parlement en de Raad 32 vastgestelde voorschriften inzake markttoezicht in de Unie en controle van producten die de markt van de Unie binnenkomen, zijn van toepassing op onder deze verordening vallende producten met digitale elementen.
(55) Overeenkomstig Verordening (EU) 2019/1020 voeren de markttoezichtautoriteiten markttoezicht uit op het grondgebied van die lidstaat. Deze verordening mag de lidstaten niet beletten te kiezen welke autoriteiten voor de uitvoering van die taken bevoegd zijn. Elke lidstaat moet een of meer markttoezichtautoriteiten op zijn grondgebied aanwijzen. De lidstaten kunnen ervoor kiezen een bestaande of nieuwe autoriteit aan te wijzen als markttoezichtautoriteit, met inbegrip van nationale bevoegde autoriteiten als bedoeld in artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)] of aangewezen nationale cyberbeveiligingscertificeringsautoriteiten als bedoeld in artikel 58 van Verordening (EU) 2019/881. Marktdeelnemers moeten volledig samenwerken met markttoezichtautoriteiten en andere bevoegde autoriteiten. Elke lidstaat moet de Commissie en de andere lidstaten in kennis stellen van zijn markttoezichtautoriteiten en de bevoegdheidsgebieden van elk van die autoriteiten en moet zorgen voor de nodige middelen en vaardigheden voor de uitvoering van de toezichttaken in verband met deze verordening. Overeenkomstig artikel 10, leden 2 en 3, van Verordening (EU) 2019/1020 moet elke lidstaat één verbindingsbureau aanwijzen dat onder meer tot taak moet hebben het gecoördineerde standpunt van de markttoezichtautoriteiten te vertegenwoordigen en ondersteuning te bieden bij de samenwerking tussen de markttoezichtautoriteiten in verschillende lidstaten.
(56) Voor de uniforme toepassing van deze verordening moet krachtens artikel 30, lid 2, van Verordening (EU) 2019/1020 een speciale administratievesamenwerkingsgroep (administrative cooperation group — ADCO) worden opgericht. Deze ADCO moet bestaan uit vertegenwoordigers van de aangewezen markttoezichtautoriteiten en, indien relevant, vertegenwoordigers van de verbindingsbureaus. De Commissie moet ondersteunen en aanmoedigen dat markttoezichtautoriteiten samenwerken via het op grond van artikel 29 van Verordening (EU) 2019/1020 opgerichte Unienetwerk voor productconformiteit, bestaande uit vertegenwoordigers van elke lidstaat, waaronder een vertegenwoordiger van elk verbindingsbureau als bedoeld in artikel 10 van Verordening (EU) 2019/1020 en eventueel een nationale deskundige, de voorzitters van de ADCO’s en vertegenwoordigers van de Commissie. De Commissie moet deelnemen aan de vergaderingen van het netwerk, zijn subgroepen en de betrokken ADCO. Zij moet deze ADCO ook bijstaan door middel van een uitvoerend secretariaat dat technische en logistieke ondersteuning biedt.
(57) Om te zorgen voor tijdige, evenredige en doeltreffende maatregelen met betrekking tot producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden, moet worden voorzien in een vrijwaringsprocedure van de Unie in het kader waarvan belanghebbende partijen worden geïnformeerd over voorgenomen maatregelen ten aanzien van dergelijke producten. Dit moet de markttoezichtautoriteiten ook in staat stellen om, in samenwerking met de betrokken marktdeelnemers, indien nodig in een vroeger stadium op te treden. Indien de lidstaten en de Commissie het eens zijn dat een maatregel van een lidstaat gerechtvaardigd is, is er geen verdere betrokkenheid van de Commissie vereist, behalve wanneer de niet-conformiteit kan worden toegeschreven aan tekortkomingen van een geharmoniseerde norm.
(58) In bepaalde gevallen kan een product met digitale elementen dat aan deze verordening voldoet, niettemin een significant cyberbeveiligingsrisico vormen of een risico vormen voor de gezondheid of veiligheid van personen, voor de naleving van verplichtingen uit hoofde van het Unierecht of het interne recht ter bescherming van de grondrechten, voor de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van diensten die via een elektronisch informatiesysteem worden aangeboden door essentiële entiteiten als bedoeld in [bijlage I bij Richtlijn XXX/XXXX (NIS2)], of voor andere aspecten van de bescherming van het algemeen belang. Daarom moeten regels worden vastgesteld die ervoor zorgen dat die risico’s worden beperkt. Bijgevolg moeten de markttoezichtautoriteiten maatregelen nemen om de marktdeelnemer te verplichten ervoor te zorgen dat het product dat risico niet langer met zich meebrengt, of om het, afhankelijk van het risico, terug te roepen of uit de handel te nemen. Zodra een markttoezichtautoriteit het vrije verkeer van een product op die manier beperkt of verbiedt, moet de lidstaat de Commissie en de andere lidstaten onverwijld in kennis stellen van de voorlopige maatregelen, met opgave van de redenen en motivering van het besluit. Wanneer een markttoezichtautoriteit dergelijke maatregelen neemt tegen producten die een risico vormen, moet de Commissie onverwijld in overleg treden met de lidstaten en de betrokken marktdeelnemer en de nationale maatregel beoordelen. Aan de hand van deze beoordeling moet de Commissie besluiten of de maatregel al dan niet gerechtvaardigd is. De Commissie moet haar besluit aan alle lidstaten richten en dit onverwijld aan hen en aan de betrokken marktdeelnemers kenbaar maken. Indien de maatregel gerechtvaardigd wordt geacht, kan de Commissie ook overwegen voorstellen tot herziening van de desbetreffende Uniewetgeving vast te stellen.
(59) Voor producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden en waarvoor er redenen zijn om aan te nemen dat zij niet aan deze verordening voldoen, of voor producten die in overeenstemming zijn met deze verordening maar andere belangrijke risico’s inhouden, bijvoorbeeld voor de gezondheid of veiligheid van personen, de grondrechten of de verlening van diensten door essentiële entiteiten als bedoeld in [bijlage I bij Richtlijn XXX/XXXX (NIS2)], kan de Commissie Enisa verzoeken een evaluatie te verrichten. Op basis van die evaluatie kan de Commissie door middel van uitvoeringshandelingen corrigerende of beperkende maatregelen op Unieniveau vaststellen, onder meer door te gelasten de respectieve producten binnen een redelijke termijn in verhouding tot de aard van het risico uit de handel te nemen of terug te roepen. De Commissie mag een dergelijke maatregel alleen toepassen in uitzonderlijke omstandigheden die een onmiddellijk optreden rechtvaardigen om de goede werking van de interne markt te beschermen, en alleen wanneer de toezichthoudende autoriteiten geen doeltreffende maatregelen hebben genomen om de situatie te verhelpen. Dergelijke uitzonderlijke omstandigheden kunnen noodsituaties zijn waarin bijvoorbeeld een niet-conform product door de fabrikant in verschillende lidstaten op grote schaal beschikbaar wordt gesteld, ook in belangrijke sectoren wordt gebruikt door entiteiten die binnen het toepassingsgebied van [Richtlijn XXX/XXXX (NIS2)] vallen, en bekende kwetsbaarheden bevat die door kwaadwillige actoren worden uitgebuit en waarvoor de fabrikant geen patches verstrekt. De Commissie kan in dergelijke noodsituaties alleen optreden voor de duur van de uitzonderlijke omstandigheden en indien de niet-conformiteit met deze verordening of de belangrijke risico’s die zich voordoen, blijven bestaan.
(60) Wanneer er aanwijzingen zijn van niet-conformiteit met deze verordening in verschillende lidstaten, moeten de markttoezichtautoriteiten gezamenlijke activiteiten met andere autoriteiten kunnen uitvoeren om de conformiteit te verifiëren en de cyberbeveiligingsrisico’s van producten met digitale elementen vast te stellen.
(61) Gelijktijdig gecoördineerde controleacties (“bezemacties”) zijn specifieke handhavingsmaatregelen van markttoezichtautoriteiten die de productveiligheid verder kunnen verbeteren. Bezemacties moeten met name worden uitgevoerd wanneer markttrends, consumentenklachten of andere aanwijzingen erop duiden dat bepaalde productcategorieën vaak cyberbeveiligingsrisico’s blijken te vormen. Enisa moet bij de markttoezichtautoriteiten voorstellen indienen voor categorieën producten waarvoor bezemacties kunnen worden georganiseerd, onder meer op basis van de meldingen van kwetsbaarheden van producten en incidenten die het ontvangt.
(62) Om ervoor te zorgen dat het regelgevingskader waar nodig kan worden aangepast, moet aan de Commissie de bevoegdheid worden gedelegeerd om overeenkomstig artikel 290 VWEU handelingen vast te stellen voor het actualiseren van de lijst van kritieke producten van bijlage III en het specificeren van de definities van deze categorieën producten. Aan de Commissie moet de bevoegdheid worden gedelegeerd om overeenkomstig dat artikel handelingen vast te stellen om producten met digitale elementen aan te wijzen die onder andere voorschriften van de Unie vallen die hetzelfde beschermingsniveau bieden als deze verordening, waarbij zij moet aangeven of een beperking of uitsluiting van het toepassingsgebied van deze verordening noodzakelijk zou zijn en, in voorkomend geval, het toepassingsgebied van die beperking moet bepalen. Ook moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig dat artikel handelingen vast te stellen met betrekking tot de mogelijke verplichting tot certificering van bepaalde zeer kritieke producten met digitale elementen op basis van in deze verordening vastgestelde kriticiteitscriteria, alsook voor het specificeren van de minimuminhoud van de EU-conformiteitsverklaring en voor het aanvullen van de elementen die in de technische documentatie moeten worden opgenomen. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen plaatsvinden in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 33 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.
(63) Om eenvormige voorwaarden voor de uitvoering van deze verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om: de vorm en de elementen van de softwarestuklijst te specificeren, het soort informatie, de vorm en de procedure van de door de fabrikanten bij Enisa ingediende meldingen van actief uitgebuite kwetsbaarheden en incidenten nader te specificeren, de krachtens Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregelingen te specificeren die kunnen worden gebruikt om de conformiteit met de essentiële eisen of onderdelen ervan aan te tonen, zoals uiteengezet in bijlage I bij deze verordening, gemeenschappelijke specificaties vast te stellen met betrekking tot de essentiële eisen van bijlage I, technische specificaties voor pictogrammen of andere merktekens in verband met de beveiliging van producten met digitale elementen vast te stellen, evenals mechanismen om het gebruik ervan te bevorderen, besluiten te nemen over corrigerende of beperkende maatregelen op het niveau van de Unie in uitzonderlijke omstandigheden die een onmiddellijk optreden rechtvaardigen om de goede werking van de interne markt te beschermen. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad 34 .
(64) Om een betrouwbare en constructieve samenwerking van markttoezichtautoriteiten op Unie- en nationaal niveau te waarborgen, moeten alle bij de toepassing van deze verordening betrokken partijen de vertrouwelijkheid eerbiedigen van informatie en data die zij bij de uitvoering van hun taken verkrijgen.
(65) Om de doeltreffende handhaving van de verplichtingen van deze verordening te waarborgen, moet elke markttoezichtautoriteit de bevoegdheid hebben om administratieve geldboeten op te leggen of om oplegging hiervan te vragen. Daarom moeten maximumniveaus worden vastgesteld voor administratieve geldboeten waarin het interne recht moet voorzien voor niet-naleving van de verplichtingen van deze verordening. Bij de vaststelling van het bedrag van de administratieve geldboete per geval moet rekening worden gehouden met alle relevante omstandigheden van de specifieke situatie en ten minste met die welke uitdrukkelijk in deze verordening zijn vastgesteld, met inbegrip van de vraag of andere markttoezichtautoriteiten reeds administratieve geldboeten hebben opgelegd aan dezelfde marktdeelnemer voor soortgelijke inbreuken. Dergelijke omstandigheden kunnen ofwel verzwarend zijn indien de inbreuk door dezelfde marktdeelnemer voortduurt op het grondgebied van andere lidstaten dan die waar reeds een administratieve boete is opgelegd, ofwel verzachtend, door ervoor te zorgen dat er bij elke andere administratieve geldboete die door een andere markttoezichtautoriteit voor dezelfde marktdeelnemer of hetzelfde type inbreuk wordt vastgesteld, rekening wordt gehouden met andere relevante specifieke omstandigheden, waaronder de in andere lidstaten opgelegde geldboeten en de hoogte daarvan. In al die gevallen moet bij de cumulatieve administratieve geldboete die markttoezichtautoriteiten van verschillende lidstaten aan dezelfde marktdeelnemer voor dezelfde soort inbreuk kunnen opleggen, het evenredigheidsbeginsel in acht worden genomen.
(66) Wanneer administratieve geldboeten worden opgelegd aan personen die geen onderneming zijn, moet de bevoegde autoriteit bij het bepalen van het passende bedrag van de geldboete rekening houden met het algemene inkomensniveau in de lidstaat en met de economische situatie van de persoon. Het moet aan de lidstaten worden overgelaten om te bepalen of en in welke mate overheidsinstanties aan administratieve boeten moeten worden onderworpen.
(67) In haar betrekkingen met derde landen streeft de EU ernaar de internationale handel in gereguleerde producten te bevorderen. Er kan een breed scala aan maatregelen worden toegepast om de handel te vergemakkelijken, waaronder verschillende rechtsinstrumenten, zoals bilaterale (intergouvernementele) overeenkomsten inzake wederzijdse erkenning (Mutual Recognition Agreements, MRA’s) voor conformiteitsbeoordeling en markering van gereguleerde producten. Overeenkomsten inzake wederzijdse erkenning komen tot stand tussen de Unie en derde landen die een vergelijkbaar niveau van technische ontwikkeling hebben en een verenigbare aanpak op het gebied van conformiteitsbeoordeling hanteren. Deze overeenkomsten zijn gebaseerd op de wederzijdse aanvaarding van certificaten, conformiteitsmarkering en testverslagen die door de conformiteitsbeoordelingsinstanties van een van beide partijen worden afgegeven in overeenstemming met de wetgeving van de andere partij. Er bestaan momenteel overeenkomsten inzake wederzijdse erkenning voor verschillende landen. De overeenkomsten worden gesloten in een aantal specifieke sectoren, die van land tot land kunnen verschillen. Om de handel verder te vergemakkelijken, en in het besef dat toeleveringsketens van producten met digitale elementen mondiaal zijn, kan de Unie overeenkomstig artikel 218 VWEU overeenkomsten inzake wederzijdse erkenning met betrekking tot conformiteitsbeoordeling sluiten voor producten die onder deze verordening vallen. Samenwerking met partnerlanden is ook belangrijk om de cyberweerbaarheid wereldwijd te versterken, aangezien dit op lange termijn zal bijdragen tot een versterkt cyberbeveiligingskader, zowel binnen als buiten de EU.
(68) De Commissie moet deze verordening in overleg met alle belanghebbende partijen op gezette tijden evalueren, met name om na te gaan of zij in het licht van de veranderende maatschappelijke, politieke, technologische of marktomstandigheden moet worden gewijzigd.
(69) De marktdeelnemers moeten voldoende tijd krijgen om zich aan de voorschriften van deze verordening aan te passen. Deze verordening moet [24 maanden] vanaf de inwerkingtreding ervan van toepassing zijn, met uitzondering van de meldingsplicht met betrekking tot actief uitgebuite kwetsbaarheden en incidenten, die [12 maanden] vanaf de inwerkingtreding van deze verordening van toepassing moet zijn.
(70) Aangezien de doelstelling van deze verordening niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de gevolgen van het optreden beter op het niveau van de Unie kan worden bereikt, kan de Unie maatregelen nemen overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om deze doelstelling te verwezenlijken.
(71) De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 35 en heeft op […] advies uitgebracht.