(EU) 2024/2847Nařízení Evropského parlamentu a Rady (EU) 2024/2847 ze dne 23. října 2024 o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) č. 168/2013 a (EU) 2019/1020 a směrnice (EU) 2020/1828 (akt o kybernetické odolnosti) (Text s významem pro EHP)

(1)

Kybernetická bezpečnost je pro Unii jednou z klíčových výzev. V nadcházejících letech dojde k exponenciálnímu zvýšení počtu a rozmanitosti připojených zařízení. Kybernetické útoky představují záležitost veřejného zájmu, jelikož mají zásadní dopad nejen na hospodářství Unie, ale i na demokracii, stejně jako na bezpečnost a na zdraví spotřebitelů. Je proto nezbytné zpřísnit přístup Unie ke kybernetické bezpečnosti, zabývat se kybernetickou odolností na úrovni Unie a zlepšit fungování vnitřního trhu stanovením jednotného právního rámce pro základní požadavky na kybernetickou bezpečnost při uvádění produktů s digitálními prvky na trh Unie. Měly by být řešeny dva hlavní problémy, které zvyšují náklady pro uživatele a pro společnost: nízká úroveň kybernetické bezpečnosti produktů s digitálními prvky, která se odráží v rozšířených zranitelnostech a nedostatečném a nekonzistentním poskytování bezpečnostních aktualizací k jejímu řešení, a nedostatečné chápání informací a přístup k nim ze strany uživatelů, což jim znemožňuje vybírat si produkty s odpovídajícími kybernetickými bezpečnostními vlastnostmi nebo je používat bezpečným způsobem.

(2)

Cílem tohoto nařízení je stanovit mezní podmínky pro vývoj bezpečných produktů s digitálními prvky tím, že bude zajištěno, aby hardwarové a softwarové produkty byly uváděny na trh s menším počtem zranitelností a aby výrobci brali bezpečnost vážně v průběhu celého životního cyklu produktu. Má rovněž vytvořit podmínky umožňující uživatelům, aby při výběru a používání produktů s digitálními prvky zohledňovali kybernetickou bezpečnost, například zajištěním větší transparentnosti, pokud jde o dobu podpory produktů s digitálními prvky dodávaných na trh.

(3)

Příslušné platné právo Unie, zahrnuje několik souborů horizontálních pravidel, která se z různých úhlů zabývají určitými aspekty souvisejícími s kybernetickou bezpečností, včetně opatření ke zlepšení bezpečnosti digitálního dodavatelského řetězce. Stávající právo Unie týkající se kybernetické bezpečnosti, včetně nařízení Evropského parlamentu a Rady (EU) 2019/881 (3) a směrnice Evropského parlamentu a Rady (EU) 2022/2555 (4), však přímo nezahrnuje povinné požadavky na bezpečnost produktů s digitálními prvky.

(4)

Ačkoli se stávající právo Unie vztahuje na určité produkty s digitálními prvky, neexistuje žádný horizontální regulační rámec Unie, který by stanovil komplexní požadavky na kybernetickou bezpečnost pro všechny produkty s digitálními prvky. Různé akty a iniciativy, které byly dosud přijaty na úrovni Unie a na vnitrostátní úrovni, řeší zjištěné problémy a rizika související s kybernetickou bezpečností pouze částečně, vytvářejí v rámci vnitřního trhu právní nejednotnost, zvyšují právní nejistotu pro výrobce i pro uživatele těchto produktů a vytváří zbytečnou zátěž pro podniky a organizace, pokud jde o plnění řady požadavků a povinností souvisejících s podobnými druhy produktů. Kybernetická bezpečnost těchto produktů má obzvláště silný přeshraniční rozměr, neboť produkty s digitálními prvky vyrobené v jednom členském státě nebo třetí zemi často používají organizace a spotřebitelé na celém vnitřním trhu. Proto je nezbytné regulovat tuto oblast na úrovni Unie s cílem zajistit harmonizovaný regulační rámec a právní jistotu pro uživatele, organizace a podniky, včetně mikropodniků a malých a středních podniků, jak jsou definovány v příloze doporučení Komise 2003/361/ES (5). Regulační prostředí Unie by mělo být harmonizováno zavedením horizontálních požadavků na kybernetickou bezpečnost produktů s digitálními prvky. Kromě toho by měla být v celé Unii zajištěna právní jistota pro hospodářské subjekty a uživatele, jakož i lepší harmonizace vnitřního trhu a proporcionalita pro mikropodniky a malé a střední podniky, přičemž pro hospodářské subjekty, které chtějí na tento trh vstoupit, by se tím vytvořily přijatelnější podmínky.

(5)

Pokud jde o mikropodniky a malé a střední podniky, měla by se při určování kategorie, do níž daný podnik spadá, použít ustanovení přílohy doporučení 2003/361/ES v plném rozsahu. Proto by se při kalkulaci počtu zaměstnanců a finančních prahů vymezujících kategorie podniků měla použít rovněž ustanovení článku 6 přílohy doporučení 2003/361/ES týkající se stanovení údajů o podniku s ohledem na konkrétní typy podniků, jako jsou partnerské podniky nebo propojené podniky.

(6)

Komise by měla hospodářským subjektům, zejména mikropodnikům a malým a středním podnikům, pomoci při uplatňování tohoto nařízení tím, že vydá příslušné pokyny. Tyto pokyny by se měly mimo jiné týkat oblasti působnosti tohoto nařízení, zejména pokud jde o zpracování dat na dálku a jeho důsledky pro vývojáře svobodného softwaru s otevřeným zdrojovým kódem, o uplatňování kritérií používaných ke stanovení doby podpory u produktů s digitálními prvky, o vzájemnou provázanost tohoto nařízení s jiným právem Unie a o konceptu podstatné změny.

(7)

Na úrovni Unie se v různých programových a politických dokumentech, například ve společném sdělení Komise a vysokého představitele Unie pro zahraniční věci a bezpečnostní politiku ze dne 16. prosince 2020 nazvaném „Strategie kybernetické bezpečnosti EU pro digitální dekádu“, v závěrech Rady ze dne 2. prosince 2020 o kybernetické bezpečnosti zařízení připojených k internetu a ze dne 23. května 2022 o rozvoji kybernetické pozice Evropské unie a v usnesení Evropského parlamentu ze dne 10. června 2021 o strategii kybernetické bezpečnosti EU pro digitální dekádu (6), vyzývá k zavedení zvláštních požadavků Unie na kybernetickou bezpečnost digitálních produktů nebo zařízení připojených k internetu, přičemž několik třetích zemí zavedlo opatření k řešení této otázky z vlastního podnětu. V závěrečné zprávě Konference o budoucnosti Evropy občané požadovali „větší roli EU v boji proti hrozbám v oblasti kybernetické bezpečnosti“. Aby mohla Unie v oblasti kybernetické bezpečnosti zaujmout vedoucí postavení na mezinárodní úrovni, je důležité vytvořit ambiciózní zastřešující regulační rámec.

(8)

Aby se zvýšila celková úroveň kybernetické bezpečnosti všech produktů s digitálními prvky uváděných na vnitřní trh, je nezbytné zavést pro tyto produkty cílené a technologicky neutrální základní požadavky na kybernetickou bezpečnost, které by byly horizontálně použitelné.

(9)

Za určitých podmínek mohou všechny produkty s digitálními prvky začleněné do většího elektronického informačního systému nebo k němu připojené sloužit pro škodlivé aktéry jako vektor útoku. V důsledku toho může i hardware a software, který je považován za méně kritický, usnadnit prvotní narušení zařízení nebo sítě, což umožní škodlivým aktérům získat privilegovaný přístup k systému nebo se pohybovat napříč systémy. Výrobci by proto měli zajistit, aby byly všechny produkty s digitálními prvky navrhovány a vyvíjeny v souladu se základními požadavky na kybernetickou bezpečnost stanovenými tímto nařízením. Tato povinnost se týká produktů, které lze fyzicky připojit prostřednictvím hardwarových rozhraní, i produktů, které jsou připojeny logicky, například prostřednictvím síťových zásuvek, vedení, souborů, rozhraní pro programování aplikací nebo jakýchkoli jiných druhů softwarového rozhraní. Vzhledem k tomu, že kybernetické hrozby se mohou před dosažením určitého cíle šířit prostřednictvím různých produktů s digitálními prvky, například zřetězením zneužití více zranitelností, měli by výrobci zajistit kybernetickou bezpečnost i u těch produktů s digitálními prvky, které jsou připojeny k jiným zařízením nebo sítím pouze nepřímo.

(10)

Stanovení požadavků na kybernetickou bezpečnost pro uvádění produktů s digitálními prvky na trh je určeno ke zvýšení kybernetické bezpečnosti těchto produktů pro spotřebitele i pro podniky. Tyto požadavky rovněž zajistí, aby byla kybernetická bezpečnost zohledňována v celém dodavatelském řetězci, díky čemuž budou konečné produkty s digitálními prvky a jejich komponenty bezpečnější. Tyto požadavky na uvádění na trh by měly být stanoveny i v případě spotřebních produktů s digitálními prvky určených pro zranitelné spotřebitele, například hraček a systémů pro monitorování dětí. Spotřebitelské produkty s digitálními prvky, které jsou v tomto nařízení klasifikovány jako důležité produkty s digitálními prvky, představují vyšší kybernetické bezpečnostní riziko, neboť plní funkci, která s sebou nese významné riziko nepříznivých účinků co do intenzity a schopnosti poškodit zdraví nebo ohrozit bezpečnost uživatelů těchto produktů, a měly by tak podléhat přísnějšímu postupu posuzování shody. Patří mezi ně takové produkty, jako jsou produkty pro inteligentní domácnost s bezpečnostními funkcemi, včetně inteligentních dveřních zámků, systémy pro monitorování dětí a poplašné systémy, hračky připojené k internetu a nositelná elektronika používaná ve zdravotnictví. Přísnější postupy posuzování shody, jimž se musejí podrobit ostatní produkty s digitálními prvky, které jsou v tomto nařízení klasifikovány jako důležité nebo kritické produkty s digitálními prvky, navíc přispějí k zabránění možnému negativnímu dopadu zneužívání zranitelností na spotřebitele.

(11)

Účelem tohoto nařízení je zajistit vysokou úroveň kybernetické bezpečnosti produktů s digitálními prvky a jejich integrovaná řešení pro zpracování dat na dálku. Tato řešení pro zpracování dat na dálku by měla být definována jako zpracování dat na dálku, pro něž je software navržen a vyvinut výrobcem daného produktu s digitálními prvky nebo jeho jménem, a pokud by neexistoval, nebylo by možné, aby tento produkt s digitálními prvky plnil některou ze svých funkcí. Tento přístup zajišťuje, aby tyto produkty byly jejich výrobci odpovídajícím způsobem zabezpečeny v celém rozsahu bez ohledu na to, zda jsou data zpracovávána nebo uchovávána lokálně v zařízení uživatele, nebo na dálku výrobcem. Zpracování nebo uchovávání dat na dálku zároveň spadá do oblasti působnosti tohoto nařízení pouze tehdy, je-li to nezbytné k tomu, aby produkt s digitálními prvky plnil své funkce. O takové zpracování nebo uchovávání dat na dálku se jedná i tehdy, vyžaduje-li mobilní aplikace přístup k rozhraní pro programování aplikací nebo k databázi poskytované prostřednictvím služby vyvinuté výrobcem. V takovém případě spadá tato služba do oblasti působnosti tohoto nařízení jako řešení pro zpracování dat na dálku. Požadavky týkající se řešení pro zpracování dat na dálku, která spadají do oblasti působnosti tohoto nařízení, proto nezahrnují technická, provozní nebo organizační opatření, jejichž cílem je řídit bezpečnostní rizika, jimž jsou vystaveny sítě a informační systémy výrobce jako celek.

(12)

Cloudová řešení představují řešení pro zpracování dat na dálku ve smyslu tohoto nařízení, pouze pokud splňují definici stanovenou v tomto nařízení. Do oblasti působnosti tohoto nařízení spadají například cloudové funkce poskytované výrobcem zařízení pro inteligentní domácnost, které uživateli umožňují ovládat zařízení na dálku. Naopak internetové stránky, které nepodporují funkce produktu s digitálními prvky, nebo cloudové služby, za jejichž koncepci a vývoj nenese odpovědnost výrobce produktu s digitálními prvky, do oblasti působnosti tohoto nařízení nespadají. Na služby cloud computingu a modely cloudových služeb, jako je software jako služba (SaaS), platforma jako služba (PaaS) nebo infrastruktura jako služba (IaaS), se použije směrnice (EU) 2022/2555. Do oblasti působnosti uvedené směrnice spadají subjekty poskytující v Unii služby cloud computingu, které lze podle článku 2 přílohy doporučení 2003/361/ES považovat za střední podniky nebo které překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku.

(13)

V souladu s cílem tohoto nařízení odstranit překážky bránící volnému pohybu produktů s digitálními prvky, by členské státy neměly v záležitostech, na něž se vztahuje toto nařízení, bránit tomu, aby byly na trh dodávány produkty s digitálními prvky, které jsou v souladu s tímto nařízením. V záležitostech harmonizovaných tímto nařízením proto členské státy nemohou ukládat dodatečné požadavky na kybernetickou bezpečnost týkající se dodávaní produktů s digitálními prvky na trh. Každý veřejný nebo soukromý subjekt však může k požadavkům stanoveným v tomto nařízení stanovit dodatečné požadavky pro zadávání zakázek nebo používání produktů s digitálními prvky pro své konkrétní účely, a může se proto rozhodnout používat produkty s digitálními prvky, které splňují přísnější nebo konkrétnější požadavky na kybernetickou bezpečnost než ty, které se vztahují na dodávání na trh podle tohoto nařízení. Aniž jsou dotčeny směrnice Evropského parlamentu a Rady 2014/24/EU (7) a 2014/25/EU (8), měly by členské státy při zadávání zakázek na produkty s digitálními prvky, které musejí splňovat základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení, včetně požadavků týkajících se řešení zranitelností, zajistit, aby byly tyto požadavky při zadávání zakázek zohledněny a aby byla zohledněna rovněž schopnost výrobců účinně uplatňovat opatření v oblasti kybernetické bezpečnosti a zvládat kybernetické hrozby. Ve směrnici (EU) 2022/2555 jsou dále stanovena opatření k řízení kybernetických bezpečnostních rizik pro základní a důležité subjekty podle článku 3 uvedené směrnice, která by mohla zahrnovat opatření v oblasti bezpečnosti dodavatelského řetězce, jež vyžadují, aby tyto subjekty používaly produkty s digitálními prvky, které splňují přísnější požadavky na kybernetickou bezpečnost, než jsou požadavky stanovené v tomto nařízení. V souladu se směrnicí (EU) 2022/2555 a v souladu s její zásadou minimální harmonizace proto mohou členské státy uložit dodatečné požadavky na kybernetickou bezpečnost pro používání produktů informačních a komunikačních technologií (IKT) základními nebo důležitými subjekty podle uvedené směrnice, aby byla zajištěna vyšší úroveň kybernetické bezpečnosti, pokud jsou tyto požadavky v souladu s povinnostmi členských států stanovenými v právu Unie. Záležitosti, na něž se toto nařízení nevztahuje, mohou zahrnovat jiné než technické faktory týkající se produktů s digitálními prvky a jejich výrobců. Členské státy proto mohou stanovit vnitrostátní opatření, včetně omezení týkajících se produktů s digitálními prvky nebo dodavatelů těchto produktů, která zohledňují jiné než technické faktory. Vnitrostátní opatření týkající se těchto faktorů musejí být v souladu s právem Unie.

(14)

Tímto nařízením by neměla být dotčena odpovědnost členských států za zajištění národní bezpečnosti v souladu s právem Unie. Členské státy by měly mít možnost uložit pro produkty s digitálními prvky, které jsou pořizovány nebo používány pro účely národní bezpečnosti nebo obrany, dodatečná opatření, pokud jsou tato opatření v souladu s povinnostmi členských států stanovenými v právu Unie.

(15)

Toto nařízení se vztahuje na hospodářské subjekty pouze ve vztahu k produktům s digitálními prvky, které jsou dodány na trh, tedy dodány za účelem distribuce nebo použití na trhu Unie v rámci obchodní činnosti. Dodávání v rámci obchodní činnosti může být charakterizováno nejen stanovením ceny za produkt s digitálními prvky, ale také stanovením ceny za technické podpůrné služby, která neslouží pouze k úhradě skutečných nákladů, se záměrem zpeněžení, například poskytnutím softwarové platformy, jejímž prostřednictvím výrobce zpeněžuje jiné služby, stanovením, že podmínkou použití je zpracovávání osobních údajů z jiných důvodů, než je výlučně zlepšení bezpečnosti, kompatibility nebo interoperability softwaru, nebo přijímáním darů v hodnotě přesahující náklady spojené s navrhováním, vývojem a dodáváním produktu s digitálními prvky. Přijímání darů bez záměru vytvářet zisk by nemělo být považováno za obchodní činnost.

(16)

Pro účely tohoto nařízení by produkty s digitálními prvky poskytované v rámci služby, za niž se účtuje poplatek výhradně za účelem úhrady skutečných nákladů, které přímo souvisejí s provozováním této služby, jako je tomu v případě některých produktů s digitálními prvky poskytovaných subjekty veřejné správy, neměly být samy o sobě považovány za obchodní činnost. Dále by se produkty s digitálními prvky, které vyvíjí nebo upravuje subjekt veřejné správy výhradně pro vlastní potřebu neměly považovat za produkty dodávané na trh ve smyslu tohoto nařízení.

(17)

Software a data, která jsou otevřeně sdílena a k nimž nebo k jejichž upraveným verzím mají uživatelé volný přístup a mohou je používat, upravovat a redistribuovat, mohou přispět k výzkumu a inovacím na trhu. Na podporu vývoje a zavádění svobodného softwaru s otevřeným zdrojovým kódem, zejména mikropodniky a malými a středními podniky, včetně začínajících podniků, jednotlivci, neziskovými organizacemi a akademickými organizacemi provádějícími výzkum, by se při použití tohoto nařízení na produkty s digitálními prvky, které jsou považovány za svobodný software s otevřeným zdrojovým kódem dodávaný za účelem distribuce nebo použití v rámci obchodní činnosti, měla zohlednit povaha různých modelů vývoje softwaru distribuovaného a vyvíjeného na základě licence k svobodnému softwaru s otevřeným zdrojovým kódem.

(18)

Svobodným softwarem s otevřeným zdrojovým kódem se rozumí software, jehož zdrojový kód je otevřeně sdílen a jehož licence poskytuje veškerá práva na to, aby byl volně přístupný, použitelný, upravitelný a dále distribuovatelný. Svobodný software s otevřeným zdrojovým kódem je vyvíjen, udržován a šířen otevřeně, a to i prostřednictvím online platforem. Ve vztahu k hospodářským subjektům, které spadají do oblasti působnosti tohoto nařízení, by do oblasti působnosti tohoto nařízení měl spadat pouze svobodný software s otevřeným zdrojovým kódem, který je dodáván na trh a tedy dodávám za účelem distribuce nebo použití v rámci obchodní činnosti. Při určování komerční nebo nekomerční povahy této činnosti by proto neměly být brány v úvahu pouze okolnosti, za nichž byl produkt s digitálními prvky vyvinut, nebo způsob financování jeho vývoje. Konkrétně by pro účely tohoto nařízení a ve vztahu k hospodářským subjektům, které spadají do jeho oblasti působnosti, nemělo být za obchodní činnost považováno poskytování produktů s digitálními prvky představujících svobodný software s otevřeným zdrojovým kódem, které není jejich výrobci zpeněženo; takto bude zajištěno jasné rozlišení mezi fází vývoje a fází dodávání. Kromě toho by dodání produktů s digitálními prvky, které jsou považovány za komponenty svobodného softwaru s otevřeným zdrojovým kódem určené k začlenění jinými výrobci do jejich vlastních produktů s digitálními prvky, mělo být považováno za dodání na trh pouze tehdy, pokud danou komponentu její původní výrobce zpeněží. Například pouhá skutečnost, že softwarový produkt s otevřeným zdrojovým kódem s digitálními prvky získá finanční podporu od výrobců nebo že výrobci přispívají k vývoji takového produktu, by sama o sobě neměla znamenat, že se jedná o činnost komerční povahy. Ani pouhé pravidelné vydávání produktu s digitálními prvky by samo o sobě nemělo vést k závěru, že je tento produkt dodáván v rámci obchodní činnosti. Za obchodní činnost by navíc neměl být pro účely tohoto nařízení považován ani vývoj produktů s digitálními prvky považovaných za svobodný software s otevřeným zdrojovým kódem neziskovými organizacemi, za předpokladu, že organizace byla zřízena takovým způsobem, aby bylo zajištěno, že veškeré příjmy po odečtení nákladů budou použity k dosažení neziskových cílů. Toto nařízení se nevztahuje na fyzické ani právnické osoby, které přispívají zdrojovým kódem k produktům s digitálními prvky, jež jsou považovány za svobodný software s otevřeným zdrojovým kódem, za něž nenesou odpovědnost.

(19)

Vzhledem k tomu, že mnoho produktů s digitálními prvky, které jsou považovány za svobodný software s otevřeným zdrojovým kódem a které jsou zveřejňovány, ale nejsou dodávány na trh ve smyslu tohoto nařízení, má význam pro kybernetickou bezpečnost, by se na právnické osoby, které poskytují udržitelnou podporu pro vývoj takových produktů určených k obchodní činnosti a které hrají hlavní úlohu při zajišťování životaschopnosti těchto produktů (správci softwaru s otevřeným zdrojovým kódem), měl vztahovat zjednodušený a individuálně upravený regulační režim. Mezi správce softwaru s otevřeným zdrojovým kódem patří některé nadace a rovněž subjekty, které vyvíjejí a zveřejňují svobodný software s otevřeným zdrojovým kódem v obchodním kontextu, včetně neziskových subjektů. Regulační režim by měl zohledňovat jejich zvláštní povahu a slučitelnost s druhem uložených povinností. Měl by se vztahovat pouze na produkty s digitálními prvky považované za svobodný software s otevřeným zdrojovým kódem, které jsou v konečném důsledku určeny pro obchodní činnost, například pro začlenění do komerčních služeb nebo do zpeněžovaných produktů s digitálními prvky. Pro účely regulačního režimu zahrnuje záměr začlenění do zpeněžovaných produktů s digitálními prvky případy, kdy výrobci, kteří začleňují určitou komponentu do svých vlastních produktů s digitálními prvky, buď pravidelně přispívají k rozvoji této komponenty, nebo poskytují pravidelnou finanční pomoc k zajištění kontinuity softwarového produktu. Poskytování dlouhodobé podpory vývoji produktu s digitálními prvky zahrnuje mimo jiné hosting a správu platforem pro spolupráci v oblasti vývoje softwaru, hosting zdrojového kódu nebo softwaru, správu nebo řízení produktů s digitálními prvky, které jsou považovány za svobodný software s otevřeným zdrojovým kódem, a směrování vývoje těchto produktů. Vzhledem k tomu, že v rámci zjednodušeného a individuálně upraveného regulačního režimu nemají subjekty jednající jako správci softwaru s otevřeným zdrojovým kódem stejné povinnosti, jaké jsou v tomto nařízení uloženy subjektům jednajícím jako výrobci, nemělo by jim být povoleno umísťovat označení CE na produkty s digitálními prvky, jejichž vývoj podporují.

(20)

Samotný akt hostingu produktů s digitálními prvky v otevřených repozitářích, a to i prostřednictvím správců balíčků nebo v rámci platforem pro spolupráci, sám o sobě nepředstavuje dodávání produktu s digitálními prvky na trh. Poskytovatelé těchto služeb by měli být považováni za distributory pouze tehdy, dodávají-li takový software na trh, tedy dodávají-li ho za účelem jeho distribuce nebo použití na trhu Unie v rámci obchodní činnosti.

(21)

S cílem podpořit a usnadnit náležitou péči výrobců, kteří do svých produktů s digitálními prvky začleňují komponenty svobodného softwaru s otevřeným zdrojovým kódem, které nepodléhají základním požadavkům na kybernetickou bezpečnost stanoveným v tomto nařízení, by Komise měla mít možnost zavést dobrovolné programy osvědčování bezpečnosti, a to buď prostřednictvím aktu v přenesené pravomoci doplňujícího toto nařízení, nebo na základě žádosti o evropské schéma certifikace kybernetické bezpečnosti podle článku 48 nařízení (EU) 2019/881, který by zohledňoval specifika modelů vývoje svobodného softwaru s otevřeným zdrojovým kódem. Programy osvědčování bezpečnosti by měly být koncipovány tak, aby iniciovat nebo financovat osvědčení bezpečnosti mohly nejen fyzické nebo právnické osoby, které vyvíjejí produkt s digitálními prvky, jenž je považován za svobodný software s otevřeným zdrojovým kódem, nebo k jeho vývoji přispívají, ale také třetí strany, jako jsou výrobci, kteří tyto produkty začleňují do svých vlastních produktů s digitálními prvky, uživatelé nebo unijní a vnitrostátní orgány veřejné správy.

(22)

S ohledem na cíle tohoto nařízení týkající se kybernetické bezpečnosti ve veřejné sféře, a s cílem zlepšit informovanost členských států, pokud jde o závislost Unie na softwarových komponentách, a zejména na komponentách potenciálně svobodného softwaru s otevřeným zdrojovým kódem, by měla mít specializovaná skupina pro správní spolupráci zřízená tímto nařízením možnost rozhodnout o společném provedení posouzení závislosti Unie. Orgány dozoru nad trhem by měly mít možnost požádat výrobce kategorií produktů s digitálními prvky stanovených specializovanou skupinou pro správní spolupráci, aby předložili softwarový kusovník (SBOM), jenž vytvořili podle tohoto nařízení. V zájmu ochrany důvěrnosti softwarových kusovníků by orgány dozoru nad trhem měly specializované skupině pro správní spolupráci předkládat příslušné informace o závislostech v anonymizované a souhrnné podobě.

(23)

Účinnost uplatňování tohoto nařízení bude rovněž záviset na dostupnosti odpovídajících dovedností v oblasti kybernetické bezpečnosti. Nedostatek dovedností v oblasti kybernetické bezpečnosti v Unii a potřeba prioritního řešení souvisejících výzev ve veřejném i soukromém sektoru byly na úrovni Unie uznány v různých programových a politických dokumentech, mimo jiné ve sdělení Komise ze dne 18. dubna 2023 o řešení nedostatku talentů v oblasti kybernetické bezpečnosti za účelem posílení konkurenceschopnosti, růstu a odolnosti EU a v závěrech Rady ze dne 22. května 2023 o politice EU pro kybernetickou obranu. V zájmu zajištění účinného uplatňování tohoto nařízení by členské státy měly zajistit, aby orgány dozoru nad trhem a subjekty posuzování shody měly k dispozici dostatečné finanční zdroje pro náležité personální zajištění, a mohly tak plnit své úkoly stanovené v tomto nařízení. Tato opatření by měla zvýšit mobilitu pracovních sil v oblasti kybernetické bezpečnosti a rozšířit s ní související profesní možnosti. Měla by rovněž přispět k větší odolnosti a inkluzivnosti pracovní síly v oblasti kybernetické bezpečnosti, a to i pokud jde o genderové otázky. Členské státy by proto měly přijmout opatření k zajištění toho, aby tyto úkoly plnili náležitě vyškolení odborníci s nezbytnými dovednostmi v oblasti kybernetické bezpečnosti. Podobně by výrobci měli zajistit, aby jejich zaměstnanci měli potřebné dovednosti pro plnění svých povinností stanovených v tomto nařízení. Členské státy a Komise by měly v souladu se svými výsadami a pravomocemi a zvláštními úkoly, které jsou jim svěřeny tímto nařízením, přijmout opatření na podporu výrobců, zejména mikropodniků a malých a středních podniků, včetně začínajících podniků, a to i v oblastech, jako je rozvoj dovedností, aby tito výrobci mohli splnit své povinnosti stanovené v tomto nařízení. Vzhledem k tomu, že směrnice (EU) 2022/2555 vyžaduje, aby členské státy přijaly v rámci své vnitrostátní strategie kybernetické bezpečnosti opatření na podporu a rozvoj odborné přípravy a dovedností v oblasti kybernetické bezpečnosti, mohou členské státy při přijímání těchto strategií navíc zvážit, zda budou rovněž řešit potřeby týkající se dovedností v oblasti kybernetické bezpečnosti vyplývající z tohoto nařízení, včetně těch, které se týkají rekvalifikace a zvyšování kvalifikace.

(24)

Bezpečný internet je nezbytný pro fungování kritických infrastruktur a pro společnost jako celek. Směrnice (EU) 2022/2555 má za cíl zajistit vysokou úroveň kybernetické bezpečnosti služeb poskytovaných základními a důležitými subjekty uvedenými v článku 3 uvedené směrnice, včetně poskytovatelů digitální infrastruktury, kteří podporují klíčové funkce otevřeného internetu a zajišťují přístup k internetu a poskytují internetové služby. Je proto důležité, aby produkty s digitálními prvky, které poskytovatelé digitální infrastruktury potřebují k zajištění fungování internetu, byly vyvíjeny bezpečným způsobem a aby splňovaly zavedené normy bezpečnosti internetu. Cílem tohoto nařízení, které se vztahuje na všechny připojitelné hardwarové a softwarové produkty, je rovněž usnadnit dodržování požadavků dodavatelského řetězce ze strany poskytovatelů digitální infrastruktury podle směrnice (EU) 2022/2555 tím, že zajistí, aby produkty s digitálními prvky, které používají při poskytování svých služeb, byly vyvíjeny bezpečným způsobem a aby měli přístup k včasným bezpečnostním aktualizacím těchto produktů.

(25)

V nařízení Evropského parlamentu a Rady (EU) 2017/745 (9) jsou stanovena pravidla pro zdravotnické prostředky a v nařízení Evropského parlamentu a Rady (EU) 2017/746 (10) pravidla pro diagnostické zdravotnické prostředky in vitro. Uvedená nařízení řeší kybernetická bezpečnostní rizika a uplatňují konkrétní přístupy, kterými se toto nařízení rovněž zabývá. Přesněji řečeno, v nařízení (EU) 2017/745 a nařízení (EU) 2017/746 jsou stanoveny základní požadavky na zdravotnické prostředky, které fungují prostřednictvím elektronického systému nebo které jsou samy softwarem. Tato nařízení se vztahují rovněž na určitý nevestavěný software a na přístup zohledňující celý životní cyklus. Uvedené požadavky ukládají výrobcům, aby vyvíjeli a vytvářeli své produkty uplatňováním zásad řízení rizik a stanovením požadavků týkajících se opatření v oblasti bezpečnosti IT, jakož i odpovídajících postupů posuzování shody. Kromě toho jsou od prosince 2019 zavedeny zvláštní pokyny týkající se kybernetické bezpečnosti zdravotnických prostředků, které výrobcům zdravotnických prostředků, včetně diagnostických prostředků in vitro, poskytují informace, jak splnit všechny příslušné základní požadavky na kybernetickou bezpečnost stanovené v příloze I uvedených nařízení. Na produkty s digitálními prvky, na něž se vztahuje jedno z těchto nařízení, by se proto toto nařízení nemělo vztahovat.

(26)

Do působnosti tohoto nařízení nespadají produkty s digitálními prvky, které jsou vyvinuty nebo upraveny výhradně pro účely národní bezpečnosti nebo obrany, nebo produkty, které jsou speciálně určeny ke zpracování utajovaných informací. Členským státům se doporučuje, aby pro tyto produkty zajistily alespoň stejnou úroveň ochrany jako pro produkty spadající do oblasti působnosti tohoto nařízení.

(27)

V nařízení Evropského parlamentu a Rady (EU) 2019/2144 (11) jsou stanoveny požadavky na schvalování typů vozidel a jejich systémů a komponent a zavedeny určité požadavky na kybernetickou bezpečnost, včetně požadavků na provoz certifikovaného systému řízení kybernetické bezpečnosti, na aktualizace softwaru týkající se politiky a postupů organizací pro kybernetická bezpečnostní rizika, která souvisejí s celým životním cyklem vozidel, zařízení a služeb v souladu s použitelnými předpisy OSN o technických specifikacích a kybernetické bezpečnosti, zejména s předpisem OSN č. 155 – Jednotná ustanovení pro schvalování vozidel z hlediska kybernetické bezpečnosti a systému řízení kybernetické bezpečnosti (12), přičemž stanovují konkrétní postupy posuzování shody. V oblasti letectví je hlavním cílem nařízení Evropského parlamentu a Rady (EU) 2018/1139 (13) zavést a udržovat vysokou jednotnou úroveň bezpečnosti civilního letectví v Unii. Vytváří rámec pro základní požadavky na letovou způsobilost leteckých výrobků, dílů a vybavení, včetně softwaru, který zahrnuje povinnosti ochrany před hrozbami v oblasti informační bezpečnosti. Certifikace podle nařízení (EU) 2018/1139 poskytuje záruky na úrovni, kterou sleduje i toto nařízení. Na produkty s digitálními prvky, na něž se vztahuje nařízení (EU) 2019/2144, a na produkty certifikované v souladu s nařízením (EU) 2018/1139 by se proto neměly vztahovat základní požadavky na kybernetickou bezpečnost a postupy posuzování shody stanovené v tomto nařízení.

(28)

Toto nařízení stanovuje horizontální pravidla kybernetické bezpečnosti, která nejsou specifická pro určitá odvětví nebo určité produkty s digitálními prvky. Nicméně by mohla být zavedena odvětvová pravidla nebo pravidla Unie specifická pro určité produkty, která by stanovila požadavky týkající se všech nebo některých rizik, na něž se vztahují základní požadavky na kybernetickou bezpečnost stanovené tímto nařízením. V těchto případech může být použití tohoto nařízení na produkty s digitálními prvky, na něž se vztahují jiná pravidla Unie, která stanovují požadavky řešící všechna nebo některá rizika, pro něž platí základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení, omezeno nebo vyloučeno, pokud je takové omezení nebo vyloučení v souladu s celkovým regulačním rámcem použitelným pro tyto produkty a pokud odvětvová pravidla dosahují alespoň stejné úrovně ochrany, jako je stanovena v tomto nařízení. Komisi by měla být svěřena pravomoc přijímat akty v přenesené pravomoci za účelem doplnění tohoto nařízení tím, že tyto produkty a pravidla určí. V případě stávajícího práva Unie, na nějž by se tato omezení nebo vyloučení měla vztahovat, obsahuje toto nařízení zvláštní ustanovení, která objasňují jeho vztah k uvedenému právu Unie.

(29)

Aby se zajistila možnost účinné opravy produktů s digitálními prvky dodaných na trh a prodloužení jejich životnosti, je třeba stanovit výjimku pro náhradní komponenty. Tato výjimka by se měla vztahovat jak na náhradní komponenty, které mají sloužit k opravě zastaralých produktů dodaných na trh přede dnem použitelnosti tohoto nařízení, tak na náhradní komponenty, které již prošly postupy posuzování shody podle tohoto nařízení.

(30)

V nařízení Komise v přenesené pravomoci (EU) 2022/30 (14) je stanoveno, že se na některá rádiová zařízení vztahuje řada základních požadavků uvedených v čl. 3 odst. 3 písm. d), e) a f) směrnice Evropského parlamentu a Rady 2014/53/EU (15), které se týkají nepříznivého vlivu na síť a zneužití zdrojů sítě, osobních údajů a soukromí a podvodů. V prováděcím rozhodnutí Komise C(2022) 5637 ze dne 5. srpna 2022 o žádosti o normalizaci předložené Evropskému výboru pro normalizaci a Evropskému výboru pro normalizaci v elektrotechnice, jsou stanoveny požadavky na vypracování konkrétních norem, které dále upřesňují, jak by měly být tyto základní požadavky řešeny. Základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení zahrnují všechny prvky základních požadavků uvedených v čl. 3 odst. 3 písm. d), e) a f) směrnice 2014/53/EU. Základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení jsou navíc v souladu s cíli požadavků týkajících se konkrétních norem obsažených v uvedené žádosti o normalizaci. Pokud tedy Komise zruší nebo změní nařízení v přenesené pravomoci (EU) 2022/30 s tím důsledkem, že se přestane uplatňovat na některé produkty, na něž se vztahuje toto nařízení, měla by Komise a evropské normalizační organizace při přípravě a vypracovávání harmonizovaných norem s cílem usnadnit uplatňování tohoto nařízení zohlednit normalizační práci provedenou v souvislosti s prováděcím rozhodnutím C(2022) 5637. Během přechodného období pro uplatňování tohoto nařízení by Komise měla poskytnout pokyny výrobcům, na něž se vztahuje toto nařízení i nařízení v přenesené pravomoci (EU) 2022/30, s cílem usnadnit prokázání souladu s oběma těmito nařízeními.

(31)

Směrnice Evropského parlamentu a Rady (EU) 2024/2853 (16) doplňuje toto nařízení. Směrnice stanovuje pravidla týkající se odpovědnosti za vadné produkty, aby poškozené osoby mohly požadovat náhradu škody, pokud byla tato škoda způsobena vadnými produkty. Je v ní zavedena zásada, podle níž je výrobce produktu odpovědný za škody způsobené nedostatečnou bezpečností jeho produktu, a to bez ohledu na zavinění (objektivní odpovědnost). Pokud taková nedostatečná bezpečnost spočívá v neexistenci bezpečnostních aktualizací po uvedení produktu na trh a vznikne tím škoda, může být uplatněna odpovědnost výrobce. Povinnosti výrobců, které se týkají poskytování těchto bezpečnostních aktualizací, by měly být stanoveny v tomto nařízení.

(32)

Tímto nařízením by nemělo být dotčeno nařízení Evropského parlamentu a Rady (EU) 2016/679 (17), včetně ustanovení o zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s uvedeným nařízením v případě operací zpracování prováděných správci a zpracovateli. Tyto operace by mohly být začleněny do produktu s digitálními prvky. Klíčovými prvky nařízení (EU) 2016/679 jsou záměrná a standardní ochrana osobních údajů a kybernetická bezpečnost obecně. Tím, že chrání spotřebitele a organizace před kybernetickými bezpečnostními riziky, mají základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení rovněž přispět ke zvýšení ochrany osobních údajů a soukromí jednotlivců. Měla by být zvážena součinnost v oblasti normalizace i certifikace týkající se aspektů kybernetické bezpečnosti prostřednictvím spolupráce mezi Komisí, evropskými normalizačními organizacemi, Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA), Evropským sborem pro ochranu osobních údajů zřízeným nařízením (EU) 2016/679 a vnitrostátními dozorovými úřady pro ochranu údajů. Součinnost mezi tímto nařízením a právem Unie v oblasti ochrany údajů by měla být vytvořena rovněž v oblasti dozoru nad trhem a vymáhání práva. Za tímto účelem by vnitrostátní orgány dozoru nad trhem určené podle tohoto nařízení měly spolupracovat s orgány vykonávajícími dohled nad uplatňováním práva Unie v oblasti ochrany údajů. Později zmíněné by měly rovněž mít přístup k informacím, které jsou důležité pro plnění jejich úkolů.

(33)

Pokud jejich produkty spadají do oblasti působnosti tohoto nařízení, měli by poskytovatelé evropských peněženek digitální identity podle čl. 5a odst. 2 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (18) splňovat horizontální základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení i konkrétní bezpečnostní požadavky stanovené v článku 5a nařízení (EU) č. 910/2014. Aby se usnadnilo dodržování požadavků, měli by být poskytovatelé peněženek schopni prokázat soulad evropských peněženek digitální identity s požadavky stanovenými v tomto nařízení a v nařízení (EU) č. 910/2014, a to prostřednictvím certifikace svých produktů v rámci evropského schématu certifikace kybernetické bezpečnosti zřízeného podle nařízení (EU) 2019/881, pro který Komise stanovila prostřednictvím aktů v přenesené pravomoci předpoklad shody s tímto nařízením, pokud se certifikát nebo jeho části vztahují na tyto požadavky.

(34)

Během fáze návrhu a vývoje by výrobci při začleňování komponent, které pocházejí od třetích stran, do produktů s digitálními prvky měli věnovat náležitou péči těmto komponentám, a to i pokud jde o komponenty svobodného softwaru s otevřeným zdrojovým kódem, které nebyly dodány na trh, aby zajistili, že produkty budou navrženy, vyvinuty a vyrobeny v souladu se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení. Vhodná úroveň náležité péče závisí na povaze a úrovni kybernetického bezpečnostního rizika, které se s danou komponentou pojí, a za tímto účelem by měla zohledňovat jeden nebo více z následujících kroků: případné ověření, zda výrobce komponenty prokázal shodu s tímto nařízením, včetně kontroly, zda je komponenta již opatřena označením CE, ověření, zda je komponenta předmětem pravidelných bezpečnostních aktualizací, což je možné zjistit například z její historie bezpečnostních aktualizací, ověření, zda komponenta nemá žádné zranitelnosti registrované v Evropské databázi zranitelností zřízené podle čl. 12 odst. 2 směrnice (EU) 2022/2555 nebo v jiných veřejně přístupných databázích zranitelností nebo provedení dalších bezpečnostních testů. Povinnosti týkající se řešení zranitelností stanovené v tomto nařízení, které musejí výrobci při uvádění produktu s digitálními prvky na trh a během doby podpory dodržet, se vztahují na produkty s digitálními prvky jako na celek, včetně všech začleněných komponent. Pokud při uplatňování náležité péče výrobce produktu s digitálními prvky zjistí, že má určitá komponenta zranitelnost, a to i pokud jde o komponentu tvořenou svobodným softwarem s otevřeným zdrojovým kódem, měl by informovat osobu nebo subjekt, který komponentu vyrobil nebo provádí její údržbu, měl by se zranitelností zabývat a napravit ji a případně poskytnout dotčené osobě nebo subjektu použitou bezpečnostní opravu.

(35)

Je možné, že bezprostředně po uplynutí přechodného období pro použití tohoto nařízení nebude mít výrobce produktu s digitálními prvky, který do produktu začlení jednu nebo více komponent pocházejících od třetích stran, na které se rovněž vztahuje toto nařízení, možnost v rámci své povinnosti náležité péče ověřit, zda výrobci těchto komponent prokázali shodu s tímto nařízením, například ověřením toho, zda jsou komponenty již opatřeny označením CE. Tak tomu může být v případě, že komponenty byly do produktu začleněny před tím, než se toto nařízení začalo uplatňovat na výrobce těchto komponent. V takovém případě by měl výrobce, který tyto komponenty do produktu začlenil, zajistit náležitou péči jinými prostředky.

(36)

Aby se produkty s digitálními prvky mohly volně pohybovat na vnitřním trhu, měly by být opatřeny označením CE, které viditelně, čitelně a nesmazatelně vyjadřuje jejich shodu s tímto nařízením. Členské státy by neměly vytvářet bezdůvodné překážky bránící uvádění na trh u produktů s digitálními prvky, které jsou v souladu s požadavky stanovenými v tomto nařízení a jsou opatřeny označením CE. Na veletrzích, výstavách a předváděcích nebo podobných akcích by navíc členské státy neměly bránit prezentaci ani používání produktu s digitálními prvky, který není v souladu s tímto nařízením, včetně jeho prototypů, a to za předpokladu, že je produkt prezentován s viditelným označením, které jasně ukazuje, že není v souladu s tímto nařízením a nemá být dodáván na trh, dokud s ním nebude v souladu.

(37)

Aby bylo zajištěno, že výrobci mohou vydat software pro účely testování před tím, než podrobí své produkty s digitálními prvky posouzení shody, neměly by členské státy bránit zpřístupnění nedokončeného softwaru, například alfa verzí, beta verzí nebo kandidátů na vydání (release candidates), pokud je nedokončený zpřístupněný pouze po dobu nezbytnou k jeho testování a získání zpětné vazby. Výrobci by měli zajistit, aby byl software zpřístupněný za těchto podmínek vydán pouze po posouzení rizik a aby v co největší míře splňoval bezpečnostní požadavky týkající se vlastností produktů s digitálními prvky stanovené tomto nařízení. Výrobci by rovněž měli v co největší míře uplatňovat požadavky na řešení zranitelností. Výrobci by neměli nutit uživatele k přechodu na verze, které jsou vydávány pouze pro účely testování.

(38)

Aby se zajistilo, že produkty s digitálními prvky nepředstavují při uvedení na trh kybernetické bezpečnostní riziko pro osoby ani organizace, měly by být pro tyto produkty stanoveny základní požadavky na kybernetickou bezpečnost. Tyto základní požadavky na kybernetickou bezpečnost, včetně požadavků na řešení zranitelností, se vztahují na každý jednotlivý produkt s digitálními prvky při uvedení na trh bez ohledu na to, zda je produkt s digitálními prvky vyroben jednotlivě nebo sériově. Například u každého druhu produktu by měl každý jednotlivý produkt s digitálními prvky před uvedením na trh obdržet veškeré bezpečnostní opravy nebo aktualizace, které jsou v té době k dispozici k řešení příslušných bezpečnostních problémů. Pokud jsou produkty s digitálními prvky následně upraveny, ať už fyzicky, nebo digitálně, a to způsobem, který výrobce při původním posouzení rizik nepředvídal a který by mohl znamenat, že produkty již nesplňují příslušné základní požadavky na kybernetickou bezpečnost, měla by se taková změna považovat za podstatnou změnu. Kupříkladu za údržbové operace mohou být považovány takové opravy, které neupravují produkt s digitálními prvky již uvedený na trh, takovým způsobem, kterým by mohl být ovlivněn jeho soulad s příslušnými požadavky, nebo že zamýšlený účel, pro který byl produkt posouzen, může být změněn.

(39)

Stejně jako v případě fyzických oprav nebo změn by měl být produkt s digitálními prvky považován za podstatně změněný změnou softwaru, pokud tato aktualizace softwaru změnila zamýšlený účel tohoto produktu a pokud tyto změny výrobce při původním posouzení rizik nepředvídal či pokud se změnila povaha nebezpečí nebo se v důsledku aktualizace softwaru změnila úroveň kybernetického bezpečnostního rizika a pokud aktualizovaná verze produktu byla dodána na trh. Pokud bezpečnostní aktualizace, která má snížit úroveň kybernetického bezpečnostního rizika produktu s digitálními prvky, nemění zamýšlený účel produktu s digitálními prvky, nepovažuje se za podstatnou změnu. Mezi tyto nepodstatné změny obvykle patří situace, kdy bezpečnostní aktualizace zahrnuje pouze drobné úpravy zdrojového kódu. Tak by tomu mohlo být například v případě, kdy bezpečnostní aktualizace řeší známou zranitelnost, včetně pomocí změny funkcí nebo výkonnosti produktu s digitálními prvky, a to výhradně za účelem snížení kybernetického bezpečnostního rizika. Drobné aktualizace funkčnosti, jako je zlepšení vizuálních prvků nebo přidání nových piktogramů nebo jazyků do uživatelského rozhraní, by obecně neměly být považovány za podstatné změny. Naopak pokud aktualizace prvků mění původní určené funkce či druh nebo výkonnost produktu s digitálními prvky a splňují uvedená kritéria, měly by být považovány za podstatnou změnu, neboť přidání nových prvků obvykle vede k většímu prostoru k útoku, čímž se zvyšuje kybernetické bezpečnostní riziko. Tak by tomu mohlo být například v případě, kdy je do aplikace přidán nový vstupní prvek, který vyžaduje, aby výrobce zajistil odpovídající validaci vstupů. Při posuzování, zda je aktualizace prvku považována za podstatnou změnu, není důležité, zda je poskytována jako samostatná aktualizace, nebo v kombinaci s bezpečnostní aktualizací. Komise by měla vydat pokyny ohledně způsobu určení podstatné změny.

(40)

S ohledem na to, že vývoj softwaru je založen na opakovaných změnách, by výrobci, kteří uvedli kvůli následným podstatným změnám softwarového produktu nové verze tohoto produktu, měli mít možnost poskytovat bezpečnostní aktualizace během doby podpory pouze pro tu verzi softwarového produktu, kterou na trh uvedli jako poslední. Měli by mít možnost tak učinit pouze tehdy, mají-li uživatelé příslušných předchozích verzí produktu bezplatný přístup k té verzi produktu, která byla na trh uvedena jako poslední, a nevznikají jim dodatečné náklady na úpravu hardwaru ani softwaru, na němž produkt používají. Tak by tomu mohlo být například v případech, kdy aktualizace operačního systému stolního počítače nevyžaduje nový hardware, jako je rychlejší centrální procesor nebo větší paměť. Výrobce by však měl během doby podpory i nadále dodržovat další požadavky na řešení zranitelností, například zavést politiku koordinovaného zveřejňování zranitelností nebo opatření na usnadnění sdělování informací o potenciálních zranitelnostech u všech následných podstatně změněných verzí softwarového produktu uvedeného na trh. Výrobci by měli mít možnost poskytovat drobné bezpečnostní aktualizace nebo aktualizace funkcí, které nepředstavují podstatnou změnu, pouze pro poslední verzi nebo dílčí verzi softwarového produktu, který dosud nebyl podstatně změněn. Pokud však hardwarový produkt, jako je chytrý telefon, není kompatibilní s nejnovější verzí operačního systému, s nímž byl původně dodán, měl by výrobce během doby podpory nadále poskytovat bezpečnostní aktualizace alespoň pro poslední kompatibilní verzi operačního systému.

(41)

V souladu s obecně zavedeným konceptem podstatné změny u produktů, na něž se vztahují harmonizační právní předpisy Unie, je vhodné, pokud dojde k podstatné změně, která může ovlivnit soulad produktu s digitálními prvky s tímto nařízením nebo pokud se změní zamýšlený účel daného produktu, aby byl u produktu s digitálními prvky ověřen soulad s předpisy a aby byl případně podroben novému posouzení shody. Pokud výrobce provádí posouzení shody za účasti třetí strany, měla by být v příslušném případě této třetí straně oznámena změna, které by mohla vést k podstatné změně.

(42)

Pokud produkt s digitálními prvky podléhá „renovaci“, „údržbě“ a „opravě“, jak jsou definovány v čl. 2 bodech 18, 19 a 20 nařízení Evropského parlamentu a Rady (EU) 2024/1781 (19), nemusí to nutně vést k podstatné změně produktu, například pokud se nezmění zamýšlený účel a funkce a úroveň rizika zůstane nedotčena. Aktualizace produktu s digitálními prvky výrobcem by však mohla vést ke změnám v návrhu a vývoji tohoto produktu, a mohla by proto ovlivnit jeho zamýšlený účel a soulad s požadavky stanovenými v tomto nařízení.

(43)

Produkty s digitálními prvky by měly být považovány za důležité, pokud může být negativní dopad zneužití případných zranitelností produktu závažný, mimo jiné v důsledku funkcí souvisejících s kybernetickou bezpečností nebo funkce, která s sebou nese významné riziko nepříznivých účinků, pokud jde o intenzitu těchto účinků a jejich možnost narušit, ovládat nebo poškodit velký počet jiných produktů s digitálními prvky nebo zdraví, zabezpečení nebo bezpečnost jeho uživatelů prostřednictvím přímé manipulace, například funkce centrálního systému, včetně správy sítě, řízení konfigurace, virtualizace nebo zpracování osobních údajů. Konkrétně zranitelnosti produktů s digitálními prvky, které mají funkce související s kybernetickou bezpečností, jako jsou například boot managery, mohou vést k šíření bezpečnostních problémů v celém dodavatelském řetězci. Závažnost dopadu incidentu se může rovněž zvýšit, pokud produkt vykonává primárně funkci centrálního systému, včetně správy sítě, řízení konfigurace, virtualizace nebo zpracování osobních údajů.

(44)

Některé kategorie produktů s digitálními prvky by měly podléhat přísnějším postupům posuzování shody, přičemž by měl být zachován přiměřený přístup. Za tímto účelem by důležité produkty s digitálními prvky měly být rozděleny do dvou tříd, které by odrážely úroveň kybernetických bezpečnostních rizik spojených s těmito kategoriemi produktů. Incident týkající se důležitých produktů s digitálními prvky, které spadají do třídy II, by mohl mít větší negativní dopad než incident týkající se důležitých produktů s digitálními prvky, které spadají do třídy I, například vzhledem k povaze jejich funkce související s kybernetickou bezpečností nebo vzhledem k výkonu jiné funkce, která s sebou nese významné riziko nepříznivých účinků. Ukazatelem takového většího negativního dopadu produktů s digitálními prvky, které spadají do třídy II, by mohlo být to, že plní funkci související s kybernetickou bezpečností nebo jinou funkci, která s sebou nese významné riziko nepříznivých účinků, jež je vyšší než u produktů uvedených ve třídě I, nebo že splňují obě tato kritéria. Důležité produkty s digitálními prvky, které spadají do třídy II, by proto měly podléhat přísnějšímu postupu posuzování shody.

(45)

Důležité produkty s digitálními prvky uvedené v tomto nařízení by se měly považovat za produkty, které mají klíčovou funkci jedné z kategorií důležitých produktů s digitálními prvky, která je stanovena v tomto nařízení. V tomto nařízení jsou například stanoveny kategorie důležitých produktů s digitálními prvky, které jsou definovány svou klíčovou funkcí jako firewally nebo systémy detekce narušení či prevence ve třídě II. V důsledku toho podléhají firewally a systémy detekce narušení či prevence povinnému posouzení shody třetí stranou. Tak tomu není v případě jiných produktů s digitálními prvky, které nejsou klasifikovány jako důležité produkty s digitálními prvky, které mohou začlenit firewally nebo systémy detekce narušení či prevence. Komise by měla přijmout prováděcí akt s cílem upřesnit technický popis kategorií důležitých produktů s digitálními prvky, které spadají do třídy I a třídy II, jak je stanoveno v tomto nařízení.

(46)

Kategorie kritických produktů s digitálními prvky stanovené v tomto nařízení mají funkci související s kybernetickou bezpečností a plní funkci, která s sebou nese významné riziko nepříznivých účinků, pokud jde o intenzitu těchto účinků a jejich schopnost narušit, ovládat nebo poškodit velký počet jiných produktů s digitálními prvky prostřednictvím přímé manipulace. Kromě toho jsou tyto kategorie produktů s digitálními prvky považovány za produkty, na nichž jsou základní subjekty uvedené v čl. 3 odst. 1 směrnice (EU) 2022/2555 kriticky závislé. Kategorie kritických produktů s digitálními prvky stanovené v příloze tohoto nařízení již vzhledem ke své kritičnosti široce využívají nejrůznější formy certifikace a vztahuje se na ně rovněž evropský systém certifikace kybernetické bezpečnosti (EUCC) stanovený prováděcím nařízením Komise (EU) 2024/482 (20). V zájmu zajištění společné odpovídající ochrany kybernetické bezpečnosti kritických produktů s digitálními prvky v Unii by proto mohlo být vhodné a přiměřené, aby tyto kategorie produktů prostřednictvím aktu v přenesené pravomoci podléhaly povinné evropské certifikaci kybernetické bezpečnosti, pokud je příslušné evropské schéma certifikace kybernetické bezpečnosti zahrnující tyto produkty již zaveden, a aby Komise posoudila, jaký dopad by taková plánovaná povinná certifikace mohla mít na trh. Toto posouzení by mělo zohlednit stranu nabídky i stranu poptávky, včetně toho, zda na straně členských států i uživatelů existuje dostatečná poptávka po dotčených produktech s digitálními prvky, aby mohla být evropská certifikace kybernetické bezpečnosti vyžadována, a měla by zohlednit také účely, pro které mají být produkty s digitálními prvky použity, včetně kritické závislosti základních subjektů uvedených v čl. 3 odst. 1 směrnice (EU) 2022/2555 na těchto produktech. V rámci posouzení by se měl analyzovat rovněž možný dopad povinné certifikace na dostupnost těchto produktů na vnitřním trhu a schopnosti a připravenost členských států, pokud jde o zavedení příslušných evropských schémat certifikace kybernetické bezpečnosti.

(47)

V aktech v přenesené pravomoci vyžadujících povinnou evropskou certifikaci kybernetické bezpečnosti by měly být určeny produkty s digitálními prvky, které mají klíčovou funkci jedné z kategorií kritických produktů s digitálními prvky stanovených v tomto nařízení a mají podléhat povinné certifikaci a mít požadovanou úroveň záruk, která by měla být alespoň „významná“. Požadovaná úroveň záruky by měla být úměrná úrovni kybernetického bezpečnostního rizika spojeného s produktem s digitálními prvky. Například pokud má produkt s digitálními prvky klíčovou funkci jedné z kategorií kritických produktů s digitálními prvky stanovených v tomto nařízení a je určen k použití v citlivém nebo kritickém prostředí, jako jsou produkty určené pro použití základními subjekty podle čl. 3 odst. 1 směrnice (EU) 2022/2555, může u něj být vyžadována nejvyšší úroveň záruky.

(48)

Aby byla v Unii zajištěna společná přiměřená ochrana kybernetické bezpečnosti produktů s digitálními prvky, které mají klíčovou funkci jedné z kategorií kritických produktů s digitálními prvky stanovených v tomto nařízení, měla by být Komisi rovněž svěřena pravomoc přijímat akty v přenesené pravomoci za účelem změny tohoto nařízení doplněním nebo vynětím kategorií kritických produktů s digitálními prvky, u nichž by výrobci mohli mít za účelem prokázání souladu s tímto nařízením povinnost získat evropský certifikát kybernetické bezpečnosti v rámci evropského schématu certifikace kybernetické bezpečnosti podle nařízení (EU) 2019/881. K těmto kategoriím lze doplnit novou kategorii kritických produktů s digitálními prvky, pokud jsou na nich základní subjekty uvedené v čl. 3 odst. 1 směrnice (EU) 2022/2555 kriticky závislé, nebo v případě, že jsou tyto kategorie postiženy incidenty či obsahují zneužívané zranitelnosti, by to mohlo vést k narušení kritických dodavatelských řetězců. Při posuzování toho, zda jde nutné doplnit nebo vyjmout některou z kategorií kritických produktů s digitálními prvky prostřednictvím aktu v přenesené pravomoci by Komise měla mít možnost zohlednit, zda členské státy na vnitrostátní úrovni určily produkty s digitálními prvky, které mají zásadní význam pro odolnost základních subjektů uvedených v čl. 3 odst. 1 směrnice (EU) 2022/2555 a které stále častěji čelí kybernetickým útokům v dodavatelském řetězci, jež mohou mít závažný negativní dopad. Kromě toho by Komise měla mít možnost zohlednit výsledek koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců na úrovni Unie, které se provádí v souladu s článkem 22 směrnice (EU) 2022/2555.

(49)

Komise by měla zajistit, aby při přípravě opatření pro uplatňování tohoto nařízení proběhly strukturované a pravidelné konzultace se širokou škálou příslušných zúčastněných stran. Tak by tomu mělo být zejména v případě, kdy Komise posuzuje potřebu případné aktualizace seznamů kategorií důležitých nebo kritických produktů s digitálními prvky, přičemž by měla za účelem analýzy kybernetických bezpečnostních rizik a rovnováhy mezi náklady a přínosy spojenými s označením těchto kategorií produktů za důležité nebo kritické vést konzultace s příslušnými výrobci a zohlednit jejich názory.

(50)

Toto nařízení se zabývá kybernetickými bezpečnostními riziky cíleným způsobem. Produkty s digitálními prvky však mohou představovat jiná bezpečnostní rizika, která nesouvisejí vždy s kybernetickou bezpečností, ale mohou být důsledkem narušení bezpečnosti. Tato rizika by měla být i nadále upravena jinými příslušnými harmonizačními právními předpisy Unie, než je toto nařízení. Pokud nelze použít žádné jiné harmonizační právní předpisy Unie než toto nařízení, měla by se rizika řídit nařízením Evropského parlamentu a Rady (EU) 2023/988 (21).S ohledem na cílenou povahu tohoto nařízení by se proto odchylně od čl. 2 odst. 1 třetího pododstavce písm. b) nařízení (EU) 2023/988 měly použít na produkty s digitálními prvky kapitola III oddílu 1, kapitoly V a VII a kapitoly IX až XI nařízení (EU) 2023/988, pokud jde o bezpečnostní rizika, na něž se toto nařízení nevztahuje, jestliže tyto produkty nejsou předmětem konkrétních požadavků uložených jinými harmonizačními právními předpisy Unie, než je toto nařízení, ve smyslu čl. 3 bodu 27 nařízení (EU) 2023/988.

(51)

Produkty s digitálními prvky klasifikované jako vysoce rizikové systémy umělé inteligence podle článku 6 nařízení Evropského parlamentu a Rady (EU) 2024/ 1689 (22), které spadají do oblasti působnosti tohoto nařízení, by měly splňovat základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení. Pokud tyto vysoce rizikové systémy umělé inteligence splňují základní požadavky na kybernetickou bezpečnost stanovené tímto nařízením, mělo by se mít za to, že splňují požadavky na kybernetickou bezpečnost stanovené v článku 15 nařízení (EU) 2024/1689, pokud se na tyto požadavky vztahuje EU prohlášení o shodě nebo jeho části vydané podle tohoto nařízení. Za tímto účelem by se při posuzování kybernetických bezpečnostních rizik, která souvisejí s produktem s digitálními prvky klasifikovaným jako vysoce rizikový systém umělé inteligence podle nařízení (EU) 2024/1689, která je třeba zohlednit ve fázi plánování, návrhu, vývoje, výroby, dodání a údržby tohoto produktu, jak vyžaduje toto nařízení, měla v souladu s nařízením (EU) 2024/1689 zohlednit rizika pro kybernetickou odolnost systému umělé inteligence, pokud jde o pokusy neoprávněných třetích stran změnit jeho použití, chování nebo výkonnost, včetně zranitelností specifických pro umělou inteligenci, jako je data poisoning nebo nepřátelské útoky, stejně jako příslušná rizika ohrožující základní práva. Pokud jde o postupy posuzování shody týkající se základních požadavků na kybernetickou bezpečnost produktu s digitálními prvky, který spadá do oblasti působnosti tohoto nařízení a který je klasifikován jako vysoce rizikový systém umělé inteligence, měla by se zpravidla namísto příslušných ustanovení tohoto nařízení použít ustanovení článku 43 nařízení (EU) 2024/1689. Toto pravidlo by však nemělo vést ke snížení potřebné míry záruky u důležitých nebo kritických produktů s digitálními prvky uvedených v tomto nařízení. Odchylně od tohoto pravidla by proto vysoce rizikové systémy umělé inteligence, které spadají do oblasti působnosti nařízení (EU) 2024/1689 a jsou rovněž důležité nebo kritické produkty s digitálními prvky uvedené v tomto nařízení a na něž se vztahuje postup posuzování shody založený na interní kontrole podle přílohy VI nařízení (EU) 2024/1689, měly podléhat postupům posuzování shody uvedeným v tomto nařízení, pokud jde o základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení. V takovém případě by se na všechny ostatní aspekty, na něž se nařízení (EU) 2024/1689 vztahuje, měla použít příslušná ustanovení o posuzování shody, která jsou založena na interní kontrole stanovené v příloze VI uvedeného nařízení.

(52)

V zájmu zlepšení bezpečnosti produktů s digitálními prvky uváděných na vnitřní trh je nezbytné stanovit základní požadavky na kybernetickou bezpečnost, které by platily pro tyto produkty. Těmito základními požadavky na kybernetickou bezpečnost by nemělo být dotčeno koordinované posuzování bezpečnostních rizik kritických dodavatelských řetězců na úrovni Unie stanovené v článku 22 směrnice (EU) 2022/2555, při němž se zohledňují technické i případně i jiné než technické rizikové faktory, například nepatřičný vliv třetí země na dodavatele. Dále by jimi neměla být dotčena výsada členských států stanovit dodatečné požadavky, které by zohledňovaly jiné než technické faktory za účelem zajištění vysoké úrovně odolnosti, včetně požadavků stanovených v doporučení Komise (EU) 2019/534 (23), v posouzení rizik kybernetické bezpečnosti sítí 5G koordinovaném na úrovni EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci zřízená podle článku 14 směrnice (EU) 2022/2555.

(53)

Výrobci produktů spadajících do oblasti působnosti nařízení Evropského parlamentu a Rady (EU) 2023/1230 (24), které jsou rovněž produkty s digitálními prvky definovanými v tomto nařízení, by měli splňovat základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení i základní požadavky na ochranu zdraví a bezpečnost stanovené v nařízení (EU) 2023/1230. Základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení a některé základní požadavky stanovené v nařízení (EU) 2023/1230 mohou řešit podobná kybernetická bezpečnostní rizika. Soulad se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení by proto mohl usnadnit dodržování základních požadavků, které se vztahují rovněž na určitá kybernetická bezpečnostní rizika, stanovených v nařízení (EU) 2023/1230, a to zejména těch, které se týkají ochrany před poškozením a bezpečnosti a spolehlivosti ovládacích systémů podle oddílu 1.1.9 a 1.2.1 přílohy III uvedeného nařízení. Tento soulad musí výrobce prokázat například použitím harmonizovaných norem nebo jiných technických specifikací, které se vztahují na příslušné základní požadavky na kybernetickou bezpečnost, jsou-li k dispozici, a to na základě posouzení rizik, které se těchto kybernetických bezpečnostních rizik týká. Výrobce by měl dodržet také příslušné postupy posuzování shody stanovené v tomto nařízení a v nařízení (EU) 2023/1230. Komise a evropské normalizační organizace by v rámci přípravných prací na podporu uplatňování tohoto nařízení a nařízení (EU) 2023/1230 a souvisejících normalizačních procesů měly podporovat důslednost, pokud jde o způsob posuzování kybernetických bezpečnostních rizik a způsob, jakým se mají na tato rizika vztahovat harmonizované normy, pokud jde o příslušné základní požadavky. Komise a evropské normalizační organizace by zejména měly zohlednit toto nařízení při přípravě a vypracovávání harmonizovaných norem s cílem usnadnit uplatňování nařízení (EU) 2023/1230, především pokud jde o aspekty kybernetické bezpečnosti týkající se ochrany před poškozením a bezpečnosti a spolehlivosti ovládacích systémů podle oddílu 1.1.9 a 1.2.1 přílohy III uvedeného nařízení. Komise by měla poskytnout pokyny na podporu výrobců, na něž se vztahuje toto nařízení a také nařízení (EU) 2023/1230, zejména s cílem usnadnit prokázání souladu s příslušnými základními požadavky stanovenými v tomto nařízení a v nařízení (EU) 2023/1230.

(54)

Aby bylo zajištěno, že produkty s digitálními prvky jsou bezpečné v době jejich uvedení na trh i po celou dobu, po kterou se předpokládá jejich používání, je nezbytné stanovit základní požadavky na kybernetickou bezpečnost na řešení zranitelností a základní požadavky na kybernetickou bezpečnost týkající se vlastností produktů s digitálními prvky. Výrobci by měli splňovat všechny základní požadavky na kybernetickou bezpečnost týkající se řešení zranitelností po celou dobu podpory, měli by však určit, které další základní požadavky na kybernetickou bezpečnost týkající se vlastností produktu jsou pro dotčený druh produktu s digitálními prvky relevantní. Za tímto účelem by výrobci měli provést posouzení kybernetických bezpečnostních rizik spojených s produktem s digitálními prvky s cílem určit příslušná rizika a příslušné základní požadavky na kybernetickou bezpečnost, aby mohli zpřístupnit své produkty s digitálními prvky bez známých zneužitelných zranitelností, které by mohly mít dopad na bezpečnost těchto produktů, a náležitě uplatňovat vhodné harmonizované normy, společné specifikace či evropské nebo mezinárodní normy.

(55)

Pokud se na produkt s digitálními prvky nevztahují určité základní požadavky na kybernetickou bezpečnost, měl by výrobce zahrnout do posouzení kybernetických bezpečnostních rizik uvedeného v technické dokumentaci jasné odůvodnění. Tak by tomu mohlo být v případě, kdy je základní požadavek na kybernetickou bezpečnost neslučitelný s povahou produktu s digitálními prvky. Například zamýšlený účel produktu s digitálními prvky může vyžadovat, aby se výrobce řídil obecně uznávanými normami interoperability, i když jeho bezpečnostní prvky již nejsou považovány za nejmodernější. Podobně další právo Unie vyžaduje, aby výrobci uplatňovali zvláštní požadavky na interoperabilitu. Pokud se základní požadavek na kybernetickou bezpečnost produktu s digitálními prvky nevztahuje, ale výrobce zjistil ve vztahu k tomuto základnímu požadavku na kybernetickou bezpečnost nějaká kybernetická bezpečnostní rizika, měl by přijmout opatření k řešení těchto rizik jinými prostředky, například tak, že omezí zamýšlený účel produktu na důvěryhodné prostředí nebo o těchto rizicích informuje uživatele.

(56)

Jedním z nejdůležitějších opatření, která by měli uživatelé přijmout na ochranu svých produktů s digitálními prvky před kybernetickými útoky, je co nejdříve si nainstalovat nejnovější dostupné bezpečnostní aktualizace. Výrobci by proto měli navrhovat své produkty tak, aby zajistili, aby produkty s digitálními prvky zahrnovaly funkce, které by umožnily automatické oznamování, distribuci, stahování a instalaci bezpečnostních aktualizací, zejména v případě spotřebitelských produktů, a měly by za tímto účelem zavést příslušné postupy. Měli by rovněž nabízet možnost přijmout stažení a instalaci bezpečnostních aktualizací jako poslední krok. Uživatelé by měli mít nadále možnost automatické aktualizace deaktivovat, a to prostřednictvím jasného a snadno použitelného mechanismu, který by byl doplněn o jasné pokyny, jak mohou uživatelé automatické aktualizace zakázat. Požadavky týkající se automatických aktualizací stanovené v příloze tohoto nařízení se nevztahují na produkty s digitálními prvky, které jsou primárně určeny k tomu, aby byly začleněny do jiných produktů jako jejich komponenty. Nevztahují se ani na produkty s digitálními prvky, u nichž uživatelé důvodně neočekávají automatické aktualizace, včetně produktů s digitálními prvky, které mají být použity v profesionálních sítích IKT, a zejména v kritickém a průmyslovém prostředí, kde by automatická aktualizace mohla narušit provoz. Bez ohledu na to, zda je produkt s digitálními prvky navržen tak, aby přijímal automatické aktualizace, či nikoli, měl by jeho výrobce uživatele informovat o zranitelnostech a bezodkladně zpřístupnit bezpečnostní aktualizace. Pokud má produkt s digitálními prvky uživatelské rozhraní nebo podobné technické prostředky umožňující přímou interakci s jeho uživateli, měl by výrobce tyto prvky použít k informování uživatelů o tom, že jejich produkt s digitálními prvky dosáhl konce doby podpory. Oznámení by se mělo omezit na informace nezbytné k jeho pochopení, a nemělo by mít negativní dopad na zkušenost uživatele s produktem s digitálními prvky.

(57)

Aby se zvýšila transparentnost postupů řešení zranitelností a zajistilo, že uživatelé nebudou povinni instalovat nové aktualizace funkcí pouze proto, aby získali nejnovější bezpečnostní aktualizace, měli by výrobci zajistit, je-li to technicky možné, aby nové bezpečnostní aktualizace byly poskytovány odděleně od aktualizací funkcí.

(58)

Ve společném sdělení Komise a vysokého představitele Unie pro zahraniční věci a bezpečnostní politiku ze dne 20. června 2023 nazvaném „Strategie evropské hospodářské bezpečnosti“ se uvádí, že Unie musí maximalizovat přínosy své hospodářské otevřenosti a zároveň minimalizovat rizika vyplývající z hospodářské závislosti na vysoce rizikových prodejcích, a to prostřednictvím společného strategického rámce pro hospodářskou bezpečnost Unie. Závislost na vysoce rizikových dodavatelích produktů s digitálními prvky může představovat strategické riziko, kterým je třeba se zabývat na úrovni Unie, zejména pokud jsou tyto produkty s digitálními prvky určeny k použití základními subjekty uvedenými v čl. 3 odst. 1 směrnice (EU) 2022/2555. Tato rizika mohou být spojena mimo jiné s jurisdikcí rozhodnou pro daného výrobce, s povahou jeho podnikového vlastnictví a s řídícími vazbami na vládu třetí země, pokud tato vazba existuje, zejména pokud se daná třetí země podílí na hospodářské špionáži nebo nezodpovědném chování státu v kyberprostoru a její právní předpisy umožňují svévolný přístup k veškerým operacím společnosti či údajům, včetně obchodně citlivých údajů, a mohou ukládat povinnosti pro účely zpravodajství bez demokratického systému brzd a protivah, mechanismů dohledu, spravedlivého řízení nebo práva na odvolání k nezávislému soudu. Při určování významu kybernetického bezpečnostního rizika ve smyslu tohoto nařízení by Komise a orgány dozoru nad trhem měly v souladu se svými povinnostmi stanovenými v tomto nařízení zohlednit také jiné než technické rizikové faktory, zejména ty, které byly stanoveny na základě koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců na úrovni Unie provedeného v souladu s článkem 22 směrnice (EU) 2022/2555.

(59)

Za účelem zajištění bezpečnosti produktů s digitálními prvky po jejich uvedení na trh by výrobci měli stanovit dobu podpory, které by měla zohledňovat očekávanou dobu používání produktu s digitálními prvky. Při stanovování doby podpory by měl výrobce přihlížet zejména k přiměřeným očekáváním uživatelů, povaze produktu a k příslušnému právu Unie, které určuje životnost produktů s digitálními prvky. Výrobci by měli mít rovněž možnost zohlednit další relevantní faktory. Kritéria by měla být uplatňována takovým způsobem, aby byla zajištěna proporcionalita při stanovování doby podpory. Výrobce by měl na žádost poskytnout orgánům dozoru nad trhem informace, ke kterým přihlížel při stanovování doby podpory u produktu s digitálními prvky.

(60)

Doba podpory, po kterou výrobce zajišťuje účinné řešení zranitelností, by neměla být kratší než pět let, pokud není životnost produktu s digitálními prvky kratší než pět let; v takovém případě by měl výrobce zajistit řešení zranitelností po dobu jeho životnosti. Pokud je očekávaná doba používání produktu s digitálními prvky delší než pět let, jako je tomu často v případě hardwarových komponent, jako jsou základní desky nebo mikroprocesory, síťových zařízení, jako jsou směrovače, modemy nebo přepínače, a u softwaru jako jsou operační systémy nebo nástroje pro úpravu videa, měli by výrobci zajistit delší dobu podpory. Po výrazně delší dobu se často používají zejména produkty s digitálními prvky určené k použití v průmyslovém prostředí, jako jsou průmyslové řídicí systémy. Výrobce by měl mít možnost stanovit dobu podpory kratší než pět let pouze tehdy, odůvodňuje-li to povaha daného produktu s digitálními prvky a pokud se očekává, že se tento produkt bude používat po dobu kratší než pět let, přičemž v takovém případě by doba podpory měla odpovídat očekávané době použití. Například životnost aplikace pro dohledávání kontaktů určená k použití během pandemie by mohla být omezena na dobu trvání pandemie. Některé softwarové aplikace mohou být navíc ze své podstaty zpřístupněny pouze na základě předplatného, zejména pokud se aplikace po uplynutí doby předplatného stane pro uživatele nedostupnou, a proto se již nepoužívá.

(61)

Pokud produkty s digitálními prvky dosáhnou konce doby podpory, měli by výrobci zvážit uvolnění zdrojového kódu těchto produktů s digitálními prvky buď jiným podnikům, které se zaváží, že budou dále poskytovat služby spojené s řešením zranitelností, nebo veřejnosti, aby se zajistilo, že zranitelnosti budou moci být řešeny i po skončení doby podpory. V případě, že výrobci zpřístupní zdrojový kód jiným podnikům, měli by mít možnost chránit vlastnictví produktu s digitálními prvky a zabránit veřejnému šíření zdrojového kódu, například prostřednictvím smluvních ujednání.

(62)

Aby se zajistilo, že výrobci v celé Unii budou pro srovnatelné produkty s digitálními prvky stanovovat podobné doby podpory, měla by specializovaná skupina pro správní spolupráci zveřejňovat statistiky o průměrné době podpory stanovené výrobci pro různé kategorie produktů s digitálními prvky a vydávat pokyny uvádějící vhodné doby podpory pro tyto kategorie. Komise měla mít v zájmu zajištění harmonizovaného přístupu na celém vnitřním trhu navíc možnost přijímat akty v přenesené pravomoci za účelem stanovení minimální doby podpory pro konkrétní kategorie produktů, pokud z údajů poskytnutých orgány dozoru nad trhem vyplývá, že doba podpory stanovená výrobci buď není systematicky v souladu s kritérii pro stanovení doby podpory uvedenými v tomto nařízení, nebo že výrobci v různých členských státech bezdůvodně stanovují různé doby podpory.

(63)

Výrobci by měli zřídit jednotné kontaktní místo, které uživatelům umožní snadno s nimi komunikovat, a to i za účelem nahlašování zranitelností produktů s digitálním prvkem a přijímání informací o nich. Měli by zajistit snadný přístup uživatelů k jednotnému kontaktnímu místu, jasně uvést jeho dostupnost a tyto informace pravidelně aktualizovat. Pokud se výrobci rozhodnou nabízet automatizované nástroje, například chatovací box, měli by rovněž uvést telefonní číslo nebo jiné digitální kontaktní údaje, jako je e-mailová adresa či kontaktní formulář. Jednotné kontaktní místo by nemělo záviset výhradně na automatizovaných nástrojích.

(64)

Výrobci by měli své produkty s digitálními prvky dodávat na trh se standardně bezpečnou konfigurací a poskytovat uživatelům bezplatné bezpečnostní aktualizace. Výrobci by měli mít možnost odchýlit se od těchto základních požadavků na kybernetickou bezpečnost pouze ve vztahu k individuálně uzpůsobeným výrobkům, které jsou určeny pro konkrétního podnikatelského uživatele za konkrétním účelem a u nichž se výrobce s uživatelem výslovně dohodl na jiných smluvních podmínkách.

(65)

Výrobci by měli prostřednictvím jednotné platformy pro podávání zpráv oznámit aktivně zneužívané zranitelnosti produktů s digitálními prvky a závažné incidenty, které mají dopad na bezpečnost těchto produktů, současně jak týmu pro reakce na počítačové bezpečnostní incidenty (CSIRT) určenému jako koordinátor, tak i agentuře ENISA. Tato oznámení by měla být podávána prostřednictvím koncového bodu elektronického oznamování týmu CSIRT určeného jako koordinátor a měla by být současně přístupná agentuře ENISA.

(66)

Výrobci by měli oznamovat aktivně zneužívané zranitelnosti s cílem zajistit, aby týmy CSIRT určené jako koordinátoři a agentura ENISA měly o těchto zranitelnostech náležitý přehled a aby jim byly poskytovány informace nezbytné k plnění jejich úkolů stanovených ve směrnici (EU) 2022/2555 a ke zvýšení celkové úrovně kybernetické bezpečnosti základních a důležitých subjektů uvedených v článku 3 uvedené směrnice, a aby se zajistilo účinné fungování orgánů dozoru nad trhem. Vzhledem k tomu, že většina produktů s digitálními prvky je nabízena na celém vnitřním trhu, jakákoli zneužívaná zranitelnost produktu s digitálními prvky by měla být považována za hrozbu pro fungování vnitřního trhu. Agentura ENISA by měla po dohodě s výrobcem zveřejnit opravené zranitelnosti v evropské databázi zranitelností zřízené podle čl. 12 odst. 2 směrnice (EU) 2022/2555. Evropská databáze zranitelností výrobcům pomůže při odhalování známých zneužitelných zranitelností jejich produktů, aby se zajistilo, že na trh budou dodávány bezpečné produkty.

(67)

Výrobci by rovněž měli týmu CSIRT určenému jako koordinátor a agentuře ENISA oznámit každý závažný incident, který má dopad na bezpečnost produktu s digitálními prvky. S cílem zajistit, aby uživatelé mohli rychle reagovat na závažné incidenty, které mají dopad na bezpečnost jejich produktů s digitálními prvky, by výrobci měli rovněž informovat uživatele o každém takovém incidentu a případně o veškerých nápravných opatřeních, která mohou uživatelé zavést za účelem zmírnění dopadu incidentu, například zveřejněním příslušných informací na svých internetových stránkách nebo v případech, kdy je výrobce schopen kontaktovat uživatele a je-li to odůvodněno kybernetickými bezpečnostními riziky, tím, že se obrátí přímo na uživatele.

(68)

Aktivně zneužívané zranitelnosti se týkají případů, kdy výrobce zjistí, že došlo k narušení bezpečnosti, které se dotýká jeho uživatelů nebo jiné fyzické či právnické osoby a které způsobil škodlivý aktér, jenž využil chybu v jednom z produktů s digitálními prvky dodaných výrobcem na trh. Příkladem těchto zranitelností by mohly být slabiny ve funkci identifikace a autentizace u produktu. Povinné oznamování by se nemělo vztahovat na zranitelnosti, které jsou zjištěny bez škodlivého záměru za účelem testování, vyšetřování, opravy nebo zveřejnění v dobré víře s cílem podpořit zabezpečení nebo bezpečnost vlastníka systému a jeho uživatelů. Na druhé straně, závažné incidenty, které mají dopad na bezpečnost produktu s digitálními prvky, se týkají situací, kdy se incident související s kybernetickou bezpečností týká postupů výrobce v oblasti vývoje, výroby nebo údržby takovým způsobem, že by mohl vést k vyššímu kybernetickému bezpečnostnímu riziku pro uživatele nebo jiné osoby. Mezi tyto závažné incidenty by mohla patřit situace, kdy se útočníkovi podařilo do kanálu, jehož prostřednictvím výrobce vydává bezpečnostní aktualizace pro uživatele, úspěšně zavést škodlivý kód.

(69)

Aby se zajistilo rychlé rozesílání oznámení všem příslušným týmům CSIRT určeným jako koordinátoři a aby výrobci mohli v každé fázi postupu oznamování podávat jediné oznámení, měla by agentura ENISA zřídit jednotnou platformu pro podávání zpráv s vnitrostátními koncovými body elektronického oznamování. Každodenní provoz této jednotné platformy pro podávání zpráv by měla řídit a udržovat agentura ENISA. Týmy CSIRT určené jako koordinátoři by měly o oznámených zranitelnostech nebo incidentech informovat své příslušné orgány dozoru nad trhem. Jednotná platforma pro podávání zpráv by měla být navržena tak, aby zajišťovala důvěrnost oznámení, zejména pokud jde o zranitelnosti, u nichž ještě není k dispozici bezpečnostní aktualizace. Kromě toho by agentura ENISA měla zavést postupy pro bezpečné a důvěrné nakládání s informacemi. Na základě shromážděných informací by agentura ENISA měla každé dva roky vypracovat technickou zprávu o nových trendech týkajících se kybernetických bezpečnostních rizik u produktů s digitálními prvky a předložit ji skupině pro spolupráci zřízené podle článku 14 směrnice (EU) 2022/2555.

(70)

Za výjimečných okolností, a zejména na žádost výrobce by tým CSIRT určený jako koordinátor, který obdržel prvotní oznámení, měl mít možnost rozhodnout o tom, že na nezbytně nutnou dobu odloží jeho zaslání ostatním příslušným týmům CSIRT určeným jako koordinátoři prostřednictvím jednotné platformy pro podávání zpráv, pokud to lze odůvodnit s ohledem na kybernetickou bezpečnost. Tým CSIRT určený jako koordinátor by měl agenturu ENISA neprodleně informovat o rozhodnutí o odkladu a jeho důvodech, jakož i o tom, kdy má v úmyslu předat příslušné informace dále. Komise by měla prostřednictvím aktu v přenesené pravomoci specifikovat podmínky, za nichž by bylo možné uplatnit důvody související s kybernetickou bezpečností, přičemž by při přípravě návrhu aktu v přenesené pravomoci měla spolupracovat se sítí týmů CSIRT zřízenou podle článku 15 směrnice (EU) 2022/2555 (síť CSIRT) a agenturou ENISA. Mezi příklady důvodů souvisejících s kybernetickou bezpečností patří probíhající postup koordinovaného zveřejňování zranitelností nebo situace, kdy se očekává, že výrobce v brzké době zajistí zmírňující opatření, a kdy kybernetická bezpečnostní rizika spojená s okamžitým poskytnutím příslušných informací prostřednictvím jednotné platformy pro podávání zpráv převažují nad jeho přínosy. Agentura ENISA by na základě informací, které od týmu CSIRT určeného jako koordinátor obdržela ohledně rozhodnutí odložit poskytnutí příslušných informací z důvodů zajištění kybernetické bezpečnosti, pokud o to tento tým požádá, měla mít možnost podpořit jej na základě poskytnutých důvodů při odkladu rozesílání oznámení na. Kromě toho by za zvláště výjimečných okolností neměla agentura ENISA získat veškeré podrobné informace o oznámení aktivně zneužívané zranitelnosti současně. Tak by tomu bylo v případě, kdy výrobce ve svém oznámení uvede, že oznámená zranitelnost je aktivně zneužívána škodlivým aktérem a že podle dostupných informací není zneužívána v žádném jiném členském státě než v členském státě týmu CSIRT určeného jako koordinátor, jemuž výrobce zranitelnost oznámil, pokud by jakékoli okamžité další předávání informací o oznámené zranitelnosti pravděpodobně vedlo k poskytnutí takových informací, jejichž zveřejnění by bylo v rozporu se zásadními zájmy tohoto členského státu, nebo pokud z dalšího poskytování informací o oznámené zranitelnosti vyplývá vysoké bezprostřední kybernetické bezpečnostní riziko. V takových případech obdrží agentura ENISA současně pouze přístup k informacím o tom, že výrobce učinil oznámení, k obecným informacím o daném produktu s digitálními prvky, k informacím o obecné povaze zneužití a k informacím o tom, že výrobce uplatnil bezpečnostní důvody, a proto jí byl odepřen přístup k úplnému obsahu oznámení. Úplné oznámení by pak mělo být zpřístupněno agentuře ENISA a dalším příslušným týmům CSIRT určeným jako koordinátoři, jakmile tým CSIRT určený jako koordinátor, který obdržel prvotní oznámení, sezná, že tyto bezpečnostní důvody, které zohledňují zvláště výjimečné okolnosti stanovené v tomto nařízení, pominuly. Pokud se agentura ENISA na základě dostupných informací domnívá, že existuje systémové riziko ovlivňující bezpečnost na vnitřním trhu, měla by týmu CSIRT, který oznámení obdržel, doporučit, aby ostatním týmům CSIRT určeným jako koordinátoři i samotné agentuře ENISA poskytl úplné oznámení.

(71)

Pokud výrobci oznámí aktivně zneužívanou zranitelnost nebo závažný incident, který má dopad na bezpečnost produktu s digitálními prvky, měli by uvést, jak citlivé jsou podle nich oznámené informace. Tým CSIRT určený jako koordinátor, který obdržel prvotní oznámení, by měl tyto informace zohlednit při posuzování, zda se při oznámení uplatní výjimečné okolnosti, které jsou důvodem ke zpoždění při předávání informací o oznámení ostatním příslušným týmům CSIRT určeným jako koordinátoři na odůvodněném základě souvisejícím s kybernetickou bezpečností. Tyto informace by měl zohlednit rovněž při posuzování, zda se v případě oznámení aktivně zneužívané zranitelnosti uplatní obzvláště výjimečné okolnosti, které odůvodní, že není úplné oznámení současně poskytnuto agentuře ENISA. Týmy CSIRT určené jako koordinátoři by měly mít možnost tuto informaci zohlednit při určování vhodných opatření ke zmírnění rizik vyplývajících z těchto zranitelností a incidentů.

(72)

Za účelem zjednodušení oznamování informací požadovaných podle tohoto nařízení a s ohledem na další doplňkové požadavky na podávání zpráv stanovené v právu Unie, jako je nařízení (EU) 2016/679, nařízení Evropského parlamentu a Rady (EU) 2022/2554 (25), směrnice Evropského parlamentu a Rady 2002/58/ES (26) a směrnice (EU) 2022/2555 a za účelem snížení administrativní zátěže subjektů se členským státům se doporučuje, aby zvážily vytvoření jednotných kontaktních míst pro oznamování těchto informací na národní úrovni. Používáním těchto vnitrostátních jednotných kontaktních míst pro nahlašování bezpečnostních incidentů podle nařízení (EU) 2016/679 a směrnice 2002/58/ES by nemělo být dotčeno uplatňování ustanovení nařízení (EU) 2016/679 a směrnice 2002/58/ES, zejména těch ustanovení, která se týkají nezávislosti orgánů v nich uvedených. Při zřizování jednotné platformy pro podávání zpráv uvedené v tomto nařízení by agentura ENISA měla zohlednit možnost začlenit vnitrostátní koncové body elektronického oznamování uvedené v tomto nařízení do vnitrostátních jednotných kontaktních míst, kde by mohlo být možné podávat i další oznámení požadovaná podle práva Unie.

(73)

Při zřizování jednotné platformy pro podávání zpráv uvedené v tomto nařízení a s cílem využít zkušeností z minulosti by agentura ENISA měla vést konzultace s dalšími orgány nebo subjekty Unie, které spravují platformy nebo databáze podléhající přísným bezpečnostním požadavkům, jako je Agentura Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (eu-LISA). Agentura ENISA by měla také analyzovat potenciální doplňkovost s evropskou databází zranitelností zřízenou podle čl. 12 odst. 2 směrnice (EU) 2022/2555.

(74)

Výrobci i jiné fyzické a právnické osoby by měli mít možnost dobrovolně oznámit týmu CSIRT určenému jako koordinátor nebo agentuře ENISA každou zranitelnost produktu s digitálními prvky, kybernetické hrozby, které by mohly ovlivnit rizikový profil produktu s digitálními prvky, každý incident, který má dopad na bezpečnost produktu s digitálními prvky, i významné události, které téměř vedly k takovému incidentu.

(75)

Členské státy měly usilovat o to, aby se v souladu s vnitrostátním právem v co největší míře zabývaly výzvami, jimž čelí výzkumní pracovníci zabývající se problematikou zranitelnosti, a to i pokud jde o jejich možnou trestní odpovědnost. Vzhledem k tomu, že fyzické a právnické osoby, které se zabývají výzkumem zranitelností, by v některých členských státech mohly podléhat trestní a občanskoprávní odpovědnosti, doporučuje se členským státům, aby přijaly pokyny týkající se nemožnosti stíhat výzkumné pracovníky zabývající se bezpečností informací a vyloučení vzniku občanskoprávní odpovědnosti v souvislosti s jejich činností.

(76)

Výrobci produktů s digitálními prvky by měli zavést politiky koordinovaného zveřejňování zranitelností s cílem usnadnit jednotlivcům nebo subjektům oznamování zranitelností, a to buď přímo výrobci, nebo nepřímo, a požádají-li o to, anonymně, prostřednictvím týmů CSIRT určených jako koordinátoři pro účely koordinovaného zveřejňování zranitelností v souladu s čl. 12 odst. 1 směrnice (EU) 2022/2555. Politika výrobců v oblasti koordinovaného zveřejňování zranitelností by měla specifikovat strukturovaný proces, jehož prostřednictvím jsou zranitelná místa hlášena výrobcům takovým způsobem, který výrobci umožní diagnostikovat a odstranit tyto zranitelnosti dříve, než budou podrobné informace o nich sděleny třetím stranám nebo veřejnosti. Výrobci by navíc měli zvážit zveřejnění své bezpečnostní politiky ve strojově čitelném formátu. Vzhledem k tomu, že informace o zneužitelných zranitelnostech široce používaných produktů s digitálními prvky lze na černém trhu prodávat za vysoké ceny, měli by mít výrobci těchto produktů možnost využívat v rámci své politiky koordinovaného zveřejňování zranitelností programy motivující k oznamování zranitelností, které zajistí, že jednotlivci nebo subjekty získají za svou snahu uznání a odměnu. Jedná se o takzvaný „program odměn za nalezení chyb“ (bug bounty programmes).

(77)

Aby se usnadnila analýza zranitelností, měli by výrobci zjistit a zdokumentovat komponenty obsažené v produktech s digitálními prvky, mimo jiné vypracováním softwarového kusovníku. Softwarový kusovník může poskytnout těm, kdo software vyrábějí, nakupují a provozují, informace, které jim umožní lépe pochopit dodavatelský řetězec, což má řadu výhod, zejména to pomáhá výrobcům a uživatelům při vyhledávání známých nově se objevujících zranitelností a kybernetických bezpečnostních rizik. Pro výrobce je obzvláště důležité zajistit, aby jejich produkty s digitálními prvky neobsahovaly zranitelné komponenty vyvinuté třetími stranami. Výrobci by neměli mít povinnost softwarový kusovník zveřejnit.

(78)

V nových složitých obchodních modelech spojených s online prodejem může podnik působící online poskytovat různé služby. V závislosti na povaze služeb, které poskytuje v souvislosti s daným produktem s digitálními prvky, může tentýž subjekt spadat do různých kategorií obchodních modelů nebo hospodářských subjektů. Pokud daný subjekt poskytuje v souvislosti s produktem s digitálními prvky výlučně zprostředkovatelské služby online a je pouze poskytovatelem online tržiště ve smyslu definice uvedené v čl. 3 bodě 14 nařízení (EU) 2023/988, nepovažuje se za některý z druhů hospodářských subjektů ve smyslu definice uvedené v tomto nařízení. Pokud je tentýž subjekt poskytovatelem online tržiště a působí v případě prodeje produktů s digitálními prvky rovněž jako hospodářský subjekt ve smyslu tohoto nařízení, měly by se na něj vztahovat povinnosti stanovené v tomto nařízení pro tento typ hospodářských subjektů. Pokud například poskytovatel online tržiště rovněž produkt s digitálními prvky distribuuje, pak by byl v souvislosti s prodejem tohoto výrobku považován za distributora. Podobně pokud by dotčený subjekt prodával produkty s digitálními prvky pod svou vlastní značkou, považoval by se za výrobce, a proto by musel splňovat požadavky uplatňující se na výrobce. Některé subjekty mohou být rovněž považovány za poskytovatele služeb kompletního vyřízení objednávek ve smyslu čl. 3 bodu 11 nařízení Evropského parlamentu a Rady (EU) 2019/1020 (27), pokud takové služby nabízejí. Takové případy je třeba posuzovat individuálně. Vzhledem k tomu, že online tržiště mají zásadní význam z hlediska elektronického obchodování, měla by usilovat o spolupráci s orgány dozoru nad trhem členských států, aby pomohla zajistit soulad produktů s digitálními prvky zakoupených na online tržištích s požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení.

(79)

Aby se usnadnilo posuzování shody s požadavky stanovenými v tomto nařízení, měl by se uplatňovat předpoklad shody u produktů s digitálními prvky, které splňují harmonizované normy převádějící základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení do podrobných technických specifikací a které jsou přijaty v souladu s nařízením Evropského parlamentu a Rady (EU) č. 1025/2012 (28). V uvedeném nařízení je stanoven postup pro námitky proti harmonizovaným normám, pokud tyto normy nesplňují požadavky stanovené v tomto nařízení v plné míře. Proces normalizace by měl zajišťovat vyvážené zastoupení zájmů a účinnou účast zúčastněných stran z občanské společnosti, včetně spotřebitelských organizací. Aby se usnadnilo vypracování harmonizovaných norem a uplatňování tohoto nařízení, jakož i jeho dodržování ze strany společností, zejména mikropodniků a malých a středních podniků a podniků působících na celém světě, měly by být zohledněny rovněž mezinárodní normy, které jsou v souladu s takovou úrovní ochrany kybernetické bezpečnosti, na kterou cílí základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení.

(80)

Pro účinné uplatňování tohoto nařízení bude obzvláště důležité včasné vypracování harmonizovaných norem během přechodného období pro uplatňování tohoto nařízení a zajištění jejich dostupnosti před datem použitelnosti tohoto nařízení. To se týká zejména důležitých produktů s digitálními prvky, které spadají do třídy I. Dostupnost harmonizovaných norem umožní výrobcům těchto produktů použít k provedení posouzení shody postup interní kontroly, což umožní zabránit překážkám a průtahům v činnosti subjektů posuzování shody.

(81)

Nařízení (EU) 2019/881 stanoví dobrovolný evropský rámec pro certifikaci kybernetické bezpečnosti pro produkty IKT, procesy IKT a služby IKT. Evropská schémata certifikace kybernetické bezpečnosti poskytují společný rámec důvěry pro uživatele, kteří používají produkty s digitálními prvky, jež spadají do působnosti tohoto nařízení. Toto nařízení by proto mělo vytvářet součinnost s nařízením (EU) 2019/881. S cílem usnadnit posuzování shody s požadavky stanovenými v tomto nařízení se předpokládá, že produkty s digitálními prvky, které jsou certifikovány nebo pro něž bylo vydáno prohlášení o shodě v rámci evropského schématu kybernetické bezpečnosti podle nařízení (EU) 2019/881, které Komise určila v prováděcím aktu, jsou v souladu se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení, pokud se na tyto požadavky vztahuje evropský certifikát kybernetické bezpečnosti nebo prohlášení o shodě či jeho části. Potřeba nových evropských schémat certifikace kybernetické bezpečnosti pro produkty s digitálními prvky by měla být posuzována s ohledem na toto nařízení, a to i při přípravě průběžného pracovního programu Unie v souladu s nařízením (EU) 2019/881. Pokud je třeba zavést nové schéma zahrnující produkty s digitálními prvky, například proto, aby se usnadnilo plnění ustanovení tohoto nařízení, může Komise v souladu s článkem 48 nařízení (EU) 2019/881 požádat agenturu ENISA, aby připravila návrhy takových schémat. Tato budoucí evropská schémata certifikace kybernetické bezpečnosti týkající se produktů s digitálními prvky by měla zohledňovat základní požadavky na kybernetickou bezpečnost a postupy posuzování shody stanovené v tomto nařízení a usnadňovat s ním soulad. U evropských schémat certifikace kybernetické bezpečnosti, která vstoupí v platnost před vstupem tohoto nařízení v platnost, mohou být zapotřebí další specifikace podrobných aspektů toho, jak lze uplatnit předpoklad shody. Komise by měla být zmocněna k tomu, aby prostřednictvím aktů v přenesené pravomoci upřesnila, za jakých podmínek je možné použít evropská schémata certifikace v oblasti kybernetické bezpečnosti k prokázání shody se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení. Aby se zabránilo nepřiměřené administrativní zátěži, neměla by existovat žádná povinnost výrobců nechat si provést posouzení shody třetí stranou, jak je pro příslušné požadavky stanoveno v tomto nařízení, pokud byl evropský certifikát kybernetické bezpečnosti vydán v rámci těchto evropských schémat certifikace kybernetické bezpečnosti alespoň na úrovni „významná“.

(82)

Poté, co prováděcí nařízení (EU) 2024/482, jež se týká produktů, které spadají do působnosti tohoto nařízení, například hardwarových bezpečnostních modulů a mikroprocesorů, vstoupí v platnost, by měla mít Komise možnost prostřednictvím aktu v přenesené pravomoci upřesnit, jak EUCC zakládá předpoklad shody se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení nebo jejich části. V tomto aktu v přenesené pravomoci může být dále upřesněno, jakým způsobem certifikát vydaný v rámci EUCC ruší povinnost výrobců nechat si provést posouzení třetí stranou, jak je požadováno podle tohoto nařízení pro příslušné požadavky.

(83)

Stávající normalizační rámec EU, který je založen na zásadách nového přístupu stanovených v usnesení Rady ze dne 7. května 1985 o novém přístupu k technické harmonizaci a normám a na nařízení (EU) č. 1025/2012, představuje standardní rámec pro vypracování norem, které zakládají předpoklad shody s příslušnými základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení. Evropské normy by se měly řídit trhem, měly by zohledňovat veřejný zájem a politické cíle jasně uvedené v žádosti Komise adresované jedné nebo více evropským normalizačním organizacím, aby ve stanovené lhůtě vypracovaly harmonizované normy, a měly by být založeny na konsensu. Pokud však příslušné odkazy na harmonizované normy neexistují, měla by být Komisi svěřena pravomoc přijímat prováděcí akty, kterými se stanoví společné specifikace pro základní požadavky na kybernetickou bezpečnost obsažené v tomto nařízení, za předpokladu, že přitom bude řádně respektovat úlohu a funkce evropských normalizačních organizací, přičemž půjde o výjimečné náhradní řešení s cílem usnadnit výrobci plnit povinnost spojenou s dodržování těchto základních požadavků na kybernetickou bezpečnost, je-li proces normalizace zablokován nebo dojde-li při vypracovávání vhodných harmonizovaných norem k prodlevám. Je-li toto zpoždění způsobeno technickou složitostí dané normy, měla by to Komise zvážit předtím, než začne uvažovat o stanovení společných specifikací.

(84)

Aby Komise mohla co nejúčinněji stanovit společné specifikace, které se vztahují na základní požadavky na kybernetickou bezpečnost uvedené v tomto nařízení, měla by do tohoto procesu zapojit příslušné zúčastněné strany.

(85)

„Přiměřenou lhůtou“ se v souvislosti se zveřejněním odkazu na harmonizované normy v Úředním věstníku Evropské unie v souladu s nařízením (EU) č. 1025/2012 rozumí období, během něhož se očekává zveřejnění odkazu na normu, její opravu nebo změnu v Úředním věstníku Evropské unie a které by nemělo překročit jeden rok po uplynutí lhůty pro vypracování evropské normy stanovené v souladu s nařízením (EU) č. 1025/2012.

(86)

Aby se usnadnilo posuzování shody se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení, měl by u produktů s digitálními prvky, které jsou ve shodě se společnými specifikacemi přijatými Komisí podle tohoto nařízení za účelem vyjádření podrobných technických specifikací těchto požadavků, existovat předpoklad shody.

(87)

Uplatňování harmonizovaných norem, společných specifikací nebo evropských schémat certifikace kybernetické bezpečnosti přijatých podle nařízení (EU) 2019/881, které zakládají předpoklad shody ve vztahu k základním požadavkům na kybernetickou bezpečnost vztahujícím se na produkty s digitálními prvky, usnadní výrobcům posuzování shody. Pokud se výrobce rozhodne, že tyto prostředky pro určité požadavky nepoužije, musí ve své technické dokumentaci uvést, jakým jiným způsobem bylo shody dosaženo. Kromě toho by uplatňování harmonizovaných norem, společných specifikací nebo evropských schémat certifikace kybernetické bezpečnosti přijatých podle nařízení (EU) 2019/881, které zakládají předpoklad shody ze strany výrobců, usnadnilo kontrolu souladu produktů s digitálními prvky orgány dozoru nad trhem. Proto se výrobcům produktů s digitálními prvky doporučuje, aby tyto harmonizované normy, společné specifikace nebo evropská schémata certifikace kybernetické bezpečnosti uplatňovali.

(88)

Výrobci by měli vypracovat EU prohlášení o shodě s cílem poskytnout informace požadované podle tohoto nařízení o shodě produktů s digitálními prvky se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení a případně v dalších příslušných harmonizačních právních předpisech Unie, které se na produkt s digitálními prvky vztahují. Od výrobců může být rovněž požadováno, aby vypracovali EU prohlášení o shodě na základě jiných právních aktů Unie. Aby se pro účely dozoru nad trhem zajistil účinný přístup k informacím, mělo by být vypracováno jediné EU prohlášení o shodě týkající se shody se všemi příslušnými právními akty Unie. Za účelem snížení administrativní zátěže hospodářských subjektů by toto jediné EU prohlášení o shodě mohlo mít podobu složky tvořené příslušnými jednotlivými prohlášeními o shodě.

(89)

Označení CE, které vyjadřuje shodu výrobku, je viditelným výsledkem celého postupu zahrnujícího posuzování shody v širším smyslu. Obecné zásady upravující označení CE jsou stanoveny v nařízení Evropského parlamentu a Rady (ES) č. 765/2008 (29). V tomto nařízení by měla být stanovena pravidla týkající se umisťování označení CE na produkty s digitálními prvky. Označení CE by mělo být jediným označením, které zaručuje, že produkt s digitálními prvky splňuje požadavky stanovené v tomto nařízení.

(90)

Aby mohly hospodářské subjekty prokázat shodu se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení a aby orgány dozoru nad trhem mohly zajistit, že produkty s digitálními prvky dodávané na trh tyto požadavky splňují, je nezbytné stanovit postupy posuzování shody. V rozhodnutí Evropského parlamentu a Rady č. 768/2008/ES (30) jsou stanoveny moduly pro postupy posuzování shody podle míry souvisejícího rizika a požadované úrovně bezpečnosti. S cílem zajistit soudržnost mezi odvětvími a zabránit variantám ad hoc by měly být na těchto modulech založeny postupy posuzování shody vhodné pro ověření shody produktů s digitálními prvky se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení. V rámci postupů posuzování shody by se měly přezkoumat a ověřit požadavky týkající se produktu i postupu, které se vztahují na celý životní cyklus produktů s digitálními prvky, včetně plánování, návrhu, vývoje nebo výroby, testování a údržby produktu s digitálními prvky.

(91)

Posuzování shody produktů s digitálními prvky, které nejsou v tomto nařízení uvedeny na seznamu důležitých nebo kritických produktů s digitálními prvky, může v souladu s tímto nařízením na vlastní odpovědnost provádět výrobce postupem interní kontroly založeným na modulu A rozhodnutí č. 768/2008/ES. To platí i pro případy, kdy se výrobce rozhodne zcela nebo zčásti nepoužít příslušnou harmonizovanou normu, společnou specifikaci nebo evropské schéma certifikace kybernetické bezpečnosti. Výrobce si ponechá možnost zvolit přísnější postup posuzování shody za účasti třetí strany. V rámci posuzování shody postupem interní kontroly výrobce na svou výhradní odpovědnost zajišťuje a prohlašuje, že produkt s digitálními prvky a postupy výrobce splňují příslušné základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení. Spadá-li důležitý produkt s digitálními prvky do třídy I, vyžaduje se dodatečná záruka za účelem prokázání shody se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení. Pokud chce výrobce provést posouzení shody na vlastní odpovědnost (modul A), měl by uplatňovat harmonizované normy, společné specifikace nebo evropská schémata certifikace kybernetické bezpečnosti přijatá podle nařízení (EU) 2019/881, které byly identifikované Komisí v prováděcím aktu. Pokud výrobce tyto harmonizované normy, společné specifikace nebo evropská schémata certifikace kybernetické bezpečnosti nepoužije, mělo by u něj proběhnout posouzení shody za účasti třetí strany (na základě modulů B a C nebo H). S ohledem na administrativní zátěž výrobců a na skutečnost, že kybernetická bezpečnost hraje důležitou úlohu ve fázi návrhu a vývoje hmotných i nehmotných produktů s digitálními prvky, byly jako nejvhodnější pro přiměřené a účinné posouzení souladu důležitých produktů s digitálními prvky vybrány postupy posuzování shody založené na modulech B a C nebo na modulu H rozhodnutí č. 768/2008/ES. Výrobce, který provádí posouzení shody za účasti třetí strany, si může zvolit postup, který je nejvhodnější z hlediska jeho procesu návrhu a výroby. Vzhledem k ještě většímu kybernetickému bezpečnostnímu riziku spojenému s používáním důležitých produktů s digitálními prvky, které spadají do třídy II, by se posuzování shody mělo vždy provádět za účasti třetí strany, a to i v případě, že produkt zcela nebo částečně splňuje harmonizované normy, společné specifikace nebo evropská schémata certifikace kybernetické bezpečnosti. Výrobci důležitých produktů s digitálními prvky, které jsou považovány za svobodný software s otevřeným zdrojovým kódem, by měli mít možnost řídit se postupem interní kontroly založeným na modulu A za předpokladu, že technickou dokumentaci zpřístupní veřejnosti.

(92)

Zatímco vytváření hmotných produktů s digitálními prvky obvykle vyžaduje, aby výrobci vynaložili značné úsilí během fáze návrhu, vývoje a výroby, vytváření produktů s digitálními prvky ve formě softwaru se zaměřuje téměř výhradně na návrh a vývoj, zatímco výrobní fáze hraje jen vedlejší roli. V řadě případů však musejí být softwarové produkty ještě před uvedením na trh zkompilovány, vytvořeny, zabaleny, zpřístupněny ke stažení nebo zkopírovány na fyzické nosiče. Tyto činnosti by měly být při použití příslušných modulů posuzování shody s cílem ověřit soulad produktu se základními požadavky na kybernetickou bezpečnost stanovenými v tomto nařízení ve fázi návrhu, vývoje a výroby považovány za činnosti odpovídající výrobě.

(93)

Pokud jde o mikropodniky a malé podniky, je v zájmu zajištění proporcionality vhodné snížit administrativní náklady, aniž by to ovlivnilo úroveň kybernetické bezpečnosti produktů s digitálními prvky, které spadají do oblasti působnosti tohoto nařízení, nebo rovné podmínky mezi výrobci. Je proto vhodné, aby Komise vytvořila zjednodušený formulář technické dokumentace zaměřený na potřeby mikropodniků a malých podniků. Zjednodušený formulář technické dokumentace přijatý Komisí by měl zahrnovat všechny příslušné prvky týkající se technické dokumentace stanovené v tomto nařízení a upřesňovat, jak může mikropodnik nebo malý podnik stručně poskytnout požadované prvky, jako je popis návrhu, vývoje a výroby produktu s digitálními prvky. Formulář by tak přispěl ke zmírnění administrativní zátěže spojené s dodržováním předpisů tím, že by dotčeným podnikům poskytl právní jistotu ohledně toho, jak rozsáhlé a nakolik podrobné informace mají poskytnout. Mikropodniky a malé podniky by měly mít možnost zvolit si poskytování příslušných prvků technické dokumentace v rozšířené podobě a nepoužít zjednodušený formulář technické dokumentace, který mají k dispozici.

(94)

V zájmu podpory a ochrany inovací je důležité brát zvláštní ohled na zájmy výrobců, kteří jsou mikropodniky nebo malými nebo středními podniky, zejména mikropodniků a malých podniků, včetně začínajících podniků. Za tímto účelem by členské státy mohly vyvinout iniciativy zaměřené na výrobce, kteří jsou mikropodniky nebo malými podniky, včetně iniciativ v oblasti školení, zvyšování informovanosti, poskytování informací, testování a činnosti při posuzování shody třetími stranami a v oblasti zřizování sandboxů. Náklady na překlad související s povinnou dokumentací, jako je technická dokumentace a informace a pokyny pro uživatele požadované podle tohoto nařízení, a na komunikaci s orgány mohou pro výrobce, zejména ty menší velikosti, představovat značné náklady. Členské státy by proto měly mít možnost zvážit, aby jedním z jazyků, který určí a přijmou pro příslušnou dokumentaci výrobců a pro komunikaci s výrobci, byl jazyk, kterému obecně rozumí co nejvyšší počet uživatelů.

(95)

V zájmu zajištění hladkého uplatňování tohoto nařízení by členské státy měly usilovat o zajištění toho, aby byl před datem použitelnosti tohoto nařízení k dispozici dostatečný počet oznámených subjektů k provádění posouzení shody třetí stranou. Komise by se měla snažit členským státům a dalším příslušným stranám v tomto úsilí pomoci, aby se předešlo překážkám a problémům bránícím vstupu výrobců na trh. Cílená školící činnost vedená členskými státy, případně i s podporou Komise, může přispět k dostupnosti kvalifikovaných odborníků, mimo jiné za účelem podpory činnosti oznámených subjektů podle tohoto nařízení. Kromě toho by s ohledem na náklady, které mohou být s posuzováním shody třetí stranou spojeny, měly být zváženy iniciativy v oblasti financování na úrovni Unie a členských států s cílem snížit tyto náklady pro mikropodniky a malé podniky.

(96)

Aby byla zajištěna proporcionalita, měly by subjekty posuzování shody při stanovování poplatků za postupy posuzování shody zohledňovat zvláštní zájmy a potřeby mikropodniků a malých a středních podniků, včetně začínajících podniků. Zejména by subjekty posuzování shody měly uplatňovat příslušný přezkumný postup a zkoušky stanovené v tomto nařízení pouze v případě potřeby a v souladu s přístupem založeným na posouzení rizik.

(97)

Cílem regulačních sandboxů by měla být podpora inovací a konkurenceschopnosti podniků vytvořením kontrolovaného testovacího prostředí před uvedením produktů s digitálními prvky na trh. Regulační sandboxy by měly přispět ke zvýšení právní jistoty pro všechny subjekty, které spadají do oblasti působnosti tohoto nařízení, a usnadnit a urychlit přístup produktů s digitálními prvky na trh Unie, zejména pokud je dodávají mikropodniky a malé podniky, včetně začínajících podniků.

(98)

Za účelem provedení posouzení shody produktů s digitálními prvky třetí stranou by subjekty posuzování shody měly být oznámeny vnitrostátními oznamujícími orgány Komisi a ostatním členským státům, pokud splňují určitý soubor požadavků, zejména požadavků na nezávislost, způsobilost a neexistenci střetu zájmů.

(99)

Za účelem zajištění jednotné úrovně kvality při posuzování shody produktů s digitálními prvky je rovněž nezbytné stanovit požadavky pro oznamující orgány a ostatní subjekty zapojené do posuzování, oznamování a kontroly oznámených subjektů. Systém stanovený v tomto nařízení by měl být doplněn akreditačním systémem stanoveným v nařízení (ES) č. 765/2008. Vzhledem k tomu, že akreditace je základním prostředkem ověřování způsobilosti subjektů posuzování shody, měla by být používána rovněž pro účely oznamování.

(100)

Subjekty posuzování shody, které byly akreditovány a oznámeny podle práva Unie stanovujícího požadavky podobné těm, jež jsou obsaženy v tomto nařízení, jako je subjekt posuzování shody oznámený v rámci evropského schématu certifikace kybernetické bezpečnosti přijatého podle nařízení (EU) 2019/881 nebo oznámený podle nařízení v přenesené pravomoci (EU) 2022/30, by měly být nově posouzeny a oznámeny podle tohoto nařízení. Příslušné orgány však mohou vymezit součinnost, pokud jde o překrývající se požadavky, aby se předešlo zbytečné finanční a administrativní zátěži a zajistil hladký a včasný postup oznamování.

(101)

Transparentní akreditaci stanovenou v nařízení (ES) č. 765/2008, zajišťující nezbytnou míru důvěry v certifikáty shody, by měly vnitrostátní veřejné orgány v Unii považovat za přednostní způsob prokázání odborné způsobilosti subjektů posuzování shody. Vnitrostátní orgány se však mohou domnívat, že mají vhodné prostředky k tomu, aby toto hodnocení prováděly samy. V takovém případě by s cílem zajistit náležitou úroveň věrohodnosti hodnocení prováděného jinými vnitrostátními orgány měly Komisi a ostatním členským státům poskytnout nezbytné doklady o tom, že hodnocené subjekty posuzování shody splňují příslušné regulační požadavky.

(102)

Subjekty posuzování shody často zadávají část svých činností souvisejících s posuzováním shody subdodavateli nebo dceřiné společnosti. V zájmu zachování úrovně ochrany požadované pro produkt s digitálními prvky, který má být uveden na trh, je nezbytné, aby subdodavatelé a dceřiné společnosti provádějící posuzování shody splňovali při provádění úkolů posuzování shody stejné požadavky jako oznámené subjekty.

(103)

Oznámení subjektu posuzování shody by měl oznamující orgán zaslat Komisi a ostatním členským státům prostřednictvím informačního systému oznámených a jmenovaných organizací podle nového přístupu (NANDO). Informační systém NANDO je elektronický nástroj pro oznamování vyvinutý a spravovaný Komisí, v němž lze nalézt seznam všech oznámených subjektů.

(104)

Vzhledem k tomu, že oznámené subjekty mohou své služby nabízet na území celé Unie, je vhodné dát ostatním členským státům a Komisi možnost vznést námitky týkající se oznámeného subjektu. Je proto důležité stanovit dobu, během níž bude možné vyjasnit veškeré pochyby nebo výhrady týkající se způsobilosti subjektů posuzování shody předtím, než začnou fungovat jako oznámené subjekty.

(105)

Z důvodu konkurenceschopnosti je zásadně důležité, aby oznámené subjekty používaly postupy posuzování shody, aniž by zbytečně zatěžovaly hospodářské subjekty. Ze stejného důvodu a v zájmu zajištění rovného zacházení s hospodářskými subjekty je třeba zajistit jednotné technické provádění postupů posuzování shody. Toho by mělo být nejlépe dosaženo vhodnou koordinací a spoluprací mezi oznámenými subjekty.

(106)

Dozor nad trhem je základním nástrojem při zajišťování řádného a jednotného uplatňování práva Unie. Proto je vhodné vytvořit právní rámec, ve kterém může dozor nad trhem vhodným způsobem probíhat. Na produkty s digitálními prvky, které spadají do oblasti působnosti tohoto nařízení, se vztahují pravidla pro dozor nad trhem Unie a kontrolu výrobků vstupujících na trh Unie stanovená v nařízení (EU) 2019/1020.

(107)

V souladu s nařízením (EU) 2019/1020 vykonává orgán dozoru nad trhem dozor nad trhem na území toho členského státu, který jej určí. Toto nařízení by nemělo členským státům bránit, aby si samy zvolily příslušné orgány, které budou tyto úkoly plnit. Každý členský stát by měl na svém území určit jeden nebo více orgánů dozoru nad trhem. Členské státy by měly mít možnost určit některý stávající nebo nový orgán, který bude působit jako orgán dozoru nad trhem, včetně příslušných orgánů určených nebo zřízených podle článku 8 směrnice (EU) 2022/2555, vnitrostátních orgánů certifikace kybernetické bezpečnosti určených podle článku 58 nařízení (EU) 2019/881 nebo orgánů dozoru nad trhem určených pro účely směrnice 2014/53/EU. Hospodářské subjekty by měly plně spolupracovat s orgány dozoru nad trhem a dalšími příslušnými orgány. Každý členský stát by měl oznámit Komisi a ostatním členským státům své orgány dozoru nad trhem a působnost každého z nich, přičemž by měl zajistit nezbytné zdroje a dovednosti pro plnění úkolů dozoru nad trhem souvisejících s tímto nařízením. Podle čl. 10 odst. 2 a 3 nařízení (EU) 2019/1020 by měl každý členský stát jmenovat ústřední styčný úřad, který by měl mimo jiné odpovídat za zastupování koordinovaného postoje orgánů dozoru nad trhem a za pomoc při spolupráci mezi orgány dozoru nad trhem v různých členských státech.

(108)

Pro jednotné uplatňování tohoto nařízení by měla být zřízena podle čl. 30 odst. 2 nařízení (EU) 2019/1020 specializovaná skupina pro správní spolupráci zabývající se kybernetickou odolností produktů s digitálními prvky. Tato skupina by se měla skládat ze zástupců určených orgánů dozoru nad trhem a případně i ze zástupců ústředních styčných úřadů. Komise by měla podporovat a podněcovat spolupráci mezi orgány dozoru nad trhem prostřednictvím sítě Unie pro soulad výrobků s předpisy, zřízené podle článku 29 nařízení (EU) 2019/1020 a složené ze zástupců každého členského státu, včetně zástupce každého ústředního styčného úřadu podle článku 10 uvedeného nařízení a nepovinného vnitrostátního odborníka, předsedů skupiny pro správní spolupráci a zástupců Komise. Komise by se měla účastnit zasedání sítě Unie pro soulad výrobků s předpisy, jejích podskupin a specializované skupiny pro správní spolupráci. Měla by skupině pro správní spolupráci rovněž poskytovat pomoc prostřednictvím výkonného sekretariátu, který poskytuje technickou a logistickou podporu. Specializovaná skupina pro správní spolupráci může přizvat k účasti rovněž nezávislé odborníky a spolupracovat s dalšími skupinami pro správní spolupráci, jako je skupina zřízená podle směrnice 2014/53/EU.

(109)

Orgány dozoru nad trhem by prostřednictvím specializované skupiny pro správní spolupráci zřízené podle tohoto nařízení měly úzce spolupracovat a měly by být schopny vypracovat pokyny pro usnadnění dozoru nad trhem na vnitrostátní úrovni, například vypracováním osvědčených postupů a ukazatelů pro účinnou kontrolu souladu produktů s digitálními prvky s tímto nařízením.

(110)

V zájmu zajištění včasných, přiměřených a účinných opatření ve vztahu k produktům s digitálními prvky, které představují významné kybernetické bezpečnostní riziko, by měl být stanoven ochranný postup Unie, v jehož rámci jsou zúčastněné strany informovány o opatřeních, která mají být v souvislosti s těmito produkty přijata. Tento postup by měl orgánům dozoru nad trhem umožnit, aby ve spolupráci s příslušnými hospodářskými subjekty jednaly v případě potřeby dříve. Pokud se členské státy a Komise shodují na důvodnosti opatření přijatého členským státem, neměl by být vyžadován žádný další zásah Komise, kromě případů, kdy lze nesoulad přisuzovat nedostatkům v harmonizované normě.

(111)

V některých případech však může produkt s digitálními prvky, který je v souladu s tímto nařízením, přesto představovat významné kybernetické bezpečnostní riziko nebo představovat riziko pro zdraví nebo bezpečnost osob, pro dodržování povinností podle unijního nebo vnitrostátního práva, jejichž cílem je ochrana základních práv, pro dostupnost, autenticitu, integritu nebo důvěrnost služeb nabízených prostřednictvím elektronického informačního systému základními subjekty podle čl. 3 odst. 1 směrnice (EU) 2022/2555 nebo pro jiné aspekty ochrany veřejného zájmu. Je proto nezbytné stanovit pravidla, která zajistí zmírnění těchto rizik. V důsledku toho by orgány dozoru nad trhem měly přijmout opatření požadující po hospodářském subjektu, aby zajistil, že produkt již toto riziko nepředstavuje, nebo aby jej v závislosti na riziku stáhl z oběhu nebo z trhu. Jakmile orgán dozoru nad trhem takto omezí nebo zakáže volný pohyb produktu s digitálními prvky, měl by členský stát neprodleně oznámit Komisi a ostatním členským státům prozatímní opatření s uvedením důvodů a vysvětlení tohoto rozhodnutí. Pokud orgán dozoru nad trhem tato opatření proti produktům s digitálními prvky představujícím riziko přijme, měla by Komise neprodleně zahájit konzultace s členskými státy a příslušným hospodářským subjektem nebo subjekty a měla by vnitrostátní opatření vyhodnotit. Na základě výsledků tohoto hodnocení by měla Komise rozhodnout, zda je vnitrostátní opatření důvodné, či nikoli. Rozhodnutí Komise by mělo být určeno všem členským státům a Komise jej neprodleně sdělí členským státům a příslušnému hospodářskému subjektu nebo subjektům. Pokud je opatření považováno za důvodné, měla by mít Komise rovněž možnost zvážit přijetí návrhů na revizi příslušného práva Unie.

(112)

U produktů s digitálními prvky, které představují významné kybernetické bezpečnostní riziko, a pokud existuje důvod se domnívat, že nejsou v souladu s tímto nařízením, nebo u produktů, které jsou v souladu s tímto nařízením, avšak představují jiná důležitá rizika, například rizika pro zdraví nebo bezpečnost osob, pro dodržování povinností podle unijního nebo vnitrostátního práva určeného k ochraně základních práv nebo pro dostupnost, autenticitu, integritu či důvěrnost služeb nabízených prostřednictvím elektronického informačního systému základními subjekty podle čl. 3 odst. 1 směrnice (EU) 2022/2555, by Komise měla mít možnost požádat agenturu ENISA o provedení hodnocení. Na základě tohoto hodnocení by Komise měla mít možnost prostřednictvím prováděcích aktů přijmout nápravná nebo omezující opatření na úrovni Unie, včetně požadavku na stažení příslušných produktů s digitálními prvky z trhu nebo z oběhu, a to v přiměřené lhůtě úměrné povaze rizika. Komise by měla mít možnost tento zásah použít pouze za výjimečných okolností, které jsou důvodem k okamžitému zásahu za účelem zachování řádného fungování vnitřního trhu, a pouze v případě, že orgány dozoru nad trhem nepřijaly účinná opatření k nápravě situace. Těmito výjimečnými okolnostmi mohou být mimořádné situace, kdy výrobce například ve velkém měřítku zpřístupňuje produkt s digitálními prvky nesplňující požadavky ve více členských státech a tento produkt se používá i v klíčových odvětvích ze strany subjektů, které spadají do oblasti působnosti směrnice (EU) 2022/2555, přičemž obsahuje známé zranitelnosti, které zneužívají škodliví aktéři a pro něž výrobce neposkytuje dostupné opravy. Komise by měla mít možnost v těchto mimořádných situacích zasáhnout pouze po dobu trvání mimořádných okolností a v případě, že přetrvává nesoulad s tímto nařízením nebo že přetrvávají uvedená významná rizika.

(113)

Pokud existují náznaky nesouladu s tímto nařízením v několika členských státech, měly by mít orgány dozoru nad trhem možnost provádět společnou činnost s jinými orgány za účelem ověření souladu a zjištění kybernetických bezpečnostních rizik produktů s digitálními prvky.

(114)

Souběžné koordinované kontrolní akce (společné kontrolní akce) jsou konkrétní donucovací opatření orgánů dozoru nad trhem, která mohou dále zvýšit bezpečnost produktů. Společné kontrolní akce by měly být prováděny zejména v případech, kdy tržní trendy, stížnosti spotřebitelů nebo jiné náznaky ukazují, že některé kategorie produktů s digitálními prvky často představují kybernetická bezpečnostní rizika. Kromě toho by orgány dozoru nad trhem měly při určování kategorií produktů, na které se mají vztahovat tyto společné kontrolní akce, zohlednit i okolnosti týkající se jiných než technických rizikových faktorů. Za tímto účelem by orgány dozoru nad trhem měly mít možnost zohlednit výsledky koordinovaného posuzování bezpečnostních rizik kritických dodavatelských řetězců na úrovni Unie prováděného v souladu s článkem 22 směrnice (EU) 2022/2555, včetně okolností týkajících se jiných než technických rizikových faktorů. Agentura ENISA by měla orgánům dozoru nad trhem předkládat návrhy na kategorie produktů s digitálními prvky, u nichž by mohly být tyto společné kontrolní akce zorganizovány, mimo jiné na základě obdržených oznámení o zranitelnosti produktů a o incidentech.

(115)

Agentura ENISA by s ohledem na své odborné znalosti a mandát měla být schopna podporovat proces uplatňování tohoto nařízení. Agentura ENISA by zejména měla mít možnost navrhovat společné činnosti, které mají provádět orgány dozoru nad trhem na základě údajů nebo informací o možném nesouladu produktů s digitálními prvky s tímto nařízením v některých členských státech, nebo určit kategorie produktů, pro něž by měly být organizovány společné kontrolní akce. Za výjimečných okolností by agentura ENISA měla mít na žádost Komise možnost provádět hodnocení konkrétních produktů s digitálními prvky, které představují významné kybernetické bezpečnostní riziko, je-li pro zachování řádného fungování vnitřního trhu nutný okamžitý zásah.

(116)

Toto nařízení svěřuje agentuře ENISA určité úkoly, které vyžadují odpovídající zdroje z hlediska odborných znalostí i z hlediska lidských zdrojů, aby je mohla agentura ENISA účinně plnit. Při přípravě návrhu souhrnného rozpočtu Unie navrhne Komise v souladu s postupem stanoveným v článku 29 nařízení (EU) 2019/881 nezbytné rozpočtové zdroje pro plán pracovních míst agentury ENISA. Během tohoto procesu Komise zváží celkové zdroje agentury ENISA, aby mohla plnit své úkoly, včetně úkolů svěřených agentuře ENISA podle tohoto nařízení.

(117)

Aby bylo zajištěno, že regulační rámec může být v případě potřeby upraven, měla by být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“), pokud jde o aktualizace a přílohu tohoto nařízení obsahující seznam kritických produktů s digitálními prvky. Na Komisi by měla být přenesena pravomoc přijímat akty v souladu s uvedeným článkem, v nichž by stanovila, na které produkty s digitálními prvky se vztahují jiná pravidla Unie, jež dosahují stejné úrovně ochrany jako toto nařízení, a upřesnila, zda by bylo nezbytné je omezit nebo vyloučit z oblasti působnosti tohoto nařízení, jakož i případně rozsah tohoto omezení. Na Komisi by také měla být přenesena pravomoc přijímat akty v souladu s uvedeným článkem, pokud jde o případné pověření certifikací v rámci evropského schématu certifikace kybernetické bezpečnosti pro kritické produkty s digitálními prvky stanovené v příloze tohoto nařízení, jakož i o aktualizaci seznamu kritických produktů s digitálními prvky na základě kritérií kritičnosti stanovených v tomto nařízení a o upřesnění evropských schémat certifikace kybernetické bezpečnosti přijatých podle nařízení (EU) 2019/881, které lze použít k prokázání souladu se základními požadavky na kybernetickou bezpečnost nebo jejich částmi, jak je stanoveno v příloze tohoto nařízení. Na Komisi by měla být přenesena rovněž pravomoc přijímat akty v přenesené pravomoci ke stanovení minimální doby podpory pro konkrétní kategorie produktů, u nichž údaje z dozoru nad trhem naznačují, že tato doba je nedostatečná, a také ke stanovení podmínek pro uplatnění důvodů souvisejících s kybernetickou bezpečností, pokud jde o odklad zasílání oznámení o aktivně zneužívaných zranitelnostech. Kromě toho by na Komisi měla být přenesena pravomoc přijímat akty za účelem zavedení dobrovolných programů osvědčování bezpečnosti pro posuzování shody produktů s digitálními prvky, které lze považovat za svobodný software s otevřeným zdrojovým kódem, se všemi nebo některými základními požadavky na kybernetickou bezpečnost či jinými povinnostmi stanovenými v tomto nařízení, jakož i za účelem stanovení minimálního obsahu EU prohlášení o shodě a doplnění prvků, které mají být obsaženy v technické dokumentaci. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (31). Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na setkání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci. Pravomoc přijímat akty v přenesené pravomoci podle tohoto nařízení by měla být Komisi svěřena na dobu pěti let od 10. prosince 2024. Komise by měla vypracovat zprávu o přenesení pravomoci nejpozději devět měsíců před koncem tohoto pětiletého období. Přenesení pravomoci se automaticky prodlužuje o stejně dlouhá období, pokud Evropský parlament ani Rada nevysloví proti tomuto prodloužení námitku nejpozději tři měsíce před koncem každého z těchto období.

(118)

Za účelem zajištění jednotných podmínek uplatňování tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci, aby určila technický popis kategorií důležitých produktů s digitálními prvky stanovených v příloze tohoto nařízení a formát a prvky softwarového kusovníku, blíže upřesnila formát a postup oznamování aktivně zneužívaných zranitelností a závažných incidentů s dopadem na bezpečnost produktů s digitálními prvky ze strany výrobců, stanovila společné specifikace týkající se technických požadavků, které poskytují prostředky k prokázaní shody se základními požadavky na kybernetickou bezpečnost stanovenými v příloze tohoto nařízení, stanovila technické specifikace pro označení, piktogramy nebo jakékoli jiné značky týkající se bezpečnosti produktů s digitálními prvky, jejich doby podpory a mechanismů na podporu jejich používání, zvýšila informovanost veřejnosti o bezpečnosti produktů s digitálními prvky, upřesnila zjednodušený formulář dokumentace zaměřený na potřeby mikropodniků a malých podniků a rozhodla o nápravných nebo omezujících opatřeních na úrovni Unie za výjimečných okolností, které odůvodňují okamžitý zásah za účelem zachování řádného fungování vnitřního trhu. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (32).

(119)

V zájmu zajištění důvěryhodné a konstruktivní spolupráce orgánů dozoru nad trhem na úrovni Unie a členských států by měly všechny strany zapojené do uplatňování tohoto nařízení respektovat důvěrnost informací a údajů získaných při plnění svých úkolů.

(120)

S cílem zajistit účinné vymáhání povinností stanovených v tomto nařízení by každý orgán dozoru nad trhem měl mít pravomoc ukládat správní pokuty nebo požadovat uložení správních pokut. Proto by měly být stanoveny maximální úrovně správních pokut za nedodržení povinností stanovených v tomto nařízení, které mají být určeny ve vnitrostátních právních předpisech. Při rozhodování o výši správní pokuty v každém jednotlivém případě by měly být zohledněny veškeré relevantní okolnosti konkrétní situace a přinejmenším ty, které jsou výslovně stanoveny v tomto nařízení, včetně skutečnosti, zda je výrobcem mikropodnik, malý nebo střední podnik, včetně začínajících podniků, a zda tytéž nebo jiné orgány dozoru nad trhem již neuložily témuž hospodářskému subjektu správní pokutu za podobné porušení. Tyto okolnosti by mohly být buď přitěžující v situacích, kdy porušení ze strany téhož hospodářského subjektu trvá na území jiných členských států, než je stát, v němž již byla správní pokuta uložena, nebo polehčující čím bude zajištěno, aby jakákoli jiná správní pokuta zvažovaná jiným orgánem dozoru nad trhem pro tentýž hospodářský subjekt nebo stejný druh protiprávního jednání již zohledňovala, spolu s dalšími relevantními zvláštními okolnostmi, pokutu a její výši uloženou v jiných členských státech. Ve všech těchto případech by kumulativní správní pokuta, kterou by mohly uložit orgány dozoru nad trhem několika členských států témuž hospodářskému subjektu za stejný druh porušení, měla zajišťovat dodržení zásady proporcionality. Vzhledem k tomu, že se správní pokuty nevztahují na mikropodniky nebo malé podniky za nedodržení 24 hodinové lhůty pro včasné varování o aktivně zneužívaných zranitelnostech nebo závažných incidentech, které mají dopad na bezpečnost produktu s digitálními prvky, ani na správce softwaru s otevřeným zdrojovým kódem za jakékoli porušení tohoto nařízení, a s výhradou zásady, že sankce by měly být účinné, přiměřené a odrazující, neměly by členské státy těmto subjektům ukládat jiné druhy sankcí peněžní povahy.

(121)

Jsou-li správní pokuty uloženy osobě, která není podnikem, měl by příslušný úřad při rozhodování o odpovídající výši pokuty zohlednit obecnou úroveň příjmů v daném členském státě a ekonomickou situaci dané osoby. Mělo by být ponecháno na členských státech, aby určily, zda a v jaké míře by měly podléhat správním pokutám orgány veřejné správy.

(122)

Členské státy by měly s přihlédnutím k vnitrostátním okolnostem posoudit možnost použití příjmů ze sankcí stanovených v tomto nařízení nebo jejich finančního ekvivalentu na podporu opatření v oblasti kybernetické bezpečnosti a zvýšení úrovně kybernetické bezpečnosti v Unii, mimo jiné zvýšením počtu kvalifikovaných odborníků v oblasti kybernetické bezpečnosti, posílením budování kapacit mikropodniků a malých a středních podniků a zlepšením informovanosti veřejnosti o kybernetických hrozbách.

(123)

Ve vztazích s třetími zeměmi usiluje Unie o podporu mezinárodního obchodu s regulovanými produkty. V zájmu usnadnění obchodu lze uplatnit širokou škálu opatření, včetně několika právních nástrojů, například dvoustranných (mezivládních) dohod o vzájemném uznávání posuzování shody a označování regulovaných produktů. Dohody o vzájemném uznávání se uzavírají mezi Unií a třetími zeměmi, které jsou na srovnatelné úrovni technického rozvoje a mají slučitelný přístup k posuzování shody. Tyto dohody jsou založeny na vzájemném uznávání certifikátů, označení shody a protokolů o zkouškách vystavených subjekty posuzování shody jedné ze stran v souladu s právními předpisy druhé strany. V současné době platí dohody o vzájemném uznávání s několika třetími zeměmi. Tyto dohody se uzavírají v řadě konkrétních odvětví, která se mohou u jednotlivých třetích zemích lišit. S cílem dále usnadnit obchod a s vědomím, že dodavatelské řetězce produktů s digitálními prvky jsou celosvětové, mohou být dohody o vzájemném uznávání týkající se posuzování shody pro produkty, na něž se vztahuje toto nařízení, uzavřeny Unií v souladu s článkem 218 Smlouvy o fungování EU. V zájmu posílení kybernetické odolnosti v celosvětovém měřítku je rovněž důležitá spolupráce s partnerskými třetími zeměmi, neboť to v dlouhodobém horizontu přispěje k posílení rámce kybernetické bezpečnosti v rámci Unie i mimo ni.

(124)

Spotřebitelé by měli být oprávněni vymáhat svá práva v souvislosti s povinnostmi, které byly podle tohoto nařízení uloženy hospodářským subjektům, prostřednictvím zástupných žalob v souladu se směrnicí Evropského parlamentu a Rady (EU) 2020/1828 (33). Za tímto účelem by mělo být v tomto nařízení stanoveno, že se směrnice (EU) 2020/1828 použije na zástupné žaloby týkající se porušení tohoto nařízení, které poškozuje nebo může poškodit kolektivní zájmy spotřebitelů. Proto je zapotřebí změnit odpovídajícím způsobem přílohu I uvedené směrnice. Členské státy by měly zajistit zohlednění uvedených změn v prováděcích opatřeních přijatých podle uvedené směrnice, i když přijetí vnitrostátních prováděcích opatření v tomto ohledu není podmínkou pro použitelnost uvedené směrnice na zmíněné zástupné žaloby. Pokud jde o zástupné žaloby týkající se porušení ustanovení tohoto nařízení hospodářskými subjekty, které poškozuje nebo může poškodit kolektivní zájmy spotřebitelů, měla by být uvedená směrnice použitelná od 11. prosince 2027.

(125)

Komise by měla provádět pravidelné hodnocení a přezkum tohoto nařízení za konzultace s příslušnými zúčastněnými stranami, zejména pokud jde o nutnost změn s ohledem na měnící se společenské, politické, technické nebo tržní podmínky. Toto nařízení usnadní subjektům, které spadají do oblasti působnosti nařízení (EU) 2022/2554 a směrnice (EU) 2022/2555 a které používají produkty s digitálními prvky, plnění povinností v oblasti bezpečnosti dodavatelského řetězce. Komise by měla v rámci pravidelného přezkumu vyhodnotit kombinované účinky rámce Unie pro kybernetickou bezpečnost.

(126)

Hospodářským subjektům by měl být poskytnut dostatečný čas na přizpůsobení se požadavkům stanoveným v tomto nařízení. Toto nařízení by se mělo použít od 11. prosince 2027, s výjimkou povinností podávat zprávy o aktivně zneužívaných zranitelnostech a závažných incidentech s dopadem na bezpečnost produktů s digitálními prvky, které by se měly použít od 11. září 2026, a ustanovení o oznamování subjektů posuzování shody, která by se měla použít od 11. červma 2026.

(127)

Je důležité poskytovat při uplatňování tohoto nařízení podporu mikropodnikům a malým a středním podnikům, včetně začínajících podniků, a minimalizovat rizika pro jeho uplatňování vyplývající z nedostatku znalostí a odborných poznatků na trhu a také usnadnit výrobcům plnění jejich povinností stanovených v tomto nařízení. Program Digitální Evropa a další příslušné programy Unie poskytují finanční a technickou podporu, která těmto podnikům umožňuje přispívat k růstu hospodářství Unie a k posílení společné úrovně kybernetické bezpečnosti v Unii. Evropské centrum kompetencí pro kybernetickou bezpečnost a národní koordinační centra, jakož i evropská centra pro digitální inovace zřízená Komisí a členskými státy na úrovni Unie nebo členských států by mohla podporovat rovněž podniky a organizace veřejného sektoru a mohla by přispět k uplatňování tohoto nařízení. V rámci svých příslušných úkolů a oblasti působnosti by mohla poskytovat technickou a vědeckou podporu mikropodnikům a malým a středním podnikům, například v oblasti testování a posuzování shody třetí stranou. Mohla by rovněž podpořit zavádění nástrojů usnadňujících uplatňování tohoto nařízení.

(128)

Kromě toho by členské státy měly zvážit přijetí doplňkových opatření zaměřených na poskytování pokynů a podpory mikropodnikům a malým a středním podnikům, jako je zřízení regulačních sandboxů a vyhrazených komunikačních kanálů. V zájmu zvýšení úrovně kybernetické bezpečnosti v Unii mohou členské státy rovněž zvážit poskytnutí podpory na rozvoj kapacit a dovedností souvisejících s kybernetickou bezpečností produktů s digitálními prvky, na zlepšení kybernetické odolnosti hospodářských subjektů, zejména mikropodniků a malých a středních podniků, a na zvyšování informovanosti veřejnosti o kybernetické bezpečnosti produktů s digitálními prvky.

(129)

Jelikož cíle tohoto nařízení nemůže být dosaženo uspokojivě členskými státy, ale spíše jej, z důvodu účinků opatření, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné k dosažení tohoto cíle.

(130)

Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (34) a dne 9. listopadu 2022 vydal své stanovisko (35),