Bilaga IV KRITISKA PRODUKTER MED DIGITALA ELEMENT

De kategorier av kritiska produkter med digitala element som anges i denna förordning har en cybersäkerhetsrelaterad funktion och en funktion som medför en betydande risk för negativa effekter i fråga om intensitet och förmåga att störa, kontrollera eller skada ett stort antal andra produkter med digitala element genom direkt manipulation. Dessutom anses dessa kategorier av produkter med digitala element vara kritiska beroenden för de väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555. De kategorier av kritiska produkter med digitala element som anges i en bilaga till denna förordning använder redan i stor utsträckning olika former av certifiering, och omfattas också av det europeiska gemensamma kriteriebaserade systemet för cybersäkerhetscertifiering (EUCC) som anges i kommissionens genomförandeförordning (EU) 2024/482(²⁰)Kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) (EUT L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).. För att säkerställa ett gemensamt tillräckligt cybersäkerhetsskydd för kritiska produkter med digitala element i unionen skulle det därför kunna vara lämpligt och proportionellt att genom en delegerad akt låta sådana produktkategorier omfattas av obligatorisk europeisk cybersäkerhetscertifiering om det redan finns en relevant europeisk ordning för cybersäkerhetscertifiering som omfattar dessa produkter och en bedömning av de potentiella marknadseffekterna av den planerade obligatoriska certifieringen har utförts av kommissionen. Bedömningen bör beakta både utbuds- och efterfrågesidan, inbegripet huruvida det finns tillräcklig efterfrågan på de berörda produkterna med digitala element från både medlemsstaterna och användarna för att europeisk cybersäkerhetscertifiering ska krävas, samt de ändamål för vilka produkterna med digitala element är avsedda att användas, inbegripet det kritiska beroendet av dem hos väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555. Bedömningen bör också analysera de potentiella effekterna av den obligatoriska certifieringen på dessa produkters tillgänglighet på den inre marknaden och medlemsstaternas kapacitet och beredskap att genomföra de relevanta europeiska ordningarna för cybersäkerhetscertifiering.

För att säkerställa ett gemensamt tillräckligt cybersäkerhetsskydd i unionen för produkter med digitala element som har kärnfunktionen hos en kategori av kritiska produkter med digitala element som anges i denna förordning, bör kommissionen också ges befogenhet att anta delegerade akter för att ändra denna förordning genom att lägga till eller stryka kategorier av kritiska produkter med digitala element, för vilka tillverkare skulle kunna åläggas att erhålla ett europeiskt cybersäkerhetscertifikat inom ramen för en europeisk ordning för cybersäkerhetscertifiering, enligt förordning (EU) 2019/881 för att visa överensstämmelse med denna förordning. En ny kategori av kritiska produkter med digitala element kan läggas till dessa kategorier om det finns ett kritiskt beroende av dem hos de väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555 eller om incidenter eller utnyttjade sårbarheter kan leda till avbrott i kritiska leveranskedjor. När kommissionen bedömer behovet av att lägga till eller stryka kategorier av kritiska produkter med digitala element genom en delegerad akt bör den kunna beakta huruvida medlemsstaterna på nationell nivå har identifierat produkter med digitala element som har en avgörande roll för resiliensen hos de väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555 och som i allt högre grad drabbas av cyberattacker i leveranskedjan, med potentiella allvarliga störande effekter. Dessutom bör kommissionen kunna beakta resultatet av den samordnade säkerhetsriskbedömning av kritiska leveranskedjor på unionsnivå som genomförts i enlighet med artikel 22 i direktiv (EU) 2022/2555.