Beta

Source: OJ L 2024/2847, 20.11.2024

Current language: SV

Artikel 13 Tillverkares skyldigheter

    1. När en produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. släpps ut på marknaden ska tillverkarna säkerställa att den har utformats, utvecklats och producerats i enlighet med de väsentliga cybersäkerhetskrav som fastställs i bilaga I i del I.

    1. För att följa punkt 1 ska tillverkarna göra en bedömning av de cybersäkerhetsrisker som är förbundna med en produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. och beakta resultatet av bedömningen under planerings-, utformnings-, utvecklings-, produktions-, leverans- och underhållsfaserna för en produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat., för att minimera cybersäkerhetsriskerna, förhindra incidenter och minimera deras konsekvenser, inbegripet vad gäller användarnas hälsa och säkerhet.

    1. Bedömningen av cybersäkerhetsrisker ska dokumenteras och uppdateras på lämpligt sätt under en stödperiodden period under vilken en tillverkare måste säkerställa att sårbarheter hos en produkt med digitala element hanteras ändamålsenligt och i enlighet med de väsentliga cybersäkerhetskrav som fastställs i bilaga I del II. som ska fastställas i enlighet med punkt 8 i denna artikel. Bedömningen av cybersäkerhetsrisker ska omfatta åtminstone en analys av cybersäkerhetsriskerna på grundval av det avsedda ändamålet och den rimligen förutsebara användningen samt användningsförhållandena för produkten med digitala element, såsom driftsmiljön eller de tillgångar som ska skyddas, med beaktande av hur länge produkten förväntas vara i bruk. Bedömningen av cybersäkerhetsrisker ska ange huruvida, och i så fall på vilket sätt, de säkerhetskrav som anges i bilaga I del I punkt 2 är tillämpliga på den relevanta produkten med digitala element och hur dessa krav genomförs på grundval av bedömningen av cybersäkerhetrisker. Det ska också anges hur tillverkaren tillämpar bilaga I del I punkt 1 och de krav på sårbarhetshantering som anges i bilaga I del II.

    1. När en produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. släpps ut på marknaden ska tillverkaren inkludera den bedömning av cybersäkerhetsrisker som avses i punkt 3 i denna artikel i den tekniska dokumentation som krävs enligt artikel 31 och bilaga VII. För de produkter med digitala element som avses i artikel 12 och som också omfattas av andra unionsrättsakter får bedömningen av cybersäkerhetsriskerna ingå i den riskbedömning som krävs enligt dessa unionsrättsakter. I de fall då vissa väsentliga cybersäkerhetskrav inte är tillämpliga på produkten med digitala element ska tillverkaren inkludera en tydlig motivering till detta i den tekniska dokumentationen.

    1. För att uppfylla kraven i punkt 1 ska tillverkarna visa tillbörlig aktsamhet när de integrerar komponenter som kommer från tredje part så att dessa komponenter inte komprometterar cybersäkerheten för produkten med digitala element, inbegripet vid integrering av komponenter i programvara med fri och öppen källkodprogramvara vars källkod delas öppet och som tillhandahålls inom ramen för en licens med fri och öppen källkod som ger alla rättigheter att göra den fritt tillgänglig att användas, modifieras och vidaredistribueras. som inte har tillhandahållits på marknaden i samband med kommersiell verksamhet.

    1. Tillverkarna ska när de identifierar en sårbarheten svaghet, känslighet eller brist hos en produkt med digitala element som kan utnyttjas genom ett cyberhot. i en komponentprogramvara eller hårdvara som är avsedd att vara integrerad i ett elektroniskt informationssystem., inbegripet en komponentprogramvara eller hårdvara som är avsedd att vara integrerad i ett elektroniskt informationssystem. med fri och öppen källkod, som är integrerad i en produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat., rapportera sårbarheten till den person eller entitet som tillverkar eller underhåller komponenten och åtgärda och avhjälpa sårbarheten i enlighet med de krav på sårbarhetshantering som anges i bilaga I del II. Om tillverkarna har utvecklat en programvaru- eller hårdvaruändring för att åtgärda sårbarheten i den komponenten ska de dela den relevanta koden eller dokumentationen med den person eller entitet som tillverkar eller underhåller komponenten, när så är lämpligt, i ett maskinläsbart format.

    1. Tillverkarna ska systematiskt och på ett sätt som står i proportion till cybersäkerhetsriskernas art dokumentera relevanta cybersäkerhetsaspekter som rör produkterna med digitala element, inbegripet sårbarheter de får kännedom om och all relevant information som tillhandahålls av tredje part, och ska, i förekommande fall, uppdatera bedömningen av cybersäkerhetsrisker för produkterna.

    1. När en produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. släpps ut på marknaden, och under stödperioden, ska tillverkarna säkerställa att produktens, inbegripet dess komponenters, sårbarheter hanteras effektivt och i enlighet med de väsentliga cybersäkerhetskrav som fastställs i bilaga I del II.

    2. Tillverkarna ska fastställa stödperioden så att den återspeglar den tidsperiod under vilken produkten förväntas vara i bruk, med särskilt beaktande av rimliga förväntningar från användarna, produktens art, inbegripet dess avsedda ändamål, samt relevant unionsrätt som fastställer livslängden för produkter med digitala element. Vid fastställandet av stödperioden får tillverkarna också beakta stödperioderna för produkter med digitala element som erbjuder en liknande funktion som släppts ut på marknaden av andra tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt., tillgången till driftsmiljön, stödperioderna för integrerade komponenter som tillhandahåller kärnfunktioner och kommer från tredje parter samt relevant vägledning från den särskilda administrativa samarbetsgruppen (Adco-gruppen), som inrättats enligt artikel 52.15, och kommissionen. De faktorer som ska beaktas vid fastställandet av den stödperiodden period under vilken en tillverkare måste säkerställa att sårbarheter hos en produkt med digitala element hanteras ändamålsenligt och i enlighet med de väsentliga cybersäkerhetskrav som fastställs i bilaga I del II. som ska beaktas på ett sätt som säkerställer proportionalitet.

    3. Utan att det påverkar tillämpningen av andra stycket ska stödperioden vara minst fem år. Om produkten med digitala element förväntas vara i bruk i mindre än fem år ska stödperioden motsvara den förväntade användningstiden.

    4. Med beaktande av de rekommendationer från Adco-gruppen som avses i artikel 52.16 får kommissionen anta delegerade akter i enlighet med artikel 61 för att komplettera denna förordning genom att specificera den minsta tillåtna stödperioden för specifika produktkategorier om uppgifter från marknadskontrollen tyder på otillräckliga stödperioder.

    5. Tillverkarna ska inkludera den information som har beaktats för att fastställa stödperioden för en produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. i den tekniska dokumentationen enligt bilaga VII.

    6. Tillverkarna ska ha lämpliga policyer och förfaranden, inbegripet policyer för samordnad delgivning av information om sårbarheter, enligt bilaga I del II punkt 5, för att behandla och åtgärda de potentiella sårbarheter i produkter med digitala element som rapporterats av interna eller externa källor.

    1. Tillverkarna ska säkerställa att varje säkerhetsuppdatering som avses i bilaga I del II punkt 8 och som har gjorts tillgänglig för användare under stödperioden förblir tillgänglig efter det att den har utfärdats i minst tio år eller under återstoden av stödperioden, beroende på vilken period som är längst.

    1. Om en tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt. har släppt ut senare väsentligt ändrade versioner av en programvaruprodukt på marknaden får tillverkaren säkerställa överensstämmelse med det väsentliga cybersäkerhetskrav som anges i bilaga I del II punkt 2 endast för den version som tillverkaren senast släppte ut på marknaden, förutsatt att användarna av de versioner som tidigare släppts ut på marknaden kostnadsfritt har tillgång till den version som senast släpptes ut på marknaden och inte ådrar sig ytterligare kostnader för att anpassa den hårdvaru- och programvarumiljö där de använder den ursprungliga versionen av den produkten.

    1. Tillverkarna får upprätthålla offentliga programvaruarkiv som förbättrar användarnas tillgång till äldre versioner. I sådana fall ska användarna på ett lättillgängligt sätt få tydlig information om riskerna med att använda programvaraden del av ett elektroniskt informationssystem som utgörs av datorkod. som inte stöds.

    1. Innan en produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. släpps ut på marknaden ska tillverkarna sammanställa den tekniska dokumentation som avses i artikel 31.

    2. De ska genomföra de valda förfaranden för bedömning av överensstämmelseprocessen där det kontrolleras om de väsentliga cybersäkerhetskraven i bilaga I har uppfyllts. som avses i artikel 32 eller se till att de genomförs.

    3. När det genom detta förfarande för bedömning av överensstämmelseprocessen där det kontrolleras om de väsentliga cybersäkerhetskraven i bilaga I har uppfyllts. har visats att produkten med digitala element uppfyller de väsentliga cybersäkerhetskraven i bilaga I del I och att de processer som tillverkaren infört uppfyller de väsentliga cybersäkerhetskraven i bilaga I del II, ska tillverkarna upprätta EU-försäkran om överensstämmelse i enlighet med artikel 28 och fästa CE-märkningen i enlighet med artikel 30.

    1. Tillverkarna ska kunna uppvisa den tekniska dokumentationen och EU-försäkran om överensstämmelse för marknadskontrollmyndigheterna i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst.

    1. Tillverkarna ska säkerställa att det finns förfaranden som säkerställer att produkter med digitala element som är en del av serietillverkning fortsätter att överensstämma med kraven i denna förordning. Tillverkarna ska på lämpligt sätt ta hänsyn till förändringar i utvecklings- och tillverkningsprocessen eller i utformningen av eller egenskaperna hos produkten med digitala element samt till ändringar av de harmoniserade standarderna, de europeiska ordningarna för cybersäkerhetscertifiering eller de gemensamma specifikationer som avses i artikel 27 med hänvisning till vilka överensstämmelsen för produkten med digitala element försäkras eller genom vars tillämpning överensstämmelsen kontrolleras.

    1. Tillverkarna ska säkerställa att deras produkter med digitala element är försedda med typnummer, partinummer, serienummer eller annan identifieringsmärkning eller, om detta inte är möjligt, säkerställa att den informationen fästas på produktens förpackning eller på ett dokument som åtföljer produkten med digitala element.

    1. Tillverkarna ska, på produkten med digitala element, på förpackningen eller i ett dokument som åtföljer produkten med digitala element, ange sitt namn, registrerade firmanamn eller registrerade varumärke samt postadress och e-postadress eller andra digitala kontaktuppgifter och, när så är tillämpligt, webbplatsen där de kan kontaktas. Denna information ska också ingå i den information och de instruktioner till användaren som anges i bilaga II. Kontaktuppgifterna ska vara på ett språk som lätt kan förstås av användarna och marknadskontrollmyndigheterna.

    1. Vid tillämpningen av denna förordning ska tillverkarna utse en gemensam kontaktpunkt som gör det möjligt för användarna att kommunicera direkt och snabbt med dem, bland annat för att underlätta rapportering om sårbarheter hos produkten med digitala element.

    2. Tillverkarna ska säkerställa att den gemensamma kontaktpunkten lätt kan identifieras av användarna. De ska också inkludera den gemensamma kontaktpunkten i den information och de instruktioner till användaren som anges i bilaga II.

    3. Den gemensamma kontaktpunkten ska göra det möjligt för användarna att välja det kommunikationsmedel som de föredrar och får inte begränsa sådana medel till automatiserade verktyg.

    1. Tillverkarna ska säkerställa att produkter med digitala element åtföljs av information och instruktioner till användaren enligt bilaga II i pappersform eller elektronisk form. Sådan information och sådana instruktioner ska tillhandahållas på ett språk som lätt kan förstås av användarna och marknadskontrollmyndigheterna. De ska vara tydliga, begripliga och läsbara. De ska möjliggöra en säker installation, drift och användning av produkter med digitala element. Tillverkarna ska säkerställa att informationen och instruktionerna till användaren enligt bilaga II förblir tillgängliga för användarna och marknadskontrollmyndigheterna i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst. Om sådan information och sådana instruktioner tillhandahålls online ska tillverkarna säkerställa att de är åtkomliga, användarvänliga och tillgängliga online i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst.

    1. Tillverkarna ska säkerställa att slutdatumet för den stödperiodden period under vilken en tillverkare måste säkerställa att sårbarheter hos en produkt med digitala element hanteras ändamålsenligt och i enlighet med de väsentliga cybersäkerhetskrav som fastställs i bilaga I del II. som avses i punkt 8, inbegripet åtminstone månad och år, tydligt och begripligt anges vid tidpunkten för köpet på ett lättillgängligt sätt och, i tillämpliga fall, på produkten med digitala element, dess förpackning eller digitalt.

    2. Om det är tekniskt möjligt mot bakgrund av arten av produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. ska tillverkarna visa ett meddelande till användarna om att deras produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. har nått slutet av stödperioden.

    1. Tillverkarna ska antingen lämna en kopia av EU-försäkran om överensstämmelse eller en förenklad EU-försäkran om överensstämmelse tillsammans med produkten med digitala element. Om en förenklad EU-försäkran om överensstämmelse lämnas ska den innehålla den exakta webbadress där det går att få tillgång till hela texten till EU-försäkran om överensstämmelse.

    1. Från och med utsläppandet på marknaden och under stödperioden ska en tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt. som vet eller har skäl att tro att produkten med digitala element eller de processer som införts av tillverkaren inte överensstämmer med de väsentliga cybersäkerhetskraven i bilaga I omedelbart vidta de korrigerande åtgärder som krävs för att bringa produkten med digitala element eller tillverkarens processer i överensstämmelse eller dra tillbaka eller återkalla produkten, såsom lämpligt.

    1. Tillverkarna ska på motiverad begäran av en marknadskontrollmyndigheten marknadskontrollmyndighet enligt definitionen i artikel 3.4 i förordning (EU) 2019/1020. förse denna med all information och dokumentation som behövs för att visa att produkten med digitala element och de processer som införts av tillverkaren överensstämmer med de väsentliga cybersäkerhetskrav som fastställs i bilaga I, i pappersform eller i elektronisk form och på ett språk som lätt kan förstås av myndigheten. Tillverkarna ska samarbeta med marknadskontrollmyndigheten, på dess begäran, om alla åtgärder som vidtas för att undanröja de cybersäkerhetsrisker som den produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. som de har släppt ut på marknaden utgör.

    1. En tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt. som upphör med sin verksamhet och därmed inte kan följa denna förordning ska, innan verksamheten upphör, underrätta de berörda marknadskontrollmyndigheterna om detta och även, i möjligaste mån och på alla tillgängliga sätt, underrätta användarna av de relevanta produkterna med digitala element som släppts ut på marknaden om att verksamheten snart kommer att upphöra.

    1. Kommissionen får genom genomförandeakter, med beaktande av europeiska eller internationella standarder och bästa praxis, specificera formatet och de aspekter som ska ingå i den programvaruförteckningen formell förteckning med närmare uppgifter om och leveranskedjeförhållanden för komponenter som ingår i programvaruelementen i en produkt med digitala element. som avses i bilaga I del II punkt 1. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 62.2.

    1. För att bedöma medlemsstaternas och unionens beroende av programvarukomponenter och i synnerhet av komponenter som klassificeras som programvara med fri och öppen källkodprogramvara vars källkod delas öppet och som tillhandahålls inom ramen för en licens med fri och öppen källkod som ger alla rättigheter att göra den fritt tillgänglig att användas, modifieras och vidaredistribueras. får Adco-gruppen besluta att genomföra en unionsomfattande beroendebedömning för specifika kategorier av produkter med digitala element. För detta ändamål får marknadskontrollmyndigheterna begära att tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt. av sådana kategorier av produkter med digitala element tillhandahåller den relevanta programvaruförteckningen formell förteckning med närmare uppgifter om och leveranskedjeförhållanden för komponenter som ingår i programvaruelementen i en produkt med digitala element. som avses i bilaga I del II punkt 1. På grundval av denna information får marknadskontrollmyndigheterna förse Adco-gruppen med anonymiserad och aggregerad information om programvaruberoenden. Adco-gruppen ska lämna en rapport om resultaten av beroendebedömningen till den samarbetsgrupp som inrättats enligt artikel 14 i direktiv (EU) 2022/2555.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod