Artikel 13 Tillverkares skyldigheter

1. När en produkt med digitala element släpps ut på marknaden ska tillverkarna säkerställa att den har utformats, utvecklats och producerats i enlighet med de väsentliga cybersäkerhetskrav som fastställs i bilaga I i del I.
1. För att följa punkt 1 ska tillverkarna göra en bedömning av de cybersäkerhetsrisker som är förbundna med en produkt med digitala element och beakta resultatet av bedömningen under planerings-, utformnings-, utvecklings-, produktions-, leverans- och underhållsfaserna för en produkt med digitala element, för att minimera cybersäkerhetsriskerna, förhindra incidenter och minimera deras konsekvenser, inbegripet vad gäller användarnas hälsa och säkerhet.
1. Bedömningen av cybersäkerhetsrisker ska dokumenteras och uppdateras på lämpligt sätt under en stödperiod som ska fastställas i enlighet med punkt 8 i denna artikel. Bedömningen av cybersäkerhetsrisker ska omfatta åtminstone en analys av cybersäkerhetsriskerna på grundval av det avsedda ändamålet och den rimligen förutsebara användningen samt användningsförhållandena för produkten med digitala element, såsom driftsmiljön eller de tillgångar som ska skyddas, med beaktande av hur länge produkten förväntas vara i bruk. Bedömningen av cybersäkerhetsrisker ska ange huruvida, och i så fall på vilket sätt, de säkerhetskrav som anges i bilaga I del I punkt 2 är tillämpliga på den relevanta produkten med digitala element och hur dessa krav genomförs på grundval av bedömningen av cybersäkerhetrisker. Det ska också anges hur tillverkaren tillämpar bilaga I del I punkt 1 och de krav på sårbarhetshantering som anges i bilaga I del II.
1. När en produkt med digitala element släpps ut på marknaden ska tillverkaren inkludera den bedömning av cybersäkerhetsrisker som avses i punkt 3 i denna artikel i den tekniska dokumentation som krävs enligt artikel 31 och bilaga VII. För de produkter med digitala element som avses i artikel 12 och som också omfattas av andra unionsrättsakter får bedömningen av cybersäkerhetsriskerna ingå i den riskbedömning som krävs enligt dessa unionsrättsakter. I de fall då vissa väsentliga cybersäkerhetskrav inte är tillämpliga på produkten med digitala element ska tillverkaren inkludera en tydlig motivering till detta i den tekniska dokumentationen.
1. För att uppfylla kraven i punkt 1 ska tillverkarna visa tillbörlig aktsamhet när de integrerar komponenter som kommer från tredje part så att dessa komponenter inte komprometterar cybersäkerheten för produkten med digitala element, inbegripet vid integrering av komponenter i programvara med fri och öppen källkod som inte har tillhandahållits på marknaden i samband med kommersiell verksamhet.
1. Tillverkarna ska när de identifierar en sårbarhet i en komponent, inbegripet en komponent med fri och öppen källkod, som är integrerad i en produkt med digitala element, rapportera sårbarheten till den person eller entitet som tillverkar eller underhåller komponenten och åtgärda och avhjälpa sårbarheten i enlighet med de krav på sårbarhetshantering som anges i bilaga I del II. Om tillverkarna har utvecklat en programvaru- eller hårdvaruändring för att åtgärda sårbarheten i den komponenten ska de dela den relevanta koden eller dokumentationen med den person eller entitet som tillverkar eller underhåller komponenten, när så är lämpligt, i ett maskinläsbart format.
1. Tillverkarna ska systematiskt och på ett sätt som står i proportion till cybersäkerhetsriskernas art dokumentera relevanta cybersäkerhetsaspekter som rör produkterna med digitala element, inbegripet sårbarheter de får kännedom om och all relevant information som tillhandahålls av tredje part, och ska, i förekommande fall, uppdatera bedömningen av cybersäkerhetsrisker för produkterna.
1. När en produkt med digitala element släpps ut på marknaden, och under stödperioden, ska tillverkarna säkerställa att produktens, inbegripet dess komponenters, sårbarheter hanteras effektivt och i enlighet med de väsentliga cybersäkerhetskrav som fastställs i bilaga I del II.
2. Tillverkarna ska fastställa stödperioden så att den återspeglar den tidsperiod under vilken produkten förväntas vara i bruk, med särskilt beaktande av rimliga förväntningar från användarna, produktens art, inbegripet dess avsedda ändamål, samt relevant unionsrätt som fastställer livslängden för produkter med digitala element. Vid fastställandet av stödperioden får tillverkarna också beakta stödperioderna för produkter med digitala element som erbjuder en liknande funktion som släppts ut på marknaden av andra tillverkare, tillgången till driftsmiljön, stödperioderna för integrerade komponenter som tillhandahåller kärnfunktioner och kommer från tredje parter samt relevant vägledning från den särskilda administrativa samarbetsgruppen (Adco-gruppen), som inrättats enligt artikel 52.15, och kommissionen. De faktorer som ska beaktas vid fastställandet av den stödperiod som ska beaktas på ett sätt som säkerställer proportionalitet.
3. Utan att det påverkar tillämpningen av andra stycket ska stödperioden vara minst fem år. Om produkten med digitala element förväntas vara i bruk i mindre än fem år ska stödperioden motsvara den förväntade användningstiden.
4. Med beaktande av de rekommendationer från Adco-gruppen som avses i artikel 52.16 får kommissionen anta delegerade akter i enlighet med artikel 61 för att komplettera denna förordning genom att specificera den minsta tillåtna stödperioden för specifika produktkategorier om uppgifter från marknadskontrollen tyder på otillräckliga stödperioder.
5. Tillverkarna ska inkludera den information som har beaktats för att fastställa stödperioden för en produkt med digitala element i den tekniska dokumentationen enligt bilaga VII.
6. Tillverkarna ska ha lämpliga policyer och förfaranden, inbegripet policyer för samordnad delgivning av information om sårbarheter, enligt bilaga I del II punkt 5, för att behandla och åtgärda de potentiella sårbarheter i produkter med digitala element som rapporterats av interna eller externa källor.
1. Tillverkarna ska säkerställa att varje säkerhetsuppdatering som avses i bilaga I del II punkt 8 och som har gjorts tillgänglig för användare under stödperioden förblir tillgänglig efter det att den har utfärdats i minst tio år eller under återstoden av stödperioden, beroende på vilken period som är längst.
1. Om en tillverkare har släppt ut senare väsentligt ändrade versioner av en programvaruprodukt på marknaden får tillverkaren säkerställa överensstämmelse med det väsentliga cybersäkerhetskrav som anges i bilaga I del II punkt 2 endast för den version som tillverkaren senast släppte ut på marknaden, förutsatt att användarna av de versioner som tidigare släppts ut på marknaden kostnadsfritt har tillgång till den version som senast släpptes ut på marknaden och inte ådrar sig ytterligare kostnader för att anpassa den hårdvaru- och programvarumiljö där de använder den ursprungliga versionen av den produkten.
1. Tillverkarna får upprätthålla offentliga programvaruarkiv som förbättrar användarnas tillgång till äldre versioner. I sådana fall ska användarna på ett lättillgängligt sätt få tydlig information om riskerna med att använda programvara som inte stöds.
1. Innan en produkt med digitala element släpps ut på marknaden ska tillverkarna sammanställa den tekniska dokumentation som avses i artikel 31.
2. De ska genomföra de valda förfaranden för bedömning av överensstämmelse som avses i artikel 32 eller se till att de genomförs.
3. När det genom detta förfarande för bedömning av överensstämmelse har visats att produkten med digitala element uppfyller de väsentliga cybersäkerhetskraven i bilaga I del I och att de processer som tillverkaren infört uppfyller de väsentliga cybersäkerhetskraven i bilaga I del II, ska tillverkarna upprätta EU-försäkran om överensstämmelse i enlighet med artikel 28 och fästa CE-märkningen i enlighet med artikel 30.
1. Tillverkarna ska kunna uppvisa den tekniska dokumentationen och EU-försäkran om överensstämmelse för marknadskontrollmyndigheterna i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst.
1. Tillverkarna ska säkerställa att det finns förfaranden som säkerställer att produkter med digitala element som är en del av serietillverkning fortsätter att överensstämma med kraven i denna förordning. Tillverkarna ska på lämpligt sätt ta hänsyn till förändringar i utvecklings- och tillverkningsprocessen eller i utformningen av eller egenskaperna hos produkten med digitala element samt till ändringar av de harmoniserade standarderna, de europeiska ordningarna för cybersäkerhetscertifiering eller de gemensamma specifikationer som avses i artikel 27 med hänvisning till vilka överensstämmelsen för produkten med digitala element försäkras eller genom vars tillämpning överensstämmelsen kontrolleras.
1. Tillverkarna ska säkerställa att deras produkter med digitala element är försedda med typnummer, partinummer, serienummer eller annan identifieringsmärkning eller, om detta inte är möjligt, säkerställa att den informationen fästas på produktens förpackning eller på ett dokument som åtföljer produkten med digitala element.
1. Tillverkarna ska, på produkten med digitala element, på förpackningen eller i ett dokument som åtföljer produkten med digitala element, ange sitt namn, registrerade firmanamn eller registrerade varumärke samt postadress och e-postadress eller andra digitala kontaktuppgifter och, när så är tillämpligt, webbplatsen där de kan kontaktas. Denna information ska också ingå i den information och de instruktioner till användaren som anges i bilaga II. Kontaktuppgifterna ska vara på ett språk som lätt kan förstås av användarna och marknadskontrollmyndigheterna.
1. Vid tillämpningen av denna förordning ska tillverkarna utse en gemensam kontaktpunkt som gör det möjligt för användarna att kommunicera direkt och snabbt med dem, bland annat för att underlätta rapportering om sårbarheter hos produkten med digitala element.
2. Tillverkarna ska säkerställa att den gemensamma kontaktpunkten lätt kan identifieras av användarna. De ska också inkludera den gemensamma kontaktpunkten i den information och de instruktioner till användaren som anges i bilaga II.
3. Den gemensamma kontaktpunkten ska göra det möjligt för användarna att välja det kommunikationsmedel som de föredrar och får inte begränsa sådana medel till automatiserade verktyg.
1. Tillverkarna ska säkerställa att produkter med digitala element åtföljs av information och instruktioner till användaren enligt bilaga II i pappersform eller elektronisk form. Sådan information och sådana instruktioner ska tillhandahållas på ett språk som lätt kan förstås av användarna och marknadskontrollmyndigheterna. De ska vara tydliga, begripliga och läsbara. De ska möjliggöra en säker installation, drift och användning av produkter med digitala element. Tillverkarna ska säkerställa att informationen och instruktionerna till användaren enligt bilaga II förblir tillgängliga för användarna och marknadskontrollmyndigheterna i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst. Om sådan information och sådana instruktioner tillhandahålls online ska tillverkarna säkerställa att de är åtkomliga, användarvänliga och tillgängliga online i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst.
1. Tillverkarna ska säkerställa att slutdatumet för den stödperiod som avses i punkt 8, inbegripet åtminstone månad och år, tydligt och begripligt anges vid tidpunkten för köpet på ett lättillgängligt sätt och, i tillämpliga fall, på produkten med digitala element, dess förpackning eller digitalt.
2. Om det är tekniskt möjligt mot bakgrund av arten av produkt med digitala element ska tillverkarna visa ett meddelande till användarna om att deras produkt med digitala element har nått slutet av stödperioden.
1. Tillverkarna ska antingen lämna en kopia av EU-försäkran om överensstämmelse eller en förenklad EU-försäkran om överensstämmelse tillsammans med produkten med digitala element. Om en förenklad EU-försäkran om överensstämmelse lämnas ska den innehålla den exakta webbadress där det går att få tillgång till hela texten till EU-försäkran om överensstämmelse.
1. Från och med utsläppandet på marknaden och under stödperioden ska en tillverkare som vet eller har skäl att tro att produkten med digitala element eller de processer som införts av tillverkaren inte överensstämmer med de väsentliga cybersäkerhetskraven i bilaga I omedelbart vidta de korrigerande åtgärder som krävs för att bringa produkten med digitala element eller tillverkarens processer i överensstämmelse eller dra tillbaka eller återkalla produkten, såsom lämpligt.
1. Tillverkarna ska på motiverad begäran av en marknadskontrollmyndighet förse denna med all information och dokumentation som behövs för att visa att produkten med digitala element och de processer som införts av tillverkaren överensstämmer med de väsentliga cybersäkerhetskrav som fastställs i bilaga I, i pappersform eller i elektronisk form och på ett språk som lätt kan förstås av myndigheten. Tillverkarna ska samarbeta med marknadskontrollmyndigheten, på dess begäran, om alla åtgärder som vidtas för att undanröja de cybersäkerhetsrisker som den produkt med digitala element som de har släppt ut på marknaden utgör.
1. En tillverkare som upphör med sin verksamhet och därmed inte kan följa denna förordning ska, innan verksamheten upphör, underrätta de berörda marknadskontrollmyndigheterna om detta och även, i möjligaste mån och på alla tillgängliga sätt, underrätta användarna av de relevanta produkterna med digitala element som släppts ut på marknaden om att verksamheten snart kommer att upphöra.
1. Kommissionen får genom genomförandeakter, med beaktande av europeiska eller internationella standarder och bästa praxis, specificera formatet och de aspekter som ska ingå i den programvaruförteckning som avses i bilaga I del II punkt 1. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 62.2.
1. För att bedöma medlemsstaternas och unionens beroende av programvarukomponenter och i synnerhet av komponenter som klassificeras som programvara med fri och öppen källkod får Adco-gruppen besluta att genomföra en unionsomfattande beroendebedömning för specifika kategorier av produkter med digitala element. För detta ändamål får marknadskontrollmyndigheterna begära att tillverkare av sådana kategorier av produkter med digitala element tillhandahåller den relevanta programvaruförteckning som avses i bilaga I del II punkt 1. På grundval av denna information får marknadskontrollmyndigheterna förse Adco-gruppen med anonymiserad och aggregerad information om programvaruberoenden. Adco-gruppen ska lämna en rapport om resultaten av beroendebedömningen till den samarbetsgrupp som inrättats enligt artikel 14 i direktiv (EU) 2022/2555.

Relevant recitals

Skäl 17 Application considering free and open-source software

Programvara och data som delas öppet och som användarna fritt kan komma åt, använda, modifiera och redistribuera, eller modifierade versioner av dem, kan bidra till forskning och innovation på marknaden. För att främja utvecklingen och spridningen av programvara med fri och öppen källkod, särskilt av mikroföretag och små och medelstora företag, inbegripet uppstartsföretag, enskilda personer, ideella organisationer och akademiska forskningsorganisationer, bör tillämpningen av denna förordning på produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som tillhandahålls för distribution eller användning i samband med kommersiell verksamhet ta hänsyn till de olika utvecklingsmodellerna för programvara som distribueras och utvecklas inom ramen för licenser för programvara med fri och öppen källkod.

Skäl 18 Definition of free and open-source software

Med programvara med fri och öppen källkod avses programvara vars källkod delas öppet och vars licensiering ger alla rättigheter att göra den fritt tillgänglig, samt möjlig att använda, ändra och omfördela. Programvara med fri och öppen källkod utvecklas, underhålls och distribueras öppet, inbegripet via onlineplattformar. När det gäller ekonomiska aktörer som omfattas av denna förordning bör endast programvara med fri och öppen källkod som tillhandahålls på marknaden och som därför levereras för distribution eller användning i samband med kommersiell verksamhet omfattas av denna förordnings tillämpningsområde. De omständigheter under vilka produkten med digitala element har utvecklats, eller hur utvecklingen har finansierats, bör inte beaktas vid fastställandet av huruvida denna verksamhet är av kommersiell eller icke-kommersiell karaktär. Mer specifikt bör tillhandahållandet av produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som inte monetariseras av deras tillverkare inte betraktas vara en kommersiell verksamhet vid tillämpningen av denna förordning och för de ekonomiska aktörer som omfattas av dess tillämpningsområde, för att säkerställa en tydlig åtskillnad mellan utvecklings- och leveransfaserna. Dessutom bör tillhandahållande av produkter med digitala element som klassificeras som komponenter för programvara med fri och öppen källkod och som är avsedda att integreras av andra tillverkare i deras egna produkter med digitala element betraktas som tillhandahållande på marknaden endast om komponenten monetariseras av dess ursprungliga tillverkare. Till exempel bör enbart det faktum att en programvaruprodukt med fri och öppen källkod med digitala element får ekonomiskt stöd från tillverkare, eller att tillverkarna bidrar till utvecklingen av en sådan produkt, inte i sig fastställa att verksamheten är av kommersiell karaktär. Dessutom bör själva det faktum att en produkt regelbundet släpps ut inte i sig leda till slutsatsen att en produkt med digitala element tillhandahålls inom ramen för kommersiell verksamhet. Slutligen bör utveckling av produkter med digitala element som betraktas som programvara med fri och öppen källkod av ideella organisationer inte betraktas som kommersiell verksamhet vid tillämpningen av denna förordning, förutsatt att organisationen är inrättad på ett sätt som säkerställer att alla intäkter efter kostnader används för att uppnå icke-vinstdrivande mål. Denna förordning är inte tillämplig på fysiska eller juridiska personer som bidrar med källkod till produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som inte omfattas av deras ansvar.

Skäl 19 Regulatory regime for open-source software stewards

Med tanke på hur viktigt det är för cybersäkerheten hos många produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som offentliggörs men inte tillhandahålls på marknaden i den mening som avses i denna förordning, bör juridiska personer som ger varaktigt stöd för utvecklingen av sådana produkter som är avsedda för kommersiell verksamhet och som spelar en viktig roll för att säkerställa dessa produkters bärkraft (förvaltare av programvara med fri och öppen källkod) omfattas av ett förenklat och skräddarsytt regelverk. Förvaltare av programvara med fri och öppen källkod omfattar vissa stiftelser samt enheter som utvecklar och publicerar programvara med fri och öppen källkod i ett affärssammanhang, inbegripet icke-vinstdrivande enheter programvara med fri och öppen källkod. Regelverket bör ta hänsyn till deras särskilda karaktär och förenlighet med den typ av skyldigheter som införs. Det bör endast omfatta produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som i slutändan är avsedda för kommersiell verksamhet, såsom integrering i kommersiella tjänster eller i monetariserade produkter med digitala element. Vid tillämpningen av det regelverket omfattar en avsikt om integrering i monetariserade produkter med digitala element fall där tillverkare som integrerar en komponent i sina egna produkter med digitala element antingen bidrar till utvecklingen av den komponenten på ett regelbundet sätt eller tillhandahåller regelbundet ekonomiskt stöd för att säkerställa en programvaruprodukts kontinuitet. Tillhandahållandet av varaktigt stöd till utvecklingen av en produkt med digitala element omfattar, men är inte begränsat till, hysande och förvaltning av samarbetsplattformar för programvaruutveckling, hysande av källkod eller programvara, styrning eller förvaltning av produkter med digitala element som klassificeras som fri och öppen programvara med fri och öppen källkod samt styrning av utvecklingen av sådana produkter. Eftersom det förenklade och skräddarsydda regelverket inte ålägger dem som agerar som förvaltare av programvara med fri och öppen källkod samma skyldigheter som dem som agerar som tillverkare enligt denna förordning, bör de inte ha rätt att fästa CE-märkningen på produkter med digitala element vars utveckling de stöder.

Skäl 22 ADCO to aggregate software bills of materials

Med tanke på målen för offentlig cybersäkerhet i denna förordning och för att förbättra medlemsstaternas situationsmedvetenhet när det gäller unionens beroende av programvarukomponenter, särskilt av komponenter för potentiell programvara med fri och öppen källkod, bör en särskild administrativ samarbetsgrupp (Adco-grupp) som inrättas genom denna förordning kunna besluta att gemensamt genomföra en beroendebedömning på unionsnivå. Marknadskontrollmyndigheterna bör kunna begära att tillverkare av kategorier av produkter med digitala element som inrättats av Adco-gruppen lämnar in de mjukvaruförteckningar som de har framställt enligt denna förordning. För att skydda sekretessen för mjukvaruförteckningar bör marknadskontrollmyndigheterna lämna relevant information om beroendeförhållanden till Adco-gruppen på ett anonymiserat och aggregerat sätt.

Skäl 34 Manufacturers' responsibility for the supply chain

Vid integrering av komponenter från tredje parter i produkter med digitala element under utformnings- och utvecklingsfasen bör tillverkarna, för att säkerställa att produkterna utformas, utvecklas och tillverkas i enlighet med de väsentliga cybersäkerhetskrav som fastställs i denna förordning, iaktta tillbörlig aktsamhet med avseende på dessa komponenter, inbegripet komponenter av programvara med fri och öppen källkod som inte har tillhandahållits på marknaden. Den lämpliga nivån på tillbörlig aktsamhet beror på arten av och nivån på den cybersäkerhetsrisk som är förknippad med en viss komponent, och bör i detta syfte beakta en eller flera av följande åtgärder: Kontrollera, när så är relevant, att tillverkaren av en komponent har påvisat överensstämmelse med denna förordning, inbegripet genom att kontrollera om komponenten redan är försedd med CE-märkning. Kontrollera att en komponent får regelbundna säkerhetsuppdateringar, till exempel genom att kontrollera dess säkerhetshistorik. Kontrollera att en komponent är fri från sårbarheter som registrerats i den europeiska sårbarhetsdatabas som inrättats enligt artikel 12.2 i direktiv (EU) 2022/2555 eller andra allmänt tillgängliga sårbarhetsdatabaser, eller utföra ytterligare säkerhetstester. De skyldigheter att hantera sårbarheter som fastställs i denna förordning och som tillverkare måste uppfylla när de släpper ut en produkt med digitala element på marknaden och för stödperioden, gäller för produkter med digitala element i sin helhet, inbegripet alla integrerade komponenter. Om tillverkaren av en produkt med digitala element vid utövandet av tillbörlig aktsamhet identifierar en sårbarhet i en komponent, inbegripet i en komponent med fri och öppen källkod, bör den informera den person eller entitet som tillverkar eller underhåller komponenten, åtgärda och avhjälpa sårbarheten och, i tillämpliga fall, förse personen eller entiteten med den tillämpade säkerhetsåtgärden.

Skäl 35 Manufacturers' due diligence immediately after transitional period

Omedelbart efter övergångsperioden för tillämpningen av denna förordning kan en tillverkare av en produkt med digitala element som integrerar en eller flera komponenter från tredje parter som också omfattas av denna förordning inte kunna kontrollera, som en del av sin skyldighet att visa tillbörlig aktsamhet, att tillverkarna av dessa komponenter har visat överensstämmelse med denna förordning, till exempel genom att kontrollera om komponenterna redan är CE-märkta. Detta kan vara fallet om komponenterna har integrerats innan denna förordning blir tillämplig på tillverkarna av dessa komponenter. I sådana fall bör en tillverkare som integrerar sådana komponenter visa tillbörlig aktsamhet på andra sätt.

Skäl 40 Support period and security updates

Med tanke på programvaruutvecklingens upprepande karaktär bör tillverkare som har släppt ut efterföljande versioner av en programvaruprodukt på marknaden till följd av en senare betydande ändring av den produkten kunna tillhandahålla säkerhetsuppdateringar under stödperioden endast för den version av programvaruprodukten som de senast har släppt ut på marknaden. De bör endast kunna göra detta om användarna av de relevanta tidigare produktversionerna har kostnadsfri tillgång till den produktversion som senast släpptes ut på marknaden och inte ådrar sig ytterligare kostnader för att anpassa den maskin- eller programvarumiljö där de använder produkten. Detta kan till exempel vara fallet när en uppgradering av ett stationärt operativsystem inte kräver ny hårdvara, såsom en snabbare centralenhet eller mer minne. Tillverkaren bör dock under stödperioden fortsätta att uppfylla andra krav på hantering av sårbarheter, såsom att ha en policy för samordnad delgivning av information om sårbarheter eller åtgärder för att underlätta utbytet av information om potentiella sårbarheter för alla efterföljande väsentligt ändrade versioner av den programvara som släpps ut på marknaden. Tillverkarna bör kunna tillhandahålla mindre säkerhets- eller funktionsuppdateringar som inte utgör en väsentlig ändring endast av den senaste versionen eller underversionen av en programvaruprodukt som inte har ändrats väsentligt. Om en hårdvaruprodukt, till exempel en smarttelefon, inte är kompatibel med den senaste versionen av det operativsystem som den ursprungligen levererades med, bör tillverkaren samtidigt fortsätta att tillhandahålla säkerhetsuppdateringar åtminstone för den senaste kompatibla versionen av operativsystemet under stödperioden.

Skäl 54 Assessment of cybersecurity risks

För att säkerställa att produkter med digitala element är säkra både när de släpps ut på marknaden och under den tid som produkten med digitala element förväntas vara i bruk, är det nödvändigt att fastställa väsentliga cybersäkerhetskrav för sårbarhetshantering och väsentliga cybersäkerhetskrav för egenskaperna hos produkter med digitala element. Tillverkarna bör uppfylla alla väsentliga cybersäkerhetskrav som rör sårbarhetshantering under produktens hela stödperiod och de bör fastställa vilka andra väsentliga cybersäkerhetskrav på produktegenskaper som är relevanta för den berörda typen av produkt med digitala element. Därför bör tillverkarna göra en bedömning av vilka cybersäkerhetsrisker som är förbundna med en produkt med digitala element, för att identifiera relevanta risker och relevanta väsentliga cybersäkerhetskrav för att tillhandahålla sina produkter med digitala element utan kända sårbarheter som kan utnyttjas och som kan påverka dessa produkters säkerhet och tillämpa lämpliga harmoniserade standarder, gemensamma specifikationer eller europeiska eller internationella standarder.

Skäl 55 Justification of non-applicability of requirements

I de fall då vissa väsentliga cybersäkerhetskrav inte är tillämpliga på en produkt med digitala element ska tillverkaren inkludera en tydlig motivering till detta i bedömningen av cybersäkerhetsrisker inbegripet i den tekniska dokumentationen. Detta kan vara fallet om ett väsentligt cybersäkerhetskrav är oförenligt med beskaffenheten hos en produkt med digitala element. Till exempel kan det avsedda ändamålet med en produkt med digitala element kräva att tillverkaren följer allmänt erkända interoperabilitetsstandarder även om dess säkerhetsdetaljer inte längre anses vara den senaste tekniken. På samma sätt kräver annan unionsrätt att tillverkarna tillämpar särskilda interoperabilitetskrav. Om ett väsentligt cybersäkerhetskrav inte är tillämpligt på en produkt med digitala element, men tillverkaren har identifierat cybersäkerhetsrisker i samband med det väsentliga cybersäkerhetskravet, bör tillverkaren vidta åtgärder för att hantera dessa risker på andra sätt, till exempel genom att begränsa produktens avsedda ändamål till tillförlitliga miljöer eller genom att informera användarna om dessa risker.

Skäl 59 Determining the support period

För att säkerställa säkerheten för produkter med digitala element efter deras utsläppande på marknaden bör tillverkarna fastställa stödperioder som bör återspegla den tid som produkten med digitala element förväntas vara i bruk. Vid fastställandet av en stödperiod bör en tillverkare särskilt ta hänsyn till rimliga förväntningar från användarna, produktens beskaffenhet samt relevant unionsrätt som fastställer livslängden för produkter med digitala element. Tillverkarna bör också kunna ta hänsyn till andra relevanta faktorer. Kriterierna bör tillämpas på ett sätt som säkerställer proportionalitet vid fastställandet av stödperioden. På begäran bör en tillverkare förse marknadskontrollmyndigheterna med den information som beaktades för att fastställa stödperioden för en produkt med digitala element.

Skäl 60 Minimum support period

Den stödperiod under vilken tillverkaren säkerställer en effektiv hantering av sårbarheter bör vara minst fem år, såvida inte livslängden för produkten med digitala element är kortare än fem år, och i sådana fall bör tillverkaren säkerställa sårbarhetshanteringen under den livslängden. Om den tid som produkten med digitala element rimligen förväntas vara i bruk är längre än fem år, vilket ofta är fallet för maskinvarukomponenter såsom moderkort eller mikroprocessorer, nätverksenheter såsom routrar, modem eller växlar samt programvara såsom operativsystem eller videoredigeringsverktyg, bör tillverkarna följaktligen säkerställa längre stödperioder. I synnerhet produkter med digitala element som är avsedda att användas i industriella miljöer, såsom industriella styrsystem, används ofta under betydligt längre perioder. En tillverkare bör kunna fastställa en stödperiod på mindre än fem år endast om detta är motiverat på grund av beskaffenheten av den berörda produkten med digitala element och om produkten förväntas användas i mindre än fem år, och i sådana fall bör stödperioden motsvara den förväntade användningstiden. Exempelvis skulle livslängden för en kontaktspårningsapplikation som är avsedd att användas under en pandemi kunna begränsas till pandemins varaktighet. Dessutom kan vissa programvaruapplikationer av naturliga skäl endast göras tillgängliga på grundval av en abonnemangsmodell, särskilt om applikationen inte är tillgänglig för användaren och följaktligen inte längre används när abonnemanget löper ut.

Skäl 61 Release of source code after support period

När produkter med digitala element når slutet av sina stödperioder bör tillverkarna, för att säkerställa att sårbarheter kan hanteras efter stödperiodens slut, överväga att frigöra källkoden för sådana produkter med digitala element, antingen till andra företag som åtar sig att utvidga tillhandahållandet av tjänster för sårbarhetshantering, eller till allmänheten. Om tillverkare frigör källkoden till andra företag bör de kunna skydda äganderätten till produkten med digitala element och förhindra att källkoden sprids till allmänheten, till exempel genom avtalsarrangemang.

Skäl 62 Harmonisation of support periods

För att säkerställa att tillverkare i hela unionen fastställer liknande stödperioder för jämförbara produkter med digitala element bör Adco-gruppen offentliggöra statistik över de genomsnittliga stödperioder som fastställs av tillverkarna för kategorier av produkter med digitala element och utfärda riktlinjer som anger lämpliga stödperioder för sådana kategorier. För att säkerställa ett harmoniserat tillvägagångssätt på hela den inre marknaden bör kommissionen dessutom kunna anta delegerade akter för att specificera minsta tillåtna stödperioder för specifika produktkategorier i de fall då de uppgifter som tillhandahålls av marknadskontrollmyndigheterna tyder på att de stödperioder som fastställts av tillverkarna systematiskt inte stämmer överens med kriterierna för att fastställa stödperioderna enligt denna förordning, eller att tillverkare i olika medlemsstater på ett omotiverat sätt fastställer olika stödperioder.

Skäl 63 Manufacturers' single point of contact for users

Tillverkarna bör inrätta en gemensam kontaktpunkt som gör det möjligt för användarna att enkelt kommunicera med dem, inbegripet i syfte att rapportera och ta emot information om sårbarheter hos produkten med digitala element. De bör göra den gemensamma kontaktpunkten lättillgänglig för användarna och tydligt ange dess tillgänglighet och hålla denna information uppdaterad. Om tillverkarna väljer att erbjuda automatiserade verktyg, t.ex. chattbotar, bör de också erbjuda ett telefonnummer eller andra digitala kontaktmöjligheter, såsom en e-postadress eller ett kontaktformulär. Den gemensamma kontaktpunkten bör inte uteslutande förlita sig på automatiserade verktyg.

Skäl 81 Voluntary European cybersecurity certification framework

Genom förordning (EU) 2019/881 inrättas en frivillig europeisk ram för cybersäkerhetscertifiering av IKT-produkter, IKT-processer och IKT-tjänster. De europeiska ordningarna för cybersäkerhetscertifiering förser användarna med en gemensam tillförlitlig ram för användning av produkter med digitala element vilka omfattas av den här förordningens tillämpningsområde. Den här förordningen bör följaktligen skapa synergier med förordning (EU) 2019/881. För att underlätta bedömningen av överensstämmelse med kraven i den här förordningen, när det gäller produkter med digitala element som är certifierade eller för vilka en försäkran om överensstämmelse har utfärdats inom en europeisk ordning för cybersäkerhet enligt förordning (EU) 2019/881 som har identifierats av kommissionen i en genomförandeakt, bör det finnas en presumtion om överensstämmelse med de väsentliga cybersäkerhetskraven i den här förordningen i den mån som det europeiska cybersäkerhetscertifikatet eller försäkran om överensstämmelse – eller delar av dessa – täcker dessa krav. Behovet av nya europeiska ordningar för cybersäkerhetscertifiering av produkter med digitala element bör bedömas i ljuset av den här förordningen, inbegripet när unionens löpande arbetsprogram utarbetas i enlighet med förordning (EU) 2019/881. Om det behövs ett nytt system som omfattar produkter med digitala element, bland annat för att underlätta efterlevnaden av den här förordningen, kan kommissionen begära att Enisa utarbetar förslag till certifieringsordning i enlighet med artikel 48 i förordning (EU) 2019/881. Sådana framtida europeiska ordningar för cybersäkerhet som omfattar produkter med digitala element bör beakta de väsentliga cybersäkerhetskrav och förfaranden för bedömning av överensstämmelse som fastställs i den här förordningen och främja efterlevnaden av den här förordningen. För europeiska ordningar för cybersäkerhetscertifiering som träder i kraft innan den här förordningen träder i kraft kan ytterligare specifikationer behövas om detaljerade aspekter av hur en presumtion om överensstämmelse kan tillämpas. Kommissionen bör, genom delegerade akter, ha befogenhet att specificera på vilka villkor de europeiska ordningarna för cybersäkerhetscertifiering kan användas för att visa överensstämmelse med de väsentliga cybersäkerhetskrav som fastställs i den här förordningen. För att undvika onödiga administrativa bördor bör det inte finnas någon skyldighet för tillverkarna att genomföra en tredjepartsbedömning av överensstämmelse i enlighet med den här förordningen för motsvarande krav om ett europeiskt cybersäkerhetscertifikat har utfärdats enligt sådana europeiska ordningar för cybersäkerhetscertifiering, på åtminstone assuransnivån ”betydande”.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.