Artikel 22 Andra fall där tillverkarnas skyldigheter gäller

För att säkerställa att produkter med digitala element inte utgör cybersäkerhetsrisker för personer och organisationer när de släpps ut på marknaden bör väsentliga cybersäkerhetskrav fastställas för sådana produkter. Dessa väsentliga cybersäkerhetskrav, inbegripet krav på hantering av sårbarhetshantering, är tillämpliga för varje enskild produkt med digitala element när den släpps ut på marknaden, oavsett om produkten med digitala element tillverkas som en enskild enhet eller i serie. För en produkttyp bör till exempel varje enskild produkt med digitala element ha fått alla säkerhetsprogramfixar eller uppdateringar som finns tillgängliga för att hantera relevanta säkerhetsfrågor när den släpps ut på marknaden. När produkterna med digitala element senare, fysiskt eller digitalt, ändras på ett sätt som tillverkaren inte förutsett i den ursprungliga riskbedömningen och som kan innebära att de inte längre uppfyller de relevanta väsentliga cybersäkerhetskraven, bör ändringen betraktas som väsentlig. Exempelvis kan programvarureparationer betraktas som underhållsåtgärder, förutsatt att de inte ändrar en produkt med digitala element som redan släppts ut på marknaden på ett sådant sätt att överensstämmelsen med de tillämpliga kraven kan påverkas eller att det avsedda ändamål för vilken produkten har bedömts kan ändras.

Precis som vid fysiska reparationer eller ändringar bör en produkt med digitala element anses vara väsentligt ändrad genom en programvaruändring om programvaruuppdateringen ändrar produktens avsedda ändamål och dessa ändringar inte förutsågs av tillverkaren i den ursprungliga riskbedömningen, eller om farans art har ändrats eller nivån på cybersäkerhetsrisken har ökat på grund av programvaruuppdateringen, och den uppdaterade versionen av produkten tillhandahålls på marknaden. Om en säkerhetsuppdatering, som är utformad för att minska cybersäkerhetsnivån för en produkt med digitala element, inte ändrar det avsedda ändamålet för en produkt med digitala element anses det inte vara en väsentlig ändring. Detta omfattar vanligtvis situationer där säkerhetsuppdateringar endast medför smärre justeringar av källkoden. Detta kan till exempel vara fallet om en säkerhetsuppdatering åtgärdar en känd sårbarhet, inbegripet genom att ändra funktioner eller prestanda hos en produkt med digitala element enbart i syfte att minska cybersäkerhetsrisknivån. På samma sätt bör en mindre funktionsuppdatering, såsom en visuell förbättring eller tillägg av nya piktogram eller språk i användargränssnittet, inte i allmänhet betraktas som en väsentlig ändring. Omvänt gäller att om en funktionsuppdatering ändrar de ursprungligen avsedda funktionerna eller typen eller prestandan för en produkt med digitala element och uppfyller de ovannämnda kriterierna, bör den betraktas vara en väsentlig ändring, eftersom tillägg av nya funktioner vanligtvis leder till en bredare angreppsyta, vilket ökar cybersäkerhetsrisken. Detta kan till exempel vara fallet när ett nytt indataelement läggs till i en applikation, vilket kräver att tillverkaren säkerställer lämplig validering av indata. Vid bedömningen av om en uppdatering av objektet betraktas vara en väsentlig ändring är det inte relevant om den tillhandahålls som en separat uppdatering eller i kombination med en säkerhetsuppdatering. Kommissionen bör ge vägledning för fastställandet av vad som utgör en väsentlig ändring.

I linje med det vedertagna begreppet väsentlig ändring för produkter som regleras genom unionsharmoniseringslagstiftning, är det, vid en väsentlig ändring som kan påverka överensstämmelsen med denna förordning hos produkten med digitala element eller om produktens avsedda ändamål ändras, lämpligt att produktens överensstämmelse kontrolleras och att den, om tillämpligt, genomgår en ny bedömning av överensstämmelse. Om tillverkaren låter göra en bedömning av överensstämmelse som involverar tredje part bör en förändring som kan leda till en väsentlig ändring i tillämpliga fall anmälas till denna tredje part.

Om en produkt med digitala element är föremål för renovering, underhåll och reparation av en produkt med digitala element, enligt definitionen i artikel 2.18, 2.19 och 2.20 i Europaparlamentets och rådets förordning (EU) 2024/1781(¹⁹)Europaparlamentets och rådets förordning (EU) 2024/1781 av den 13 juni 2024 om upprättande av en ram för att fastställa ekodesignkrav för hållbara produkter, om ändring av direktiv (EU) 2020/1828 och förordning (EU) 2023/1542 och om upphävande av direktiv 2009/125/EG (EUT L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj)., medför detta inte nödvändigtvis en väsentlig ändring av produkten, exempelvis om det avsedda ändamålet och de avsedda funktionerna inte ändras och risknivån inte påverkas. Tillverkarens uppgradering av en produkt med digitala element kan dock medföra ändringar av produktens utformning och utveckling och skulle därför kunna påverka dess avsedda ändamål och uppfyllande av de krav som fastställs i den här förordningen.