Artikel 27 Presumtion om överensstämmelse

1. Produkter med digitala element och processer som införts av tillverkaren som överensstämmer med harmoniserade standarder, eller delar av sådana, vilka har offentliggjorts i Europeiska unionens officiella tidning, ska förutsättas överensstämma med de väsentliga cybersäkerhetskrav i bilaga I som omfattas av dessa standarder eller delar av dem.
2. Kommissionen ska i enlighet med artikel 10.1 i förordning (EU) nr 1025/2012 begära att en eller flera europeiska standardiseringsorganisationer utarbetar harmoniserade standarder för de väsentliga cybersäkerhetskraven i bilaga I till den här förordningen. När kommissionen utarbetar begäranden om standardisering för den här förordningen ska den sträva efter att beakta befintliga europeiska och internationella standarder för cybersäkerhet som införts eller håller på att tas fram, i syfte att förenkla utvecklingen av harmoniserade standarder, i enlighet med förordning (EU) nr 1025/2012.
1. Kommissionen får anta genomförandeakter om fastställande av gemensamma specifikationer som omfattar tekniska krav som gör det möjligt att uppfylla de väsentliga cybersäkerhetskraven i bilaga I för produkter med digitala element som omfattas av denna förordnings tillämpningsområde.
2. Dessa genomförandeakter får endast antas om följande villkor är uppfyllda:
  1. Kommissionen har, enligt artikel 10.1 i förordning (EU) nr 1025/2012, begärt att en eller flera europeiska standardiseringsorganisationer utarbetar en harmoniserad standard för de väsentliga cybersäkerhetskrav som fastställs i bilaga I och
    begäran har inte godtagits,
    de harmoniserade standarder som avser begäran levereras inte inom den tidsfrist som fastställts i enlighet med artikel 10.1 i förordning (EU) nr 1025/2012 eller
    de harmoniserade standarderna överensstämmer inte med begäran.
  2. Ingen hänvisning till harmoniserade standarder som omfattar de relevanta väsentliga cybersäkerhetskraven i bilaga I till denna förordning har offentliggjorts i Europeiska unionens officiella tidning i enlighet med förordning (EU) nr 1025/2012, och ingen sådan hänvisning förväntas offentliggöras inom rimlig tid.
3. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 62.2.
1. Innan kommissionen utarbetar det utkast till genomförandeakt som avses i punkt 2 i den här artikeln ska den informera den kommitté som avses i artikel 22 i förordning (EU) nr 1025/2012 om att den anser att villkoren i punkt 2 i den här artikeln är uppfyllda.
1. När kommissionen utarbetar det utkast till genomförandeakt som avses i punkt 2 ska den ta hänsyn till synpunkter från relevanta organ och vederbörligen samråda med alla berörda parter.
1. Produkter med digitala element och processer som har införts av tillverkaren vilka överensstämmer med de gemensamma specifikationer som fastställts i de genomförandeakter som avses i punkt 2 i denna artikel, eller delar av dem, ska förutsättas överensstämma med de väsentliga cybersäkerhetskraven i bilaga I som omfattas av de gemensamma specifikationerna eller delar av dem.
1. Om en harmoniserad standard antas av en europeisk standardiseringsorganisation och föreslås för kommissionen i syfte att offentliggöra hänvisningen till den i Europeiska unionens officiella tidning, ska kommissionen bedöma den harmoniserade standarden i enlighet med förordning (EU) nr 1025/2012. När en hänvisning till en harmoniserad standard offentliggörs i Europeiska unionens officiella tidning ska kommissionen upphäva de genomförandeakter som avses i punkt 2 i denna artikel, eller delar av dem som omfattar samma väsentliga cybersäkerhetskrav som de som omfattas av denna harmoniserade standard.
1. Om en medlemsstat anser att en gemensam specifikation inte helt uppfyller de väsentliga cybersäkerhetskraven i bilaga I ska den underrätta kommissionen om detta genom att lämna en detaljerad förklaring. Kommissionen ska bedöma denna detaljerade förklaring och får vid behov ändra genomförandeakten om fastställande av den gemensamma specifikationen i fråga.
1. Produkter med digitala element och processer som har införts av tillverkaren för vilka en EU-försäkran om överensstämmelse eller ett certifikat har utfärdats enligt förordning (EU) 2019/881, ska förutsättas överensstämma med de väsentliga cybersäkerhetskraven i bilaga I i den mån som EU-försäkran om överensstämmelse eller det europeiska cybersäkerhetscertifikatet, eller delar av dessa, täcker dessa krav.
1. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 61 i denna förordning, för att komplettera denna förordning genom att specificera vilka europeiska ordningar för cybersäkerhetscertifiering inom ramen för förordning (EU) 2019/881 som kan användas för att visa att produkter med digitala element överensstämmer med de väsentliga cybersäkerhetskrav som fastställs i bilaga I till denna förordning, eller delar av dessa. Utfärdandet av ett europeiskt cybersäkerhetscertifikat inom ramen för sådana system, med åtminstone assuransnivån ”betydande”, befriar tillverkaren från skyldigheten att utföra en tredjepartsbedömning av överensstämmelse för de motsvarande kraven, i enlighet med artikel 32.2 a och b och 32.3 a och b i den här förordningen.

Relevant recitals

Skäl 79 Presumption of conformity based on harmonised standards

För att underlätta bedömningen av överensstämmelse med de krav som fastställs i denna förordning bör det finnas en presumtion om överensstämmelse för produkter med digitala element som överensstämmer med harmoniserade standarder som omsätter de väsentliga cybersäkerhetskrav som anges i denna förordning till detaljerade tekniska specifikationer och som antas i enlighet med Europaparlamentets och rådets förordning (EU) nr 1025/2012(²⁸)Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut nr 1673/2006/EG (EUT L 316, 14.11.2012, s. 12).. Den förordningen fastställer ett förfarande för invändningar mot harmoniserade standarder som inte helt uppfyller kraven som anges i den här förordningen. Standardiseringsförfarandet bör säkerställa en balanserad representation av intressen och ett aktivt deltagande av berörda parter i det civila samhället, inbegripet konsumentorganisationer. Internationella standarder som stämmer överens med den nivå av cybersäkerhetsskydd som eftersträvas genom de väsentliga cybersäkerhetskrav som fastställs i den här förordningen bör också beaktas, för att underlätta utvecklingen av harmoniserade standarder och genomförandet av den här förordningen samt för att underlätta efterlevnaden för företag, särskilt mikroföretag samt små och medelstora företag och företag som är verksamma på global nivå.

Skäl 80 Timely development of harmonised standards

En snabb utveckling av harmoniserade standarder under övergångsperioden för tillämpningen av denna förordning och tillgängligheten före den dag då denna förordning börjar tillämpas kommer att vara särskilt viktigt för ett effektivt genomförande av den. Detta gäller särskilt viktiga produkter med digitala element som omfattas av klass I. Tillgängliga harmoniserade standarder kommer att göra det möjligt för tillverkarna av sådana produkter att bedöma överensstämmelsen via förfarandet för intern kontroll, och flaskhalsar och förseningar kan därför undvikas när organ för bedömning av överensstämmelse utför sitt arbete.

Skäl 81 Voluntary European cybersecurity certification framework

Genom förordning (EU) 2019/881 inrättas en frivillig europeisk ram för cybersäkerhetscertifiering av IKT-produkter, IKT-processer och IKT-tjänster. De europeiska ordningarna för cybersäkerhetscertifiering förser användarna med en gemensam tillförlitlig ram för användning av produkter med digitala element vilka omfattas av den här förordningens tillämpningsområde. Den här förordningen bör följaktligen skapa synergier med förordning (EU) 2019/881. För att underlätta bedömningen av överensstämmelse med kraven i den här förordningen, när det gäller produkter med digitala element som är certifierade eller för vilka en försäkran om överensstämmelse har utfärdats inom en europeisk ordning för cybersäkerhet enligt förordning (EU) 2019/881 som har identifierats av kommissionen i en genomförandeakt, bör det finnas en presumtion om överensstämmelse med de väsentliga cybersäkerhetskraven i den här förordningen i den mån som det europeiska cybersäkerhetscertifikatet eller försäkran om överensstämmelse – eller delar av dessa – täcker dessa krav. Behovet av nya europeiska ordningar för cybersäkerhetscertifiering av produkter med digitala element bör bedömas i ljuset av den här förordningen, inbegripet när unionens löpande arbetsprogram utarbetas i enlighet med förordning (EU) 2019/881. Om det behövs ett nytt system som omfattar produkter med digitala element, bland annat för att underlätta efterlevnaden av den här förordningen, kan kommissionen begära att Enisa utarbetar förslag till certifieringsordning i enlighet med artikel 48 i förordning (EU) 2019/881. Sådana framtida europeiska ordningar för cybersäkerhet som omfattar produkter med digitala element bör beakta de väsentliga cybersäkerhetskrav och förfaranden för bedömning av överensstämmelse som fastställs i den här förordningen och främja efterlevnaden av den här förordningen. För europeiska ordningar för cybersäkerhetscertifiering som träder i kraft innan den här förordningen träder i kraft kan ytterligare specifikationer behövas om detaljerade aspekter av hur en presumtion om överensstämmelse kan tillämpas. Kommissionen bör, genom delegerade akter, ha befogenhet att specificera på vilka villkor de europeiska ordningarna för cybersäkerhetscertifiering kan användas för att visa överensstämmelse med de väsentliga cybersäkerhetskrav som fastställs i den här förordningen. För att undvika onödiga administrativa bördor bör det inte finnas någon skyldighet för tillverkarna att genomföra en tredjepartsbedömning av överensstämmelse i enlighet med den här förordningen för motsvarande krav om ett europeiskt cybersäkerhetscertifikat har utfärdats enligt sådana europeiska ordningar för cybersäkerhetscertifiering, på åtminstone assuransnivån ”betydande”.

Skäl 82 Presumption of conformity based on European cybersecurity certification schemes

Vid ikraftträdandet av genomförandeförordning (EU) 2024/482 som avser produkter som omfattas av den här förordningens tillämpningsområde, såsom säkerhetsmoduler i maskinvara och mikroprocessorer, bör kommissionen genom en delegerad akt kunna specificera hur EUCC ger en presumtion om överensstämmelse med de väsentliga cybersäkerhetskrav som anges i den här förordningen eller delar av dessa. En sådan delegerad akt får dessutom specificera hur ett certifikat som utfärdas inom ramen för EUCC befriar tillverkaren från skyldigheten att genomföra en tredjepartsbedömning av överensstämmelse som krävs enligt den här förordningen för de motsvarande kraven.

Skäl 83 Common specifications via implementing acts

Den nuvarande europeiska standardiseringsramen, som bygger på de principer enligt den nya metoden som fastställs i rådets resolution av den 7 maj 1985 om en ny metod för teknisk harmonisering och standarder och på förordning (EU) nr 1025/2012, utgör automatiskt ramen för utarbetande av standarder som föreskriver en presumtion om överensstämmelse med de relevanta väsentliga cybersäkerhetskraven i den här förordningen. Europeiska standarder bör vara marknadsdrivna, ta hänsyn till allmänintresset och de politiska mål som tydligt anges i kommissionens begäran till en eller flera europeiska standardiseringsorganisationer att utarbeta harmoniserade standarder inom en fastställd tidsfrist, och bör bygga på samförstånd. I avsaknad av relevanta hänvisningar till harmoniserade standarder bör kommissionen dock kunna anta genomförandeakter för att fastställa gemensamma specifikationer för de väsentliga cybersäkerhetskrav som anges i den här förordningen, förutsatt att den på lämpligt sätt respekterar de europeiska standardiseringsorganisationernas roll och funktioner, som en exceptionell reservlösning för att underlätta tillverkarens skyldighet att uppfylla dessa väsentliga cybersäkerhetskrav, om standardiseringsprocessen blockeras eller om fastställandet av lämpliga harmoniserade standarder försenas. Om en sådan försening beror på den tekniska komplexiteten hos standarden i fråga bör kommissionen beakta detta innan den överväger att fastställa gemensamma specifikationer.

Skäl 84 Relevant stakeholders when establishing common specifications

I syfte att så effektivt som möjligt fastställa gemensamma specifikationer som omfattar de väsentliga cybersäkerhetskrav som fastställs i denna förordning bör kommissionen involvera berörda parter i processen.

Skäl 85 Definition of 'reasonable period'

Rimlig tid avser, när det gäller offentliggörandet av en hänvisning till harmoniserade standarder i Europeiska unionens officiella tidning i enlighet med förordning (EU) nr 1025/2012, en period under vilken offentliggörandet i Europeiska unionens officiella tidning av hänvisningen till standarden, rättelsen eller ändringen av den förväntas och den bör inte överstiga ett år efter den tidsfrist för utarbetande av en europeisk standard som fastställs i enlighet med förordning (EU) nr 1025/2012.

Skäl 86 Presumption of conformity based on common specifications

För att underlätta bedömningen av överensstämmelse med de väsentliga cybersäkerhetskrav som anges i denna förordning bör det finnas en presumtion om överensstämmelse för produkter med digitala element som överensstämmer med de gemensamma specifikationer som antas av kommissionen enligt denna förordning i syfte att formulera detaljerade tekniska specifikationer av dessa krav.

Skäl 87 Alternatives to presumption of conformity

Tillämpningen av harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering, som antagits enligt förordning (EU) 2019/881 och som ger presumtion om överensstämmelse i förhållande till de väsentliga cybersäkerhetskrav som är tillämpliga på produkter med digitala element, kommer att underlätta tillverkarnas bedömning av överensstämmelse. Om tillverkaren väljer att inte tillämpa sådana metoder på vissa krav måste tillverkaren i sin tekniska dokumentation ange hur överensstämmelse i så fall uppnås. Tillämpningen av harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering, som antagits enligt förordning (EU) 2019/881 och som ger presumtion om överensstämmelse från tillverkarna, skulle dessutom göra det lättare för marknadskontrollmyndigheterna att kontrollera att produkter med digitala element överensstämmer med kraven. Därför uppmuntras tillverkare av produkter med digitala element att tillämpa sådana harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.