Art. 8 Kritiska produkter med digitala element | CRA regulation | CRA

1. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 61 med för att komplettera denna förordning för att fastställa vilka produkter med digitala element och med kärnfunktionen hos en produktkategori som anges i bilaga IV till denna förordning som ska erhålla ett europeiskt cybersäkerhetscertifikat på åtminstone assuransnivån ”betydande” enligt en europeisk ordning för cybersäkerhetscertifiering som antagits enligt förordning (EU) 2019/881 för att visa överensstämmelse med de väsentliga cybersäkerhetskraven i bilaga I till den här förordningen eller delar därav, förutsatt att en europeisk ordning för cybersäkerhetscertifiering som omfattar dessa kategorier av produkter med digitala element har antagits i enlighet med förordning (EU) 2019/881 och är tillgänglig för tillverkarna. Dessa delegerade akter ska specificera den assuransnivå som krävs, vilken ska stå i proportion till den nivå av cybersäkerhetsriskrisk för förlust eller störning orsakad av en incident, som ska uttryckas som en kombination av omfattningen av förlusten eller störningen och sannolikheten för att incidenten inträffar. som är förbunden med produkterna med digitala element och ska ta hänsyn till deras avsedda ändamål, inbegripet det kritiska beroendet av dem av väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555.
2. Innan kommissionen antar sådana delegerade akter ska den göra en bedömning av de planerade åtgärdernas potentiella marknadseffekter och samråda med berörda parter, inbegripet den europeiska grupp för cybersäkerhetscertifiering som fastställs genom förordning (EU) 2019/881. Bedömningen ska ta hänsyn till medlemsstaternas beredskap och kapacitetsnivå när det gäller att genomföra den relevanta europeiska ordningen för cybersäkerhetscertifiering. Om inga delegerade akter som avses i första stycket i denna punkt har antagits ska produkter med digitala element och med kärnfunktionen hos en produktkategori som anges i bilaga IV omfattas av de förfaranden för bedömning av överensstämmelseprocessen där det kontrolleras om de väsentliga cybersäkerhetskraven i bilaga I har uppfyllts. som avses i artikel 32.3.
3. De delegerade akter som avses i första stycket ska föreskriva en övergångsperiod på minst sex månader, såvida inte en kortare övergångsperiod är motiverad av tvingande skyndsamhetsskäl.
1. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 61 för att ändra bilaga IV genom att lägga till eller stryka kategorier av produkter med digitala element. Vid fastställandet av sådana kategorier av kritiska produkter med digitala element och den assuransnivå som krävs, i enlighet med punkt 1 i den här artikeln, ska kommissionen beakta de kriterier som avses i artikel 7.2 och säkerställa att kategorierna av produkter med digitala element uppfyller minst ett av följande kriterier:
  1. Väsentliga entiteter som avses i artikel 3 i direktiv (EU) 2022/2555 har ett kritiskt beroende av kategorin av produkter med digitala element.
  2. Incidenter och utnyttjade sårbarheter som rör kategorin av produkter med digitala element kan leda till allvarliga störningar i kritiska leveranskedjor på den inre marknaden.
2. Innan kommissionen antar sådana delegerade akter ska den göra en bedömning av den typ som avses i punkt 1.
3. De delegerade akter som avses i första stycket ska föreskriva en övergångsperiod på minst sex månader, såvida inte en kortare övergångsperiod är motiverad av tvingande skyndsamhetsskäl.