Artikel 8 Kritiska produkter med digitala element

Genom att cybersäkerhetskrav fastställs för utsläppandet på marknaden av produkter med digitala element är syftet att dessa produkters cybersäkerhet ska förbättras för både konsumenter och företag. Dessa krav kommer också att säkerställa att cybersäkerhet tas i beaktande genom leveranskedjorna som helhet, för att göra slutprodukterna med digitala element och deras komponenter säkrare. Detta innefattar krav för utsläppandet på marknaden av konsumentprodukter med digitala element vilka är avsedda för sårbara konsumenter, exempelvis leksaker och babyövervakningssystem. Konsumentprodukter med digitala element som i denna förordning kategoriseras som viktiga produkter med digitala element utgör en högre cybersäkerhetsrisk genom att de utför en funktion som medför en betydande risk för negativa effekter i fråga om intensitet och förmåga att skada hälsan, tryggheten eller säkerheten för användarna av sådana produkter, och bör genomgå ett striktare förfarande för bedömning av överensstämmelse. Detta är tillämpligt på sådana produkter som smarta hemprodukter med säkerhetsfunktioner, inbegripet smarta dörrlås, babyövervakningssystem och larmsystem, uppkopplade leksaker och kroppsburen medicinsk teknik. De striktare förfaranden för bedömning av överensstämmelse som andra produkter med digitala element som i denna förordning kategoriseras som viktiga eller kritiska produkter med digitala element måste genomgå kommer dessutom att bidra till att förhindra att konsumenterna kan komma att påverkas negativt av utnyttjandet av sårbarheter.

De kategorier av kritiska produkter med digitala element som anges i denna förordning har en cybersäkerhetsrelaterad funktion och en funktion som medför en betydande risk för negativa effekter i fråga om intensitet och förmåga att störa, kontrollera eller skada ett stort antal andra produkter med digitala element genom direkt manipulation. Dessutom anses dessa kategorier av produkter med digitala element vara kritiska beroenden för de väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555. De kategorier av kritiska produkter med digitala element som anges i en bilaga till denna förordning använder redan i stor utsträckning olika former av certifiering, och omfattas också av det europeiska gemensamma kriteriebaserade systemet för cybersäkerhetscertifiering (EUCC) som anges i kommissionens genomförandeförordning (EU) 2024/482(²⁰)Kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) (EUT L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).. För att säkerställa ett gemensamt tillräckligt cybersäkerhetsskydd för kritiska produkter med digitala element i unionen skulle det därför kunna vara lämpligt och proportionellt att genom en delegerad akt låta sådana produktkategorier omfattas av obligatorisk europeisk cybersäkerhetscertifiering om det redan finns en relevant europeisk ordning för cybersäkerhetscertifiering som omfattar dessa produkter och en bedömning av de potentiella marknadseffekterna av den planerade obligatoriska certifieringen har utförts av kommissionen. Bedömningen bör beakta både utbuds- och efterfrågesidan, inbegripet huruvida det finns tillräcklig efterfrågan på de berörda produkterna med digitala element från både medlemsstaterna och användarna för att europeisk cybersäkerhetscertifiering ska krävas, samt de ändamål för vilka produkterna med digitala element är avsedda att användas, inbegripet det kritiska beroendet av dem hos väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555. Bedömningen bör också analysera de potentiella effekterna av den obligatoriska certifieringen på dessa produkters tillgänglighet på den inre marknaden och medlemsstaternas kapacitet och beredskap att genomföra de relevanta europeiska ordningarna för cybersäkerhetscertifiering.

Delegerade akter som kräver obligatorisk europeisk cybersäkerhetscertifiering bör fastställa de produkter med digitala element som har kärnfunktionen hos en kategori av kritiska produkter med digitala element som anges i denna förordning och som ska omfattas av obligatorisk certifiering, samt den assuransnivå som krävs, som åtminstone bör vara ”väsentlig”. Den assuransnivå som krävs bör stå i proportion till den nivå av cybersäkerhetsrisk som är förknippad med produkten med digitala element. Om produkten med digitala element till exempel har kärnfunktionen hos en kategori av kritiska produkter med digitala element som anges i denna förordning och är avsedd för användning i en känslig eller kritisk miljö, såsom produkter avsedda för användning av väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555, får den kräva högsta assuransnivå.

För att säkerställa ett gemensamt tillräckligt cybersäkerhetsskydd i unionen för produkter med digitala element som har kärnfunktionen hos en kategori av kritiska produkter med digitala element som anges i denna förordning, bör kommissionen också ges befogenhet att anta delegerade akter för att ändra denna förordning genom att lägga till eller stryka kategorier av kritiska produkter med digitala element, för vilka tillverkare skulle kunna åläggas att erhålla ett europeiskt cybersäkerhetscertifikat inom ramen för en europeisk ordning för cybersäkerhetscertifiering, enligt förordning (EU) 2019/881 för att visa överensstämmelse med denna förordning. En ny kategori av kritiska produkter med digitala element kan läggas till dessa kategorier om det finns ett kritiskt beroende av dem hos de väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555 eller om incidenter eller utnyttjade sårbarheter kan leda till avbrott i kritiska leveranskedjor. När kommissionen bedömer behovet av att lägga till eller stryka kategorier av kritiska produkter med digitala element genom en delegerad akt bör den kunna beakta huruvida medlemsstaterna på nationell nivå har identifierat produkter med digitala element som har en avgörande roll för resiliensen hos de väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555 och som i allt högre grad drabbas av cyberattacker i leveranskedjan, med potentiella allvarliga störande effekter. Dessutom bör kommissionen kunna beakta resultatet av den samordnade säkerhetsriskbedömning av kritiska leveranskedjor på unionsnivå som genomförts i enlighet med artikel 22 i direktiv (EU) 2022/2555.

Genom förordning (EU) 2019/881 inrättas en frivillig europeisk ram för cybersäkerhetscertifiering av IKT-produkter, IKT-processer och IKT-tjänster. De europeiska ordningarna för cybersäkerhetscertifiering förser användarna med en gemensam tillförlitlig ram för användning av produkter med digitala element vilka omfattas av den här förordningens tillämpningsområde. Den här förordningen bör följaktligen skapa synergier med förordning (EU) 2019/881. För att underlätta bedömningen av överensstämmelse med kraven i den här förordningen, när det gäller produkter med digitala element som är certifierade eller för vilka en försäkran om överensstämmelse har utfärdats inom en europeisk ordning för cybersäkerhet enligt förordning (EU) 2019/881 som har identifierats av kommissionen i en genomförandeakt, bör det finnas en presumtion om överensstämmelse med de väsentliga cybersäkerhetskraven i den här förordningen i den mån som det europeiska cybersäkerhetscertifikatet eller försäkran om överensstämmelse – eller delar av dessa – täcker dessa krav. Behovet av nya europeiska ordningar för cybersäkerhetscertifiering av produkter med digitala element bör bedömas i ljuset av den här förordningen, inbegripet när unionens löpande arbetsprogram utarbetas i enlighet med förordning (EU) 2019/881. Om det behövs ett nytt system som omfattar produkter med digitala element, bland annat för att underlätta efterlevnaden av den här förordningen, kan kommissionen begära att Enisa utarbetar förslag till certifieringsordning i enlighet med artikel 48 i förordning (EU) 2019/881. Sådana framtida europeiska ordningar för cybersäkerhet som omfattar produkter med digitala element bör beakta de väsentliga cybersäkerhetskrav och förfaranden för bedömning av överensstämmelse som fastställs i den här förordningen och främja efterlevnaden av den här förordningen. För europeiska ordningar för cybersäkerhetscertifiering som träder i kraft innan den här förordningen träder i kraft kan ytterligare specifikationer behövas om detaljerade aspekter av hur en presumtion om överensstämmelse kan tillämpas. Kommissionen bör, genom delegerade akter, ha befogenhet att specificera på vilka villkor de europeiska ordningarna för cybersäkerhetscertifiering kan användas för att visa överensstämmelse med de väsentliga cybersäkerhetskrav som fastställs i den här förordningen. För att undvika onödiga administrativa bördor bör det inte finnas någon skyldighet för tillverkarna att genomföra en tredjepartsbedömning av överensstämmelse i enlighet med den här förordningen för motsvarande krav om ett europeiskt cybersäkerhetscertifikat har utfärdats enligt sådana europeiska ordningar för cybersäkerhetscertifiering, på åtminstone assuransnivån ”betydande”.