Artikelen bij COM(2022)454 - Horizontale cyberbeveiligings­vereisten voor producten met digitale elementen

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.



HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Voorwerp

Bij deze verordening worden vastgesteld:

(a)regels voor het in de handel brengen van producten met digitale elementen om de cyberbeveiliging van dergelijke producten te waarborgen;

(b)essentiële eisen voor het ontwerp, de ontwikkeling en de productie van producten met digitale elementen, en verplichtingen voor marktdeelnemers met betrekking tot deze producten, op het gebied van cyberbeveiliging;

(c)essentiële eisen voor de procedures inzake de respons op kwetsbaarheden, die fabrikanten hebben ingesteld om de cyberbeveiliging van producten met digitale elementen gedurende de gehele levenscyclus te waarborgen, en verplichtingen voor marktdeelnemers met betrekking tot deze procedures;

(d)voorschriften inzake markttoezicht en handhaving van bovengenoemde regels en eisen.

Artikel 2

Toepassingsgebied

1. Deze verordening is van toepassing op producten met digitale elementen waarvan het beoogde of redelijkerwijs voorzienbaar gebruik een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk omvat.

2. Deze verordening is niet van toepassing op producten met digitale elementen waarop de volgende handelingen van de Unie van toepassing zijn:

(a)Verordening (EU) 2017/745;

(b)Verordening (EU) 2017/746;

(c)Verordening (EU) 2019/2144.

3. Deze verordening is niet van toepassing op producten met digitale elementen die zijn gecertificeerd overeenkomstig Verordening (EU) 2018/1139.

4. De toepassing van deze verordening op producten met digitale elementen die vallen onder andere voorschriften van de Unie tot vaststelling van eisen die betrekking hebben op alle of een deel van de risico’s die door de essentiële eisen van bijlage I worden bestreken, kan worden beperkt of uitgesloten indien:

(a)een dergelijke beperking of uitsluiting strookt met het algemene regelgevingskader dat op die producten van toepassing is; en

(b)de sectorale voorschriften hetzelfde beschermingsniveau bieden als deze verordening.

De Commissie is bevoegd overeenkomstig artikel 50 gedelegeerde handelingen vast te stellen tot wijziging van deze verordening, waarin nader wordt bepaald of een dergelijke beperking of uitsluiting noodzakelijk is en met vermelding van de betrokken producten en regels en, in voorkomend geval, het toepassingsgebied van de beperking.

5. Deze verordening is niet van toepassing op producten met digitale elementen die uitsluitend voor doeleinden van nationale veiligheid of voor militaire doeleinden zijn ontwikkeld, noch op producten die specifiek zijn ontworpen voor de verwerking van gerubriceerde informatie.

Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

(1) “product met digitale elementen”: elk software- of hardwareproduct en de oplossingen voor gegevensverwerking op afstand, met inbegrip van software- of hardwarecomponenten die afzonderlijk in de handel worden gebracht;

(2) “gegevensverwerking op afstand”: elke gegevensverwerking op afstand waarvoor de software is ontworpen en ontwikkeld door de fabrikant of onder de verantwoordelijkheid van de fabrikant, en bij gebreke waarvan het product met digitale elementen een van zijn functies niet zou kunnen vervullen;

(3) “kritiek product met digitale elementen”: een product met digitale elementen dat een cyberbeveiligingsrisico vormt overeenkomstig de criteria van artikel 6, lid 2, en waarvan de belangrijkste functionaliteit is vastgesteld in bijlage III;

(4) “zeer kritiek product met digitale elementen”: een product met digitale elementen dat een cyberbeveiligingsrisico vormt overeenkomstig de in artikel 6, lid 5, vastgestelde criteria;

(5) “operationele technologie”: programmeerbare digitale systemen of apparaten die in wisselwerking staan met de fysieke omgeving of apparaten beheren die in wisselwerking staan met de fysieke omgeving;

(6) “software”: het deel van een elektronisch informatiesysteem dat uit computercode bestaat;

(7) “hardware”: een fysiek elektronisch informatiesysteem, of delen daarvan, dat digitale gegevens kan verwerken, opslaan of verzenden;

(8) “component”: software of hardware die bedoeld is om in een elektronisch informatiesysteem te worden geïntegreerd;

(9) “elektronisch informatiesysteem”: elk systeem, met inbegrip van elektrische of elektronische apparatuur, dat digitale gegevens kan verwerken, opslaan of verzenden;

(10) “logische verbinding”: een virtuele weergave van een gegevensverbinding die wordt geïmplementeerd via een software-interface;

(11) “fysieke verbinding”: elke verbinding tussen elektronische informatiesystemen of componenten die met behulp van fysieke middelen tot stand wordt gebracht, onder meer via elektrische of mechanische interfaces, draden of radiogolven;

(12) “indirecte verbinding”: een verbinding met een apparaat of netwerk die niet direct plaatsvindt, maar als onderdeel van een groter systeem dat een directe verbinding kan maken met dat apparaat of netwerk;

(13) “privilege”: een toegangsrecht dat aan bepaalde gebruikers of programma’s wordt verleend om binnen een elektronisch informatiesysteem voor de beveiliging relevante activiteiten uit te voeren;

(14) “hoger privilege”: een toegangsrecht dat aan bepaalde gebruikers of programma’s wordt verleend om een uitgebreide reeks voor de beveiliging relevante activiteiten uit te voeren binnen een elektronisch informatiesysteem dat, indien het wordt misbruikt of gecompromitteerd, een kwaadwillige actor in staat zou kunnen stellen ruimere toegang te krijgen tot de middelen van een systeem of organisatie;

(15) “eindpunt”: een apparaat dat op een netwerk is aangesloten en als toegangspunt tot dat netwerk fungeert;

(16) “netwerk- of computingmiddelen”: gegevens- of hardware- of softwarefunctionaliteit die lokaal of via een netwerk of een ander verbonden apparaat toegankelijk is;

(17) “marktdeelnemer”: de fabrikant, de gemachtigde vertegenwoordiger, de importeur, de distributeur of een andere natuurlijke of rechtspersoon op wie de bij deze verordening vastgestelde verplichtingen van toepassing zijn;

(18) “fabrikant”: een natuurlijke of rechtspersoon die producten met digitale elementen ontwikkelt of vervaardigt of die producten met digitale elementen laat ontwerpen, ontwikkelen of vervaardigen, en die onder zijn naam of merknaam in de handel brengt, al dan niet tegen betaling;

(19) “gemachtigde vertegenwoordiger”: een in de Unie gevestigde natuurlijke of rechtspersoon die schriftelijk door een fabrikant is gemachtigd om namens hem specifieke taken te vervullen;

(20) “importeur”: een in de Unie gevestigde natuurlijke of rechtspersoon die een product met digitale elementen in de handel brengt dat de naam of merknaam van een buiten de Unie gevestigde natuurlijke of rechtspersoon draagt;

(21) “distributeur”: een andere natuurlijke of rechtspersoon in de toeleveringsketen dan de fabrikant of de importeur, die een product met digitale elementen in de Unie op de markt aanbiedt zonder de eigenschappen hiervan te beïnvloeden;

(22) “in de handel brengen”: een product met digitale elementen voor het eerst in de Unie op de markt aanbieden;

(23) “op de markt aanbieden”: het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een product met digitale elementen met het oog op distributie of gebruik op de markt van de Unie;

(24) “beoogd doel”: het gebruik waarvoor een product met digitale elementen door de fabrikant is bedoeld, met inbegrip van de specifieke context en voorwaarden van het gebruik, zoals gespecificeerd in de informatie die door de fabrikant in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt;

(25) “redelijkerwijs voorzienbaar gebruik”: gebruik dat niet noodzakelijk het beoogde doel is dat door de fabrikant in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt, maar dat waarschijnlijk voortvloeit uit redelijkerwijs voorzienbaar menselijk gedrag of redelijkerwijs voorzienbare technische handelingen of interacties;

(26) “redelijkerwijs voorzienbaar verkeerd gebruik”: het gebruik van een product met digitale elementen op een wijze die niet in overeenstemming is met het beoogde doel, maar die kan voortvloeien uit redelijkerwijs te voorzien menselijk gedrag of de redelijkerwijs voorzienbare interactie met andere systemen;

(27) “aanmeldende autoriteit”: de nationale autoriteit die verantwoordelijk is voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en kennisgeving van de conformiteitsbeoordelingsinstanties en de monitoring hiervan;

(28) “conformiteitsbeoordeling”: het proces waarbij wordt nagegaan of aan de essentiële eisen van bijlage I is voldaan;

(29) “conformiteitsbeoordelingsinstantie”: een instantie als gedefinieerd in artikel 2, punt 13, van Verordening (EG) nr. 765/2008;

(30) “aangemelde instantie”: een conformiteitsbeoordelingsinstantie die overeenkomstig artikel 33 van deze verordening en andere relevante harmonisatiewetgeving van de Unie is aangewezen;

(31) “ingrijpende wijziging”: een wijziging van het product met digitale elementen nadat het in de handel is gebracht, die gevolgen heeft voor de conformiteit van het product met digitale elementen met de essentiële eisen van afdeling 1 van bijlage I of leidt tot een wijziging van het beoogde gebruik waarvoor het product met digitale elementen is beoordeeld;

(32) “CE-markering”: een markering waarmee een fabrikant aangeeft dat een product met digitale elementen en de door de fabrikant ingestelde processen in overeenstemming zijn met de essentiële eisen van bijlage I en andere toepasselijke wetgeving van de Unie tot harmonisatie van de voorwaarden voor het in de handel brengen van producten (“harmonisatiewetgeving van de Unie”) die in het aanbrengen ervan voorziet;

(33) “markttoezichtautoriteit”: de autoriteit in de zin van artikel 3, punt 4, van Verordening (EU) 2019/1020;

(34) “geharmoniseerde norm”: een geharmoniseerde norm in de zin van artikel 2, punt 1, c), van Verordening (EU) nr. 1025/2012;

(35) “cyberbeveiligingsrisico”: risico in de zin van artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)];

(36) “significant cyberbeveiligingsrisico”: een cyberbeveiligingsrisico waarvan op basis van de technische kenmerken kan worden aangenomen dat het zeer waarschijnlijk is dat zich een incident voordoet met ernstige negatieve gevolgen, onder meer door aanzienlijke materiële of immateriële verliezen of verstoringen te veroorzaken;

(37) “softwarestuklijst”: een formeel register met gegevens en relaties in de toeleveringsketen van componenten die zijn opgenomen in de software-elementen van een product met digitale elementen;

(38) “kwetsbaarheid”: kwetsbaarheid in de zin van artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)];

(39) “actief uitgebuite kwetsbaarheid”: een kwetsbaarheid waarvoor betrouwbare bewijzen bestaan dat een actor kwaadwillige code heeft uitgevoerd op een systeem zonder toestemming van de systeemeigenaar;

(40) “persoonsgegevens”: gegevens in de zin van artikel 4, punt 1, van Verordening (EU) 2016/679.

Artikel 4

Vrij verkeer

1. Voor de onder deze verordening vallende aangelegenheden belemmeren de lidstaten niet dat producten met digitale elementen die aan deze verordening voldoen, op de markt worden aangeboden.

2. De lidstaten beletten niet dat op handelsbeurzen, tentoonstellingen en demonstraties of soortgelijke evenementen een product met digitale elementen wordt gepresenteerd en gebruikt dat niet aan deze verordening voldoet.

3. De lidstaten beletten niet dat onafgewerkte software die niet aan deze verordening voldoet, wordt aangeboden, op voorwaarde dat de software slechts voor een beperkte periode die nodig is voor testdoeleinden wordt aangeboden en dat een zichtbaar teken duidelijk aangeeft dat de software niet aan deze verordening voldoet en niet voor andere doeleinden dan tests op de markt zal worden aangeboden.

Artikel 5

Eisen voor producten met digitale elementen

Producten met digitale elementen worden alleen op de markt aangeboden indien:

(1) zij voldoen aan de essentiële eisen van afdeling 1 van bijlage I, op voorwaarde dat zij op passende wijze worden geïnstalleerd, onderhouden, gebruikt voor het beoogde doel of in redelijkerwijs voorzienbare omstandigheden en, indien van toepassing, worden bijgewerkt, en

(2) de door de fabrikant ingestelde processen voldoen aan de essentiële eisen van afdeling 2 van bijlage I.

Artikel 6

Kritieke producten met digitale elementen

1. Producten met digitale elementen die behoren tot een categorie die is opgenomen in bijlage III, worden beschouwd als kritieke producten met digitale elementen. Producten met de belangrijkste functionaliteit van een categorie die is opgenomen in bijlage III bij deze verordening, worden geacht onder die categorie te vallen. De categorieën kritieke producten met digitale elementen worden ingedeeld in klasse I en klasse II, zoals vastgesteld in bijlage III, naargelang van het niveau van het cyberbeveiligingsrisico in verband met deze producten.

2. De Commissie is bevoegd om overeenkomstig artikel 50 gedelegeerde handelingen vast te stellen om bijlage III te wijzigen door in de lijst van categorieën kritieke producten met digitale elementen een nieuwe categorie op te nemen of een bestaande categorie van die lijst te schrappen. Bij de beoordeling van de noodzaak om de lijst in bijlage III te wijzigen houdt de Commissie rekening met het niveau van het cyberbeveiligingsrisico in verband met de categorie producten met digitale elementen. Bij het bepalen van het niveau van het cyberbeveiligingsrisico wordt rekening gehouden met een of meer van de volgende criteria:

(a)de aan cyberbeveiliging gerelateerde functionaliteit van het product met digitale elementen, en of het product met digitale elementen ten minste één van de volgende eigenschappen heeft:

(i)het is ontworpen om te functioneren met hogere privileges of voor privilegebeheer;

(ii)het heeft directe of geprivilegieerde toegang tot netwerk- of computingmiddelen;

(iii)het is ontworpen om de toegang tot gegevens of operationele technologie te regelen;

(iv)het vervult een functie die van cruciaal belang is voor het vertrouwen, met name beveiligingsfuncties zoals netwerkbeheer, eindpuntbeveiliging en netwerkbeveiliging;

(b)het beoogde gebruik in gevoelige omgevingen, onder meer in industriële omgevingen of door essentiële entiteiten van het type zoals bedoeld in bijlage [bijlage I] bij Richtlijn [Richtlijn XXX/XXXX (NIS2)];

(c)het beoogde gebruik van kritieke of gevoelige functies, zoals de verwerking van persoonsgegevens;

(d)de potentiële omvang van een nadelig effect, met name wat betreft de intensiteit ervan en de mogelijkheid dat meerdere personen worden getroffen;

(e)de mate waarin het gebruik van producten met digitale elementen reeds tot materiële of immateriële verliezen of verstoringen heeft geleid of aanleiding heeft gegeven tot aanzienlijke bezorgdheid in verband met het ontstaan van een nadelig effect.

3. De Commissie is gemachtigd om overeenkomstig artikel 50 een gedelegeerde handeling vast te stellen teneinde deze verordening aan te vullen door de in bijlage III opgenomen definities van de productcategorieën van de klassen I en II te specificeren. De gedelegeerde handeling wordt [uiterlijk 12 maanden na de inwerkingtreding van deze verordening] vastgesteld.

4. Kritieke producten met digitale elementen worden onderworpen aan de conformiteitsbeoordelingsprocedures als bedoeld in artikel 24, leden 2 en 3.

5. De Commissie is bevoegd om overeenkomstig artikel 50 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door de categorieën zeer kritieke producten met digitale elementen te specificeren waarvoor de fabrikanten een Europees cyberbeveiligingscertificaat moeten verkrijgen in het kader van een Europese cyberbeveiligingscertificeringsregeling overeenkomstig Verordening (EU) 2019/881 om de conformiteit met de essentiële eisen van bijlage I of delen daarvan aan te tonen. Bij het bepalen van dergelijke categorieën zeer kritieke producten met digitale elementen houdt de Commissie rekening met het niveau van het cyberbeveiligingsrisico in verband met de categorie producten met digitale elementen, in het licht van een of meer van de in lid 2 vermelde criteria, alsook met het oog op de beoordeling of die categorie producten:

(a)wordt gebruikt of ingeroepen door de essentiële entiteiten van het type als bedoeld in bijlage [bijlage I] bij Richtlijn [Richtlijn XXX/XXXX (NIS2)] of in de toekomst van belang kan zijn voor de activiteiten van deze entiteiten; of

(b)relevant is voor de veerkracht van de gehele toeleveringsketen van producten met digitale elementen tegen verstorende gebeurtenissen.

Artikel 7

Algemene productveiligheid

In afwijking van artikel 2, lid 1, derde alinea, punt b), van Verordening [verordening inzake algemene productveiligheid] en indien producten met digitale elementen niet onderworpen zijn aan specifieke eisen die zijn vastgesteld bij andere harmonisatiewetgeving van de Unie in de zin van [artikel 3, punt 25, van de verordening inzake algemene productveiligheid], zijn hoofdstuk III, punt 1, hoofdstukken V en VII, en de hoofdstukken IX, X en XI van Verordening [verordening inzake algemene productveiligheid] van toepassing op die producten met betrekking tot veiligheidsrisico’s die niet onder deze verordening vallen.

Artikel 8

AI-systemen met een hoog risico

1. Producten met digitale elementen die overeenkomstig artikel [artikel 6] van Verordening [de AI-verordening] als AI-systemen met een hoog risico worden aangemerkt en die binnen het toepassingsgebied van deze verordening vallen en voldoen aan de essentiële eisen van afdeling 1 van bijlage I bij deze verordening, en waarvoor de door de fabrikant ingestelde processen in overeenstemming zijn met de essentiële eisen van afdeling 2 van bijlage I, worden geacht in overeenstemming te zijn met de in artikel [artikel 15] van Verordening [de AI-verordening] vastgestelde eisen inzake cyberbeveiliging, onverminderd de andere eisen inzake nauwkeurigheid en robuustheid die zijn opgenomen in bovengenoemd artikel, en voor zover de verwezenlijking van het door die eisen vereiste beveiligingsniveau wordt aangetoond door de in het kader van deze verordening afgegeven EU-conformiteitsverklaring.

2. Op de in lid 1 bedoelde producten en cyberbeveiligingsvereisten is de relevante conformiteitsbeoordelingsprocedure zoals voorgeschreven bij artikel [artikel 43] van Verordening [AI-verordening] van toepassing. Voor die beoordeling hebben aangemelde instanties die volgens Verordening [AI-verordening] het recht hebben om de conformiteit van de AI-systemen met een hoog risico te controleren, ook het recht om de conformiteit van de AI-systemen met een hoog risico binnen het toepassingsgebied van deze verordening met de eisen van bijlage I bij deze verordening te controleren, mits de naleving door die aangemelde instanties van de voorschriften van artikel 29 van deze verordening in het kader van de aanmeldingsprocedure volgens Verordening [AI-verordening] is beoordeeld.

3. In afwijking van lid 2 zijn kritieke producten met digitale elementen die zijn opgenomen in bijlage III bij deze verordening, waarvoor de conformiteitsbeoordelingsprocedures als bedoeld in artikel 24, lid 2, punt a), artikel 24, lid 2, punt b), artikel 24, lid 3, punt a), en artikel 24, lid 3, punt b), uit hoofde van deze verordening moeten worden toegepast en die ook worden aangemerkt als AI-systemen met een hoog risico overeenkomstig artikel [artikel 6] van de verordening [AI-verordening] en waarop de in bijlage [bijlage VI] bij Verordening [de AI-verordening] bedoelde conformiteitsbeoordelingsprocedure op basis van interne controle van toepassing is, onderworpen aan de bij deze verordening vereiste conformiteitsbeoordelingsprocedures voor zover het de essentiële eisen van deze verordening betreft.

Artikel 9

Machineproducten

Machineproducten die binnen het toepassingsgebied van Verordening [voorstel voor een machineverordening] vallen en die producten met digitale elementen zijn in de zin van deze verordening en waarvoor op grond van deze verordening een EU-conformiteitsverklaring is afgegeven, worden geacht in overeenstemming te zijn met de essentiële veiligheids- en gezondheidseisen van bijlage [punten 1.1.9 en 1.2.1 van bijlage III] bij Verordening [voorstel voor een machineverordening], wat betreft de bescherming tegen corruptie en de veiligheid en betrouwbaarheid van besturingssystemen, en voor zover in de krachtens deze verordening afgegeven EU-conformiteitsverklaring wordt aangetoond dat het door die eisen vereiste beveiligingsniveau wordt bereikt.

HOOFDSTUK II

VERPLICHTINGEN VAN MARKTDEELNEMERS

Artikel 10

Verplichtingen van fabrikanten

1. Wanneer fabrikanten een product met digitale elementen in de handel brengen, zorgen zij ervoor dat het is ontworpen, ontwikkeld en geproduceerd overeenkomstig de essentiële eisen van afdeling 1 van bijlage I.

2. Met het oog op de naleving van de in lid 1 vastgestelde verplichting beoordelen fabrikanten de cyberbeveiligingsrisico’s die verbonden zijn aan een product met digitale elementen, en houden zij rekening met het resultaat van die beoordeling tijdens de plannings-, ontwerp-, ontwikkelings-, productie-, leverings- en onderhoudsfase van het product met digitale elementen, teneinde de cyberbeveiligingsrisico’s tot een minimum te beperken, beveiligingsincidenten te voorkomen en de gevolgen van dergelijke incidenten tot een minimum te beperken, onder meer met betrekking tot de gezondheid en veiligheid van gebruikers.

3. Wanneer de fabrikant een product met digitale elementen in de handel brengt, neemt hij een beoordeling van de cyberbeveiligingsrisico’s op in de technische documentatie als bedoeld in artikel 23 en bijlage V. Voor producten met digitale elementen als bedoeld in artikel 8 en artikel 24, lid 4, die ook onder andere handelingen van de Unie vallen, kan de beoordeling van de cyberbeveiligingsrisico’s deel uitmaken van de risicobeoordeling die op grond van die respectieve handelingen van de Unie vereist is. Indien bepaalde essentiële eisen niet van toepassing zijn op het in de handel gebrachte product met digitale elementen, neemt de fabrikant in die documentatie een duidelijke motivering op.

4. Met het oog op de naleving van de in lid 1 vastgestelde verplichting betrachten fabrikanten de nodige zorgvuldigheid bij de integratie van van derden afkomstige componenten in producten met digitale elementen. Zij zorgen ervoor dat dergelijke componenten de veiligheid van het product met digitale elementen niet in gevaar brengen.

5. De fabrikant documenteert systematisch, op een wijze die in verhouding staat tot de aard en de cyberbeveiligingsrisico’s, relevante cyberbeveiligingsaspecten met betrekking tot het product met digitale elementen, met inbegrip van kwetsbaarheden waarvan hij kennisneemt en alle relevante informatie die door derden wordt verstrekt, en werkt, indien van toepassing, de risicobeoordeling van het product bij.

6. Wanneer fabrikanten een product met digitale elementen in de handel brengen en gedurende de verwachte levensduur van het product of gedurende een periode van vijf jaar vanaf het in de handel brengen van het product, indien dit korter is, zorgen zij ervoor dat de kwetsbaarheden van dat product doeltreffend en in overeenstemming met de essentiële eisen van afdeling 2 van bijlage I worden aangepakt.

Fabrikanten beschikken over passende beleidslijnen en procedures, met inbegrip van een gecoördineerd beleid inzake openbaarmaking van kwetsbaarheden, als bedoeld in afdeling 2, punt 5, van bijlage I, om potentiële kwetsbaarheden in het product met digitale elementen die door interne of externe bronnen zijn gemeld, te behandelen en te verhelpen.

7. Alvorens een product met digitale elementen in de handel te brengen, stellen fabrikanten de in artikel 23 bedoelde technische documentatie op.

Zij voeren de in artikel 24 bedoelde gekozen conformiteitsbeoordelingsprocedures uit of laten deze uitvoeren.

Wanneer met die conformiteitsbeoordelingsprocedure is aangetoond dat het product met digitale elementen voldoet aan de essentiële eisen van afdeling 1 van bijlage I en dat de door de fabrikant ingestelde processen voldoen aan de essentiële eisen van afdeling 2 van bijlage I, stellen de fabrikanten de EU-conformiteitsverklaring op overeenkomstig artikel 20 en brengen zij de CE-markering aan overeenkomstig artikel 22.

8. Fabrikanten houden de technische documentatie en de EU-conformiteitsverklaring, indien van toepassing, tot tien jaar nadat het product met digitale elementen in de handel is gebracht ter beschikking van de markttoezichtautoriteiten.

9. Fabrikanten voeren procedures in om de conformiteit te waarborgen van producten met digitale elementen die deel uitmaken van een productiereeks. De fabrikant houdt naar behoren rekening met veranderingen in het ontwikkelings- en productieproces of in het ontwerp of de kenmerken van het product met digitale elementen en met wijzigingen in de geharmoniseerde normen, Europese cyberbeveiligingscertificeringsregelingen of de in artikel 19 bedoelde gemeenschappelijke specificaties waarnaar wordt verwezen in de conformiteitsverklaring van het product met digitale elementen of op grond waarvan de conformiteit van het product wordt geverifieerd.

10. Fabrikanten zorgen ervoor dat producten met digitale elementen vergezeld gaan van de in bijlage II vermelde informatie en instructies, in elektronische of fysieke vorm. Deze informatie en instructies worden verstrekt in een taal die de gebruikers gemakkelijk kunnen begrijpen. Zij moeten duidelijk, begrijpelijk en leesbaar zijn. Zij maken een veilige installatie, een veilige werking en een veilig gebruik van de producten met digitale elementen mogelijk.

11. Fabrikanten verstrekken de EU-conformiteitsverklaring bij het product met digitale elementen of vermelden in de instructies en informatie in de zin van bijlage II het internetadres waarop de EU-conformiteitsverklaring kan worden geraadpleegd.

12. Vanaf het in de handel brengen en gedurende de verwachte levensduur van het product of gedurende een periode van vijf jaar nadat een product met digitale elementen in de handel is gebracht, indien dit korter is, nemen fabrikanten die weten of die redenen hebben om aan te nemen dat het product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming zijn met de essentiële eisen van bijlage I, onmiddellijk de nodige corrigerende maatregelen om het product met digitale elementen of de processen van de fabrikant in overeenstemming te brengen, of om het product zo nodig uit de handel te nemen of terug te roepen.

13. Fabrikanten verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit aan die autoriteit, in een taal die zij gemakkelijk kan begrijpen, alle informatie en documentatie, schriftelijk of in elektronische vorm, die nodig is om de conformiteit van het product met digitale elementen en van de door de fabrikant ingestelde processen met de essentiële eisen van bijlage I aan te tonen. Zij verlenen op verzoek van die autoriteit medewerking aan alle maatregelen die zijn genomen om de cyberbeveiligingsrisico’s van het product met digitale elementen dat zij in de handel hebben gebracht, weg te nemen.

14. Een fabrikant die zijn activiteiten stopzet en daardoor niet in staat is aan de verplichtingen van deze verordening te voldoen, stelt de betrokken markttoezichtautoriteiten, voordat de stopzetting van de activiteiten van kracht wordt, in kennis van deze situatie, alsook, met alle beschikbare middelen en voor zover mogelijk, de gebruikers van de betrokken producten met digitale elementen die in de handel zijn gebracht.

15. De Commissie kan door middel van uitvoeringshandelingen het formaat en de elementen van de in afdeling 2, punt 1, van bijlage I vastgestelde softwarestuklijst specificeren. Die uitvoeringshandelingen worden overeenkomstig de in artikel 51, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 11

Rapportageverplichtingen van fabrikanten

1. De fabrikant stelt Enisa onverwijld en in elk geval binnen 24 uur nadat hij er kennis van heeft genomen, in kennis van elke actief uitgebuite kwetsbaarheid in het product met digitale elementen. De kennisgeving bevat bijzonderheden over die kwetsbaarheid en, in voorkomend geval, alle genomen corrigerende of risicobeperkende maatregelen. Enisa zendt de kennisgeving na ontvangst zonder onnodig uitstel, tenzij daar gegronde redenen voor zijn in verband met cyberbeveiligingsrisico’s, door naar het CSIRT van de betrokken lidstaten dat is aangewezen met het oog op gecoördineerde bekendmaking van kwetsbaarheden overeenkomstig artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)] en stelt de markttoezichtautoriteit in kennis van de gemelde kwetsbaarheid.

2. De fabrikant stelt Enisa onverwijld en in elk geval binnen 24 uur nadat hij er kennis van heeft genomen, in kennis van elk incident dat gevolgen heeft voor de veiligheid van het product met digitale elementen. Enisa zendt de kennisgevingen zonder onnodige vertraging, tenzij er gegronde redenen zijn in verband met cyberbeveiligingsrisico’s, door naar het centrale contactpunt dat is aangewezen overeenkomstig artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)] van de betrokken lidstaten en stelt de markttoezichtautoriteit in kennis van de gemelde incidenten. De melding van incidenten omvat informatie over de ernst en de gevolgen van het incident en vermeldt in voorkomend geval of de fabrikant vermoedt dat het incident het gevolg is van onwettige of kwaadwillige handelingen of van mening is dat het een grensoverschrijdend effect heeft.

3. Enisa zendt de krachtens de leden 1 en 2 meegedeelde informatie naar het Europees Netwerk van verbindingsorganisaties voor cybercrises (CyCLONe), opgericht bij artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)], indien die informatie relevant is voor het gecoördineerde beheer van grootschalige cyberincidenten en -crises op operationeel niveau.

4. De fabrikant stelt de gebruikers van het product met digitale elementen onverwijld en nadat hij er kennis van heeft genomen, op de hoogte van het incident en, indien nodig, van de corrigerende maatregelen die de gebruiker kan nemen om de gevolgen van het incident te beperken.

5. De Commissie kan door middel van uitvoeringshandelingen het soort informatie, het formaat en de procedure van de krachtens de leden 1 en 2 ingediende kennisgevingen nader specificeren. Die uitvoeringshandelingen worden overeenkomstig de in artikel 51, lid 2, bedoelde onderzoeksprocedure vastgesteld.

6. Enisa stelt, op basis van de krachtens de leden 1 en 2 ontvangen kennisgevingen, om de twee jaar een technisch verslag op over opkomende trends met betrekking tot cyberbeveiligingsrisico’s in producten met digitale elementen en dient dit in bij de samenwerkingsgroep als bedoeld in artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)]. Het eerste verslag wordt ingediend binnen 24 maanden nadat de in de leden 1 en 2 vastgestelde verplichtingen van toepassing worden.

7. Bij de vaststelling van een kwetsbaarheid in een component, met inbegrip van een opensourcecomponent, die in het product met digitale elementen is geïntegreerd, melden fabrikanten de kwetsbaarheid aan de persoon of entiteit die de component onderhoudt.

Artikel 12

Gemachtigde vertegenwoordigers

1. Een fabrikant kan een gemachtigde vertegenwoordiger aanwijzen door middel van een schriftelijk mandaat.

2. De verplichtingen uit hoofde van artikel 10, leden 1 tot en met 7, eerste streepje, en lid 9, maken geen deel uit van het mandaat van de gemachtigde vertegenwoordiger.

3. Een gemachtigde vertegenwoordiger voert de taken uit die gespecificeerd zijn in het mandaat dat hij van de fabrikant heeft ontvangen. Het mandaat stelt de gemachtigde vertegenwoordiger in staat ten minste het volgende te doen:

(a)hij houdt de EU-conformiteitsverklaring als bedoeld in artikel 20 en de technische documentatie als bedoeld in artikel 23 tot tien jaar nadat het product met digitale elementen in de handel is gebracht, ter beschikking van de markttoezichtautoriteiten;

(b)hij verstrekt een markttoezichtautoriteit, wanneer die autoriteit daartoe een met redenen omkleed verzoek indient, alle benodigde informatie en documentatie om de conformiteit van het product met digitale elementen aan te tonen;

(c)hij verleent op verzoek van de markttoezichtautoriteiten medewerking aan alle genomen maatregelen om de risico’s van een product met digitale elementen die onder het mandaat van de gemachtigde vertegenwoordiger vallen, weg te nemen.

Artikel 13

Verplichtingen van importeurs

1. Importeurs brengen uitsluitend producten met digitale elementen in de handel die voldoen aan de essentiële eisen van afdeling 1 van bijlage I, en indien de door de fabrikant ingestelde processen voldoen aan de essentiële eisen van afdeling 2 van bijlage I.

2. Alvorens een product met digitale elementen in de handel te brengen, zorgen importeurs ervoor dat:

(a)de fabrikant de juiste conformiteitsbeoordelingsprocedures als bedoeld in artikel 24 heeft uitgevoerd;

(b)de fabrikant de technische documentatie heeft opgesteld;

(c)het product met digitale elementen is voorzien van de in artikel 22 bedoelde CE-markering en vergezeld gaat van de in bijlage II vastgestelde informatie en instructies.

3. Wanneer een importeur van mening is of redenen heeft om aan te nemen dat een product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming zijn met de essentiële eisen van bijlage I, brengt de importeur het product niet in de handel voordat dat product of de door de fabrikant ingestelde processen in overeenstemming zijn gebracht met de essentiële eisen van bijlage I. Bovendien brengt de importeur, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de fabrikant en de markttoezichtautoriteiten hiervan op de hoogte.

4. Importeurs vermelden hun naam, geregistreerde handelsnaam of geregistreerde merknaam, het postadres en het e-mailadres waarop contact met hen kan worden opgenomen op het product met digitale elementen, of wanneer dit niet mogelijk is, op de verpakking of in een bij het product met digitale elementen gevoegd document. De contactgegevens worden gesteld in een voor de gebruikers en de markttoezichtautoriteiten gemakkelijk te begrijpen taal.

5. Importeurs zorgen ervoor dat het product met digitale elementen vergezeld gaat van de instructies en informatie van bijlage II, in een voor de gebruikers gemakkelijk te begrijpen taal.

6. Importeurs die weten of redenen hebben om aan te nemen dat een door hen in de handel gebracht product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming is/zijn met de essentiële eisen van bijlage I, nemen onmiddellijk de nodige corrigerende maatregelen om het product met digitale elementen of de door de fabrikant ingestelde processen in overeenstemming te brengen met de essentiële eisen van bijlage I of om het product zo nodig uit de handel te nemen of terug te roepen.

Wanneer importeurs een kwetsbaarheid in het product met digitale elementen vaststellen, stellen zij de fabrikant onverwijld in kennis van die kwetsbaarheid. Bovendien brengen importeurs, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de markttoezichtautoriteiten van de lidstaten waar zij het product met digitale elementen op de markt hebben aangeboden, hiervan onmiddellijk op de hoogte, waarbij zij in het bijzonder de non-conformiteit en alle genomen corrigerende maatregelen uitvoerig beschrijven.

7. Importeurs houden gedurende tien jaar nadat het product met digitale elementen in de handel is gebracht, een exemplaar van de EU-conformiteitsverklaring ter beschikking van de markttoezichtautoriteiten en zorgen ervoor dat de technische documentatie op verzoek aan die autoriteiten kan worden verstrekt.

8. Importeurs verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit aan deze autoriteit alle benodigde informatie en documentatie, schriftelijk of in elektronische vorm, om de conformiteit van het product met digitale elementen met de essentiële eisen van afdeling 1 van bijlage I, en van de processen die de fabrikant heeft ingesteld met de essentiële eisen van afdeling 2 van bijlage I aan te tonen, in een voor die autoriteit gemakkelijk te begrijpen taal. Op verzoek van die autoriteit verlenen zij medewerking aan alle maatregelen die zijn genomen om de cyberbeveiligingsrisico’s van een product met digitale elementen dat zij in de handel hebben gebracht, weg te nemen.

9. Wanneer de importeur van een product met digitale elementen er kennis van neemt dat de fabrikant van dat product zijn activiteiten heeft stopgezet en daardoor niet in staat is aan de verplichtingen van deze verordening te voldoen, stelt de importeur de betrokken markttoezichtautoriteiten in kennis van deze situatie, alsook, met alle beschikbare middelen en voor zover mogelijk, de gebruikers van de producten met digitale elementen die in de handel zijn gebracht.

Artikel 14

Verplichtingen van distributeurs

1. Distributeurs die een product met digitale elementen op de markt aanbieden, betrachten de nodige zorgvuldigheid in verband met de eisen van deze verordening.

2. Alvorens een product met digitale elementen op de markt aan te bieden, gaan distributeurs na of:

(a)het product met digitale elementen is voorzien van de CE-markering;

(b)de fabrikant en de importeur hebben voldaan aan de verplichtingen van respectievelijk artikel 10, lid 10, artikel 10, lid 11, en artikel 13, lid 4.

3. Wanneer een distributeur van mening is of redenen heeft om aan te nemen dat een product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming zijn met de essentiële eisen in bijlage I, mag de distributeur het product met digitale elementen niet op de markt aanbieden voordat dat product of de door de fabrikant ingestelde processen in overeenstemming zijn gebracht. Bovendien brengt de distributeur, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de fabrikant en de markttoezichtautoriteiten hiervan op de hoogte.

4. Distributeurs die weten of redenen hebben om aan te nemen dat een door hen op de markt aangeboden product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming is/zijn met de essentiële eisen in bijlage I, zorgen ervoor dat de nodige corrigerende maatregelen worden genomen om het product met digitale elementen of de door de fabrikant ingestelde processen in overeenstemming te brengen, of om het product zo nodig uit de handel te nemen of terug te roepen.

Wanneer distributeurs een kwetsbaarheid in het product met digitale elementen vaststellen, stellen zij de fabrikant onverwijld in kennis van die kwetsbaarheid. Bovendien brengen distributeurs, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de markttoezichtautoriteiten van de lidstaten waar zij het product met digitale elementen op de markt hebben aangeboden hiervan onmiddellijk op de hoogte, waarbij zij in het bijzonder de non-conformiteit en alle genomen corrigerende maatregelen uitvoerig beschrijven.

5. Distributeurs verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit aan deze autoriteit alle benodigde informatie en documentatie, schriftelijk of in elektronische vorm, om de conformiteit van het product met digitale elementen en van de processen die de fabrikant heeft ingesteld met de essentiële eisen van bijlage I, aan te tonen, in een voor die autoriteit gemakkelijk te begrijpen taal. Op verzoek van die autoriteit verlenen zij medewerking aan alle maatregelen die zijn genomen om de cyberbeveiligingsrisico’s van een product met digitale elementen dat zij op de markt hebben aangeboden, weg te nemen.

6. Wanneer de distributeur van een product met digitale elementen er kennis van neemt dat de fabrikant van dat product zijn activiteiten heeft stopgezet en daardoor niet in staat is aan de verplichtingen van deze verordening te voldoen, stelt de distributeur de betrokken markttoezichtautoriteiten in kennis van deze situatie, alsook, met alle beschikbare middelen en voor zover mogelijk, de gebruikers van de producten met digitale elementen die in de handel zijn gebracht.

Artikel 15

Gevallen waarin de verplichtingen van fabrikanten van toepassing zijn op importeurs en distributeurs

Een importeur of distributeur wordt voor de toepassing van deze verordening als een fabrikant beschouwd en moet aan de in artikel 10 en artikel 11, leden 1, 2, 4 en 7, vermelde verplichtingen van de fabrikant voldoen wanneer die importeur of distributeur een product met digitale elementen onder zijn naam of merknaam in de handel brengt of een ingrijpende wijziging uitvoert aan het reeds in de handel gebrachte product met digitale elementen.

Artikel 16

Andere gevallen waarin de verplichtingen van fabrikanten van toepassing zijn

Een andere natuurlijke of rechtspersoon dan de fabrikant, de importeur of de distributeur die een ingrijpende wijziging uitvoert aan het product met digitale elementen, wordt voor de toepassing van deze verordening als fabrikant beschouwd.

Die persoon moet aan de in artikel 10 en artikel 11, leden 1, 2, 4 en 7, vermelde verplichtingen van de fabrikant voldoen voor het deel van het product waarop de ingrijpende wijziging betrekking heeft of, indien de ingrijpende wijziging gevolgen heeft voor de cyberbeveiliging van het product met digitale elementen als geheel, voor het gehele product.

Artikel 17

Identificatie van marktdeelnemers

1. Marktdeelnemers verstrekken de markttoezichtautoriteiten op verzoek en indien de informatie beschikbaar is, de volgende informatie:

(a)naam en adres van alle marktdeelnemers die hun een product met digitale elementen hebben geleverd;

(b)naam en adres van alle marktdeelnemers aan wie zij een product met digitale elementen hebben geleverd.

2. Marktdeelnemers moeten de in lid 1 bedoelde informatie kunnen verstrekken tot tien jaar nadat het product met digitale elementen bij hen is geleverd, en tot tien jaar nadat zij het product met digitale elementen hebben geleverd.

HOOFDSTUK III

CONFORMITEIT VAN HET PRODUCT MET DIGITALE ELEMENTEN

Artikel 18

Vermoeden van conformiteit

1. Producten met digitale elementen en processen die door de fabrikant zijn ingesteld en in overeenstemming zijn met geharmoniseerde normen of delen daarvan waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de essentiële eisen die door die normen of delen daarvan worden bestreken, zoals beschreven in bijlage I.

2. Producten met digitale elementen en processen die door de fabrikant zijn ingesteld en in overeenstemming zijn met de in artikel 19 bedoelde gemeenschappelijke specificaties, worden geacht in overeenstemming te zijn met de in bijlage I beschreven essentiële eisen, voor zover die eisen door die gemeenschappelijke specificaties worden bestreken.

3. Producten met digitale elementen en processen die door de fabrikant zijn ingesteld en waarvoor een EU-conformiteitsverklaring of -certificaat is afgegeven in het kader van een krachtens Verordening (EU) 2019/881 vastgestelde en overeenkomstig lid 4 gespecificeerde Europese cyberbeveiligingscertificeringsregeling, worden geacht in overeenstemming te zijn met de in bijlage I beschreven essentiële eisen, voor zover die eisen door de EU-conformiteitsverklaring of het cyberbeveiligingscertificaat, of delen daarvan, worden bestreken.

4. De Commissie is bevoegd om door middel van uitvoeringshandelingen de krachtens Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregelingen te specificeren die kunnen worden gebruikt om de conformiteit met de in bijlage I beschreven essentiële eisen of delen daarvan aan te tonen. Bovendien specificeert de Commissie, indien van toepassing, of door een op grond van dergelijke regelingen afgegeven cyberbeveiligingscertificaat de verplichting van een fabrikant om een conformiteitsbeoordeling door derden te laten verrichten voor de overeenkomstige eisen, zoals uiteengezet in artikel 24, lid 2, punten a) en b), en lid 3, punten a) en b), vervalt. Die uitvoeringshandelingen worden overeenkomstig de in artikel 51, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 19

Gemeenschappelijke specificaties

Wanneer er geen geharmoniseerde normen als bedoeld in artikel 18 bestaan of wanneer de Commissie van oordeel is dat de desbetreffende geharmoniseerde normen niet volstaan om aan de eisen van deze verordening of aan het normalisatieverzoek van de Commissie te voldoen, of wanneer de normalisatieprocedure te veel vertraging oploopt of wanneer het verzoek van de Commissie om geharmoniseerde normen niet door de Europese normalisatieorganisaties is aanvaard, is de Commissie bevoegd om door middel van uitvoeringshandelingen gemeenschappelijke specificaties vast te stellen met betrekking tot de essentiële eisen van bijlage I. Die uitvoeringshandelingen worden overeenkomstig de in artikel 51, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 20

EU-conformiteitsverklaring

1. De EU-conformiteitsverklaring wordt door fabrikanten opgesteld overeenkomstig artikel 10, lid 7, en vermeldt dat is aangetoond dat aan de toepasselijke essentiële eisen van bijlage I is voldaan.

2. De EU-conformiteitsverklaring komt qua structuur overeen met het model in bijlage IV en bevat de in de desbetreffende conformiteitsbeoordelingsprocedures van bijlage VI vermelde elementen. Een dergelijke verklaring wordt voortdurend bijgewerkt. Zij wordt beschikbaar gesteld in de taal of talen zoals voorgeschreven door de lidstaat waar het product met digitale elementen in de handel wordt gebracht of op de markt wordt aangeboden.

3. Wanneer voor een product met digitale elementen uit hoofde van meer dan één handeling van de Unie een EU-conformiteitsverklaring vereist is, wordt één EU-conformiteitsverklaring met betrekking tot al die handelingen van de Unie opgesteld. In die verklaring worden de betrokken handelingen van de Unie vermeld, met inbegrip van de publicatiereferenties ervan.

4. Met het opstellen van de EU-conformiteitsverklaring neemt de fabrikant de verantwoordelijkheid voor de conformiteit van het product op zich.

5. De Commissie is bevoegd overeenkomstig artikel 50 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door elementen toe te voegen aan de minimaal vereiste inhoud van de EU-conformiteitsverklaring in bijlage IV om rekening te houden met technologische ontwikkelingen.

Artikel 21

Algemene beginselen van de CE-markering

De in artikel 3, punt 32, bedoelde CE-markering is onderworpen aan de algemene beginselen van artikel 30 van Verordening (EG) nr. 765/2008.

Artikel 22

Regels en voorwaarden voor het aanbrengen van de CE-markering

1. De CE-markering wordt zichtbaar, leesbaar en onuitwisbaar op het product met digitale elementen aangebracht. Wanneer dit gezien de aard van het product met digitale elementen niet mogelijk of gerechtvaardigd is, wordt de markering aangebracht op de verpakking en op de in artikel 20 bedoelde EU-conformiteitsverklaring die het product met digitale elementen vergezelt. Voor producten met digitale elementen in de vorm van software wordt de CE-markering aangebracht hetzij op de in artikel 20 bedoelde EU-conformiteitsverklaring, hetzij op de website die bij het softwareproduct hoort.

2. Gezien de aard van het product met digitale elementen mag de hoogte van de CE-markering die op het product met digitale elementen wordt aangebracht, minder dan 5 mm bedragen, mits de markering zichtbaar en leesbaar blijft.

3. De CE-markering wordt aangebracht voordat het product met digitale elementen in de handel wordt gebracht. Het kan worden gevolgd door een pictogram of een ander merkteken dat wijst op een bijzonder risico of gebruik, zoals bepaald in de in lid 6 bedoelde uitvoeringshandelingen.

4. De CE-markering wordt gevolgd door het identificatienummer van de aangemelde instantie, indien die instantie betrokken is bij de conformiteitsbeoordelingsprocedure op basis van volledige kwaliteitsborging (op basis van module H) als bedoeld in artikel 24.

Het identificatienummer van de aangemelde instantie wordt aangebracht door die instantie zelf dan wel overeenkomstig haar instructies door de fabrikant of diens gemachtigde vertegenwoordiger.

5. De lidstaten bouwen voort op bestaande mechanismen om de correcte toepassing van de regeling inzake de CE-markering te waarborgen en nemen passende maatregelen in geval van oneigenlijk gebruik van die markering. Indien het product met digitale elementen onderworpen is aan andere wetgeving van de Unie die ook voorziet in het aanbrengen van de CE-markering, geeft de CE-markering aan dat het product ook aan de eisen van die andere wetgeving voldoet.

6. De Commissie kan door middel van uitvoeringshandelingen technische specificaties vaststellen voor pictogrammen of andere merktekens die verband houden met de beveiliging van producten met digitale elementen, alsmede mechanismen om het gebruik ervan te bevorderen. Die uitvoeringshandelingen worden overeenkomstig de in artikel 51, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 23

Technische documentatie

1. De technische documentatie bevat alle relevante gegevens of bijzonderheden over de middelen die de fabrikant gebruikt om ervoor te zorgen dat het product met digitale elementen en de door de fabrikant ingestelde processen aan de essentiële eisen van bijlage I voldoen. De technische documentatie bevat ten minste de in bijlage V vermelde elementen.

2. De technische documentatie wordt opgesteld voordat het product met digitale elementen in de handel wordt gebracht en wordt in voorkomend geval voortdurend bijgewerkt tijdens de verwachte levensduur van het product of gedurende een periode van vijf jaar nadat een product met digitale elementen in de handel is gebracht, indien dat korter is.

3. Voor producten met digitale elementen als bedoeld in artikel 8 en artikel 24, lid 4, die ook onder andere handelingen van de Unie vallen, wordt één set van technische documentatie opgesteld die de in bijlage V bij deze verordening bedoelde informatie en de bij die respectieve handelingen van de Unie vereiste informatie bevat.

4. De technische documentatie en de correspondentie met betrekking tot een conformiteitsbeoordelingsprocedure worden gesteld in een officiële taal van de lidstaat waar de aangemelde instantie is gevestigd of in een voor die instantie aanvaardbare taal.

5. De Commissie is bevoegd overeenkomstig artikel 50 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de elementen die moeten worden opgenomen in de in bijlage V vermelde technische documentatie, teneinde rekening te houden met technologische ontwikkelingen en ontwikkelingen die zich tijdens het uitvoeringsproces van deze verordening voordoen.

Artikel 24

Conformiteitsbeoordelingsprocedures voor product met digitale elementen

1. De fabrikant voert een conformiteitsbeoordeling uit van het product met digitale elementen en van de processen die de fabrikant heeft ingesteld, om te bepalen of aan de essentiële eisen van bijlage I is voldaan. De fabrikant of diens gemachtigde vertegenwoordiger moet de conformiteit met de essentiële eisen aantonen aan de hand van een van de volgende procedures:

(a)de procedure voor interne controle (op basis van module A) van bijlage VI; of

(b)de procedure voor EU-typeonderzoek (op basis van module B) van bijlage VI, gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (op basis van module C) zoals beschreven in bijlage VI; of

(c)conformiteitsbeoordeling op basis van volledige kwaliteitsborging (op basis van module H) zoals beschreven in bijlage VI.

2. Wanneer de fabrikant of diens gemachtigde vertegenwoordiger bij de beoordeling van de conformiteit van het kritieke product met digitale elementen van klasse I zoals vastgesteld in bijlage III en van de door de fabrikant ingestelde processen met de essentiële eisen van bijlage I, geen geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen als bedoeld in artikel 18 heeft toegepast of slechts gedeeltelijk heeft toegepast, of indien dergelijke geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen niet bestaan, worden het betrokken product met digitale elementen en de door de fabrikant ingestelde processen met betrekking tot die essentiële eisen aan een van de volgende procedures onderworpen:

(a)de procedure voor EU-typeonderzoek (op basis van module B) van bijlage VI, gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (op basis van module C) zoals beschreven in bijlage VI; of

(b)conformiteitsbeoordeling op basis van volledige kwaliteitsborging (op basis van module H) zoals beschreven in bijlage VI.

3. Indien het product een kritiek product met digitale elementen van klasse II is zoals beschreven in bijlage III, toont de fabrikant of diens gemachtigde vertegenwoordiger de conformiteit met de essentiële eisen van bijlage I aan door middel van een van de volgende procedures:

(a)de procedure voor EU-typeonderzoek (op basis van module B) van bijlage VI, gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (op basis van module C) zoals beschreven in bijlage VI; of

(b)conformiteitsbeoordeling op basis van volledige kwaliteitsborging (op basis van module H) zoals beschreven in bijlage VI.

4. Fabrikanten van producten met digitale elementen die binnen het toepassingsgebied van Verordening [verordening betreffende de Europese ruimte voor gezondheidsgegevens] als EPD-systemen worden aangemerkt, tonen aan dat zij voldoen aan de essentiële eisen van bijlage I bij deze verordening door middel van de desbetreffende conformiteitsbeoordelingsprocedure zoals vereist bij Verordening [hoofdstuk III van de verordening betreffende de Europese ruimte voor gezondheidsgegevens].

5. Aangemelde instanties houden bij het vaststellen van de vergoedingen voor conformiteitsbeoordelingsprocedures rekening met de specifieke belangen en behoeften van kleine en middelgrote ondernemingen (kmo’s) en verlagen die vergoedingen in verhouding tot hun specifieke belangen en behoeften.

HOOFDSTUK IV

AANMELDING VAN CONFORMITEITSBEOORDELINGSINSTANTIES

Artikel 25

Aanmelding

De lidstaten stellen de Commissie en de andere lidstaten in kennis van de conformiteitsbeoordelingsinstanties die bevoegd zijn om conformiteitsbeoordelingen overeenkomstig deze verordening te verrichten.

Artikel 26

Aanmeldende autoriteiten

1. De lidstaten wijzen een aanmeldende autoriteit aan die verantwoordelijk is voor de instelling en uitvoering van de nodige procedures voor de beoordeling en aanmelding van conformiteitsbeoordelingsinstanties en het toezicht op de aangemelde instanties, met inbegrip van de naleving van artikel 31.

2. De lidstaten kunnen besluiten dat de beoordeling en het toezicht als bedoeld in lid 1 moeten worden uitgevoerd door een nationale accreditatie-instantie in de zin van en overeenkomstig Verordening (EG) nr. 765/2008.

Artikel 27

Eisen met betrekking tot aanmeldende autoriteiten

1.Een aanmeldende autoriteit is zodanig opgericht dat zich geen belangenconflicten met conformiteitsbeoordelingsinstanties voordoen.

2.Een aanmeldende autoriteit wordt zodanig georganiseerd en functioneert zodanig dat de objectiviteit en onpartijdigheid van haar activiteiten gewaarborgd zijn.

3.Aanmeldende autoriteiten worden zodanig georganiseerd dat elk besluit in verband met de aanmelding van een conformiteitsbeoordelingsinstantie wordt genomen door bekwame personen die de beoordeling niet hebben verricht.

4.Een aanmeldende autoriteit biedt of verricht geen activiteiten die worden uitgevoerd door conformiteitsbeoordelingsinstanties, en verleent geen adviezen op commerciële of concurrentiële basis.

5.Een aanmeldende autoriteit waarborgt dat de verkregen informatie vertrouwelijk wordt behandeld.

6.Een aanmeldende autoriteit beschikt over een voldoende aantal bekwame personeelsleden om haar taken naar behoren uit te voeren.

Artikel 28

Informatieverplichting voor aanmeldende autoriteiten

1. De lidstaten brengen de Commissie op de hoogte van hun procedures voor de beoordeling en aanmelding van conformiteitsbeoordelingsinstanties en voor het toezicht op aangemelde instanties, en van alle wijzigingen daarop.

2. De Commissie maakt deze informatie openbaar.

Artikel 29

Eisen met betrekking tot aangemelde instanties

1. Om te kunnen worden aangemeld, moeten conformiteitsbeoordelingsinstanties aan de eisen van de leden 2 tot en met 12 voldoen.

2. Een conformiteitsbeoordelingsinstantie is naar intern recht opgericht en heeft rechtspersoonlijkheid.

3. Een conformiteitsbeoordelingsinstantie is een derde partij die onafhankelijk is van de door haar beoordeelde organisaties of producten.

Een instantie die lid is van een ondernemersorganisatie of van een beroepsvereniging die ondernemingen vertegenwoordigt die betrokken zijn bij het ontwerp, de ontwikkeling, de productie, de levering, de assemblage, het gebruik of het onderhoud van producten met digitale elementen die zij beoordeelt, kan als een dergelijke instantie worden beschouwd, op voorwaarde dat haar onafhankelijkheid en de afwezigheid van belangenconflicten worden aangetoond.

4. Een conformiteitsbeoordelingsinstantie, haar hoogste leidinggevenden en de medewerkers die de conformiteitsbeoordelingstaken verrichten, mogen niet de ontwerper, fabrikant, leverancier, installateur, koper, eigenaar, gebruiker of onderhouder zijn van de producten met digitale elementen die worden beoordeeld, noch de gemachtigde vertegenwoordiger van één van die partijen. Dat belet echter niet het gebruik van beoordeelde producten die nodig zijn voor de activiteiten van de conformiteitsbeoordelingsinstantie of voor het gebruik van dergelijke producten voor persoonlijke doeleinden.

Een conformiteitsbeoordelingsinstantie, haar hoogste leidinggevenden en de medewerkers die de conformiteitsbeoordelingstaken verrichten, zijn noch rechtstreeks noch als vertegenwoordiger van de partijen betrokken bij het ontwerpen, ontwikkelen, vervaardigen, op de markt brengen, installeren, gebruiken of onderhouden van die producten. Zij verrichten geen activiteiten die hun onafhankelijk oordeel of integriteit in het gedrang kunnen brengen met betrekking tot de conformiteitsbeoordelingswerkzaamheden waarvoor zij zijn aangemeld. Dit geldt met name voor adviesdiensten.

Conformiteitsbeoordelingsinstanties zorgen ervoor dat de activiteiten van hun dochterondernemingen of onderaannemers geen afbreuk doen aan de vertrouwelijkheid, objectiviteit of onpartijdigheid van hun conformiteitsbeoordelingswerkzaamheden.

5. Conformiteitsbeoordelingsinstanties en hun personeel voeren conformiteitsbeoordelingswerkzaamheden uit met de grootste mate van beroepsintegriteit en met de vereiste technische bekwaamheid op het specifieke gebied en zijn vrij van elke druk en beïnvloeding, met name van financiële aard, die hun oordeel of de resultaten van hun conformiteitsbeoordelingswerkzaamheden zouden kunnen beïnvloeden, in het bijzonder te aanzien van personen of groepen van personen die belang hebben bij de resultaten van deze activiteiten.

6. Een conformiteitsbeoordelingsinstantie is in staat alle in bijlage VI bedoelde conformiteitsbeoordelingstaken te verrichten waarvoor zij is aangemeld, ongeacht of die taken door de conformiteitsbeoordelingsinstantie zelf dan wel namens haar en onder haar verantwoordelijkheid worden verricht.

Een conformiteitsbeoordelingsinstantie beschikt te allen tijde, voor elke conformiteitsbeoordelingsprocedure en voor elke soort of elke categorie producten met digitale elementen waarvoor zij is aangemeld, over:

(a)personeel met technische kennis en voldoende geschikte ervaring om de conformiteitsbeoordelingstaken te verrichten;

(b)beschrijvingen van de procedures voor de uitvoering van de conformiteitsbeoordeling, waarbij de transparantie en de mogelijkheid tot reproductie van deze procedures worden gewaarborgd. Zij beschikt over passend beleid en geschikte procedures om een onderscheid te maken tussen taken die zij als aangemelde instantie verricht en andere werkzaamheden;

(c)procedures voor de uitoefening van haar werkzaamheden, die naar behoren rekening houden met de omvang van een onderneming, de sector waarin deze actief is, de structuur ervan, de relatieve complexiteit van de technologie van het betrokken product en het massa- of seriële karakter van het productieproces.

Zij heeft de nodige middelen om de technische en administratieve taken in verband met de conformiteitsbeoordelingswerkzaamheden op passende wijze uit te voeren en heeft toegang tot alle vereiste apparatuur of faciliteiten.

7. Het voor de uitvoering van de conformiteitsbeoordelingswerkzaamheden verantwoordelijke personeel beschikt over:

(a)een gedegen technische en beroepsopleiding die alle relevante conformiteitsbeoordelingswerkzaamheden omvat waarvoor de conformiteitsbeoordelingsinstantie is aangemeld;

(b)toereikende kennis van de eisen inzake de beoordelingen die zij verrichten en voldoende bevoegdheid om die beoordelingen uit te voeren;

(c)voldoende kennis van en inzicht in de essentiële eisen, de toepasselijke geharmoniseerde normen en de relevante bepalingen van de harmonisatiewetgeving van de Unie en de uitvoeringshandelingen daarvan;

(d)de bekwaamheid om certificaten, dossiers en rapporten op te stellen die aantonen dat de beoordelingen zijn verricht.

8. De onpartijdigheid van de conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden en het beoordelingspersoneel moet worden gewaarborgd.

De beloning van de hoogste leidinggevenden en het beoordelingspersoneel van een conformiteitsbeoordelingsinstantie hangt niet af van het aantal uitgevoerde beoordelingen of van de resultaten daarvan.

9. Conformiteitsbeoordelingsinstanties sluiten een aansprakelijkheidsverzekering af, tenzij aansprakelijkheid op grond van het interne recht door de lidstaat wordt gedekt of de lidstaat zelf rechtstreeks verantwoordelijk is voor de conformiteitsbeoordeling.

10. Het personeel van een conformiteitsbeoordelingsinstantie is gebonden aan het beroepsgeheim ten aanzien van alle informatie waarvan het kennisneemt bij de uitoefening van de taken uit hoofde van bijlage VI of van bepalingen van het interne recht die daaraan uitvoering geven, behalve ten aanzien van de markttoezichtautoriteiten van de lidstaat waar de activiteiten plaatsvinden. De eigendomsrechten worden beschermd. De conformiteitsbeoordelingsinstantie beschikt over gedocumenteerde procedures om de naleving van dit lid te waarborgen.

11. Conformiteitsbeoordelingsinstanties nemen deel aan, of zorgen ervoor dat hun beoordelingspersoneel op de hoogte is van de desbetreffende normalisatieactiviteiten en de activiteiten van de uit hoofde van artikel 40 opgerichte coördinatiegroep van aangemelde instanties, en hanteren de door die groep genomen administratieve beslissingen en geproduceerde documenten als algemene richtsnoeren.

12. Conformiteitsbeoordelingsinstanties handelen overeenkomstig een reeks consistente, billijke en redelijke voorwaarden, waarbij met name rekening wordt gehouden met de belangen van kleine en middelgrote ondernemingen met betrekking tot vergoedingen.

Artikel 30

Vermoeden van conformiteit van aangemelde instanties

Wanneer een conformiteitsbeoordelingsinstantie aantoont dat zij voldoet aan de criteria die zijn vastgelegd in de ter zake doende geharmoniseerde normen of delen daarvan, waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, wordt zij geacht aan de in artikel 29 beschreven eisen te voldoen, voor zover deze eisen door de van toepassing zijnde geharmoniseerde normen worden bestreken.

Artikel 31

Dochterondernemingen van en uitbesteding door aangemelde instanties

1. Wanneer een aangemelde instantie specifieke taken in verband met de conformiteitsbeoordeling uitbesteedt of door een dochteronderneming laat uitvoeren, waarborgt zij dat de onderaannemer of dochteronderneming aan de in artikel 29 beschreven eisen voldoet, en brengt zij de aanmeldende autoriteit hiervan op de hoogte.

2. Aangemelde instanties nemen de volledige verantwoordelijkheid op zich voor de taken die worden verricht door onderaannemers of dochterondernemingen, ongeacht waar deze gevestigd zijn.

3. Activiteiten mogen uitsluitend met instemming van de fabrikant worden uitbesteed of door een dochteronderneming worden uitgevoerd.

4. Aangemelde instanties houden de relevante documenten over de beoordeling van de kwalificaties van de onderaannemer of de dochteronderneming en over de door de onderaannemer of dochteronderneming krachtens deze verordening uitgevoerde werkzaamheden ter beschikking van de aanmeldende autoriteit.

Artikel 32

Verzoek om aanmelding

1. Een conformiteitsbeoordelingsinstantie dient een verzoek om aanmelding in bij de aanmeldende autoriteit van de lidstaat waar zij is gevestigd.

2. Het verzoek om aanmelding gaat vergezeld van een beschrijving van de conformiteitsbeoordelingswerkzaamheden, de conformiteitsbeoordelingsprocedures en het product of de producten waarvoor de conformiteitsbeoordelingsinstantie verklaart bekwaam te zijn en, indien dit bestaat, van een accreditatiecertificaat dat is afgegeven door een nationale accreditatie-instantie, waarin wordt verklaard dat de conformiteitsbeoordelingsinstantie voldoet aan de eisen van artikel 29.

3. Wanneer de betrokken conformiteitsbeoordelingsinstantie geen accreditatiecertificaat kan overleggen, verschaft zij de aanmeldende autoriteit alle bewijsstukken die nodig zijn om de naleving van de eisen van artikel 29 te onderzoeken, te erkennen en regelmatig te monitoren.

Artikel 33

Aanmeldingsprocedure

1. Aanmeldende autoriteiten mogen uitsluitend conformiteitsbeoordelingsinstanties aanmelden die aan de eisen van artikel 29 voldoen.

2. De aanmeldende autoriteit stelt de Commissie en de andere lidstaten in kennis van het door de Commissie ontwikkelde en beheerde Nando-informatiesysteem (New Approach Notified and Designated Organisations).

3. Bij de aanmelding worden de conformiteitsbeoordelingsactiviteiten, de conformiteitsbeoordelingsmodules, de betrokken producten en het relevante bekwaamheidsattest uitvoerig beschreven.

4. Wanneer een aanmelding niet is gebaseerd op een accreditatiecertificaat als bedoeld in artikel 32, lid 2, verschaft de aanmeldende autoriteit de Commissie en de andere lidstaten de bewijsstukken waaruit de bekwaamheid van de conformiteitsbeoordelingsinstantie blijkt, evenals de regeling die waarborgt dat de instantie regelmatig wordt gecontroleerd en zal blijven voldoen aan de eisen van artikel 29.

5. De betrokken instantie mag de activiteiten van een aangemelde instantie alleen verrichten als de Commissie of de andere lidstaten geen bezwaren hebben ingediend binnen twee weken na een aanmelding indien een accreditatiecertificaat wordt gebruikt of binnen twee maanden na een aanmelding indien geen accreditatiecertificaat wordt gebruikt.

Alleen een dergelijke instantie wordt voor de toepassing van deze verordening als een aangemelde instantie beschouwd.

6. De Commissie en de andere lidstaten worden in kennis gesteld van alle relevante latere wijzigingen in de aanmelding.

Artikel 34

Identificatienummers en lijsten van aangemelde instanties

1. De Commissie kent de aangemelde instantie een identificatienummer toe.

Zij kent per instantie slechts één nummer toe, ook als de instantie uit hoofde van diverse handelingen van de Unie is aangemeld.

2. De Commissie maakt de lijst van krachtens deze verordening aangemelde instanties openbaar, onder vermelding van de hun toegekende identificatienummers en de activiteiten waarvoor zij zijn aangemeld.

De Commissie zorgt ervoor dat de lijst actueel blijft.

Artikel 35

Wijzigingen in de aanmelding

1. Als de aanmeldende autoriteit tot de conclusie komt of heeft vernomen dat een aangemelde instantie niet meer aan de eisen van artikel 29 voldoet of haar verplichtingen niet nakomt, wordt de aanmelding door de aanmeldende autoriteit beperkt, geschorst of ingetrokken, afhankelijk van de ernst van het niet-voldoen aan die eisen of het niet-nakomen van die verplichtingen. Zij brengt daar de Commissie en de andere lidstaten onmiddellijk van op de hoogte.

2. Wanneer de aanmelding wordt beperkt, geschorst of ingetrokken, of de aangemelde instantie haar activiteiten heeft gestaakt, doet de aanmeldende lidstaat het nodige om ervoor te zorgen dat de dossiers van die instantie hetzij door een andere aangemelde instantie worden verwerkt, hetzij aan de verantwoordelijke aanmeldende en markttoezichtautoriteiten op hun verzoek ter beschikking kunnen worden gesteld.

Artikel 36

Betwisting van de bekwaamheid van aangemelde instanties

1. De Commissie onderzoekt alle gevallen waarin zij twijfelt of in kennis wordt gesteld van twijfels over de bekwaamheid van een aangemelde instantie of over de vraag of een aangemelde instantie nog aan de eisen voldoet en haar verantwoordelijkheden nakomt.

2. De aanmeldende lidstaat verstrekt de Commissie op verzoek alle informatie over de grondslag van de aanmelding of de handhaving van de bekwaamheid van de betrokken instantie.

3. De Commissie ziet erop toe dat alle gevoelige informatie die zij in de loop van haar onderzoeken ontvangt, vertrouwelijk wordt behandeld.

4. Wanneer de Commissie vaststelt dat een aangemelde instantie niet of niet meer aan de aanmeldingseisen voldoet, brengt zij de aanmeldende lidstaat daarvan op de hoogte en verzoekt zij deze lidstaat de nodige corrigerende maatregelen te nemen en zo nodig de aanmelding in te trekken.

Artikel 37

Operationele verplichtingen van aangemelde instanties

1. Aangemelde instanties voeren conformiteitsbeoordelingen uit volgens de conformiteitsbeoordelingsprocedures van artikel 24 en bijlage VI.

2. De conformiteitsbeoordelingen worden op evenredige wijze uitgevoerd, waarbij wordt voorkomen dat de marktdeelnemers onnodig worden belast. Conformiteitsbeoordelingsinstanties houden bij de uitoefening van hun werkzaamheden naar behoren rekening met de omvang van een onderneming, de sector waarin deze actief is, de structuur ervan, de relatieve complexiteit van de technologie van het betrokken product en het massa- of seriële karakter van het productieproces.

3. Aangemelde instanties nemen echter de striktheid en het beveiligingsniveau in acht die vereist zijn om ervoor te zorgen dat het product aan de bepalingen van de verordening voldoet.

4. Wanneer een aangemelde instantie vaststelt dat een fabrikant niet heeft voldaan aan de eisen in bijlage I of in de overeenkomstige geharmoniseerde normen of in de gemeenschappelijke specificaties als bedoeld in artikel 19, verlangt zij van die fabrikant dat hij passende corrigerende maatregelen neemt en geeft zij geen conformiteitscertificaat af.

5. Wanneer een aangemelde instantie bij het toezicht op de conformiteit na de afgifte van een certificaat vaststelt dat een product niet langer aan de eisen van deze verordening voldoet, verlangt zij van de fabrikant dat hij passende corrigerende maatregelen neemt en schorst zij het certificaat zo nodig of trekt zij het certificaat in.

6. Wanneer geen corrigerende maatregelen worden genomen of de genomen maatregelen niet het vereiste effect hebben, worden de certificaten door de aangemelde instantie naargelang van het geval beperkt, opgeschort of ingetrokken.

Artikel 38

Informatieverplichtingen voor aangemelde instanties

1. Aangemelde instanties brengen de aanmeldende autoriteit op de hoogte van:

(a)elke weigering, beperking, opschorting of intrekking van een certificaat;

(b)omstandigheden die van invloed zijn op het toepassingsgebied van en de voorwaarden voor de aanmelding;

(c)verzoeken om informatie over conformiteitsbeoordelingsactiviteiten die zij van markttoezichtautoriteiten ontvangen;

(d)op verzoek, de binnen het toepassingsgebied van hun aanmelding verrichte conformiteitsbeoordelingsactiviteiten en andere activiteiten, waaronder grensoverschrijdende activiteiten en uitbestede activiteiten.

2. Aangemelde instanties verstrekken de andere uit hoofde van deze verordening aangemelde instanties die soortgelijke conformiteitsbeoordelingsactiviteiten voor dezelfde producten verrichten, relevante informatie over negatieve conformiteitsbeoordelingsresultaten, en op verzoek over positieve conformiteitsbeoordelingsresultaten.

Artikel 39

Uitwisseling van ervaringen

De Commissie organiseert de uitwisseling van ervaringen tussen de nationale autoriteiten van de lidstaten die verantwoordelijk zijn voor het aanmeldingsbeleid.

Artikel 40

Coördinatie van aangemelde instanties

1. De Commissie zorgt voor passende coördinatie en samenwerking tussen aangemelde instanties in de vorm van een sectoroverschrijdende groep van aangemelde instanties.

2. De lidstaten zorgen ervoor dat de door hen aangemelde instanties rechtstreeks of via aangestelde vertegenwoordigers aan de werkzaamheden van die groep deelnemen.

HOOFDSTUK V

MARKTTOEZICHT EN HANDHAVING

Artikel 41

Markttoezicht op en controle van producten met digitale elementen op de markt van de Unie

1. Verordening (EU) 2019/1020 is van toepassing op de producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen.

2. Elke lidstaat wijst een of meer markttoezichtautoriteiten aan om de doeltreffende uitvoering van deze verordening te waarborgen. De lidstaten kunnen een bestaande of nieuwe autoriteit aanwijzen om voor deze verordening als markttoezichtautoriteit op te treden.

3. In voorkomend geval werken de markttoezichtautoriteiten samen met de krachtens artikel 58 van Verordening (EU) 2019/881 aangewezen cyberbeveiligingscertificeringsautoriteiten en wisselen zij regelmatig informatie uit. Met betrekking tot het toezicht op de uitvoering van de rapportageverplichtingen uit hoofde van artikel 11 van deze verordening werken de aangewezen markttoezichtautoriteiten samen met Enisa.

4. In voorkomend geval werken de markttoezichtautoriteiten samen met andere markttoezichtautoriteiten die op basis van andere harmonisatiewetgeving van de Unie voor andere producten zijn aangewezen, en wisselen zij regelmatig informatie uit.

5. De markttoezichtautoriteiten werken in voorkomend geval samen met de autoriteiten die toezicht houden op de wetgeving inzake gegevensbescherming van de Unie. Deze samenwerking omvat het informeren van deze autoriteiten over bevindingen die relevant zijn voor de uitoefening van hun bevoegdheden, onder meer bij het verstrekken van richtsnoeren en advies overeenkomstig lid 8 van dit artikel, indien die richtsnoeren en adviezen betrekking hebben op de verwerking van persoonsgegevens.

De autoriteiten die toezicht houden op de wetgeving inzake gegevensbescherming van de Unie hebben de bevoegdheid om alle krachtens deze verordening gecreëerde of bewaarde documentatie op te vragen en in te zien wanneer toegang tot die documentatie noodzakelijk is voor de uitvoering van hun taken. Zij stellen de aangewezen markttoezichtautoriteiten van de betrokken lidstaat in kennis van een dergelijk verzoek.

6. De lidstaten zorgen ervoor dat de aangewezen markttoezichtautoriteiten over voldoende financiële en personele middelen beschikken om hun taken uit hoofde van deze verordening uit te voeren.

7. De Commissie bevordert de uitwisseling van ervaringen tussen de aangewezen markttoezichtautoriteiten.

8. Markttoezichtautoriteiten kunnen marktdeelnemers richtsnoeren en advies verstrekken over de uitvoering van deze verordening, met de steun van de Commissie.

9. De markttoezichtautoriteiten brengen jaarlijks verslag uit aan de Commissie over de resultaten van relevante markttoezichtactiviteiten. De aangewezen markttoezichtautoriteiten brengen onverwijld verslag uit aan de Commissie en de betrokken nationale mededingingsautoriteiten over alle tijdens markttoezichtactiviteiten verkregen informatie die potentieel van belang kan zijn voor de toepassing van het mededingingsrecht van de Unie.

10. Voor producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen en overeenkomstig artikel [artikel 6] van Verordening [de AI-verordening] als AI-systemen met een hoog risico worden aangemerkt, zijn de voor de toepassing van Verordening [de AI-verordening] aangewezen markttoezichtautoriteiten de autoriteiten die belast zijn met het markttoezicht uit hoofde van deze verordening. De krachtens Verordening [de AI-verordening] aangewezen markttoezichtautoriteiten werken in voorkomend geval samen met de krachtens deze verordening aangewezen markttoezichtautoriteiten en, met betrekking tot het toezicht op de uitvoering van de rapportageverplichtingen uit hoofde van artikel 11, met Enisa. De krachtens Verordening [de AI-verordening] aangewezen markttoezichtautoriteiten stellen met name de krachtens deze verordening aangewezen markttoezichtautoriteiten in kennis van alle bevindingen die relevant zijn voor hun taken in verband met de uitvoering van deze verordening.

11. Voor de uniforme toepassing van deze verordening wordt overeenkomstig artikel 30, lid 2, van Verordening (EU) 2019/1020 een speciale administratievesamenwerkingsgroep (ADCO) opgericht. Deze ADCO bestaat uit vertegenwoordigers van de aangewezen markttoezichtautoriteiten en, indien relevant, vertegenwoordigers van verbindingsbureaus.

Artikel 42

Toegang tot gegevens en documentatie

Indien dat nodig is om de conformiteit van producten met digitale elementen en de door de fabrikanten ervan ingestelde processen met de essentiële eisen van bijlage I te beoordelen, krijgen de markttoezichtautoriteiten op een met redenen omkleed verzoek toegang tot de gegevens die nodig zijn om het ontwerp, de ontwikkeling, de productie en de respons op kwetsbaarheden van dergelijke producten te beoordelen, met inbegrip van de daarmee verband houdende interne documentatie van de desbetreffende marktdeelnemer.

Artikel 43

Procedure op nationaal niveau voor producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden

1. Indien de markttoezichtautoriteit van een lidstaat voldoende redenen heeft om aan te nemen dat een product met digitale elementen, met inbegrip van de respons op de kwetsbaarheden ervan, een significant cyberbeveiligingsrisico inhoudt, beoordeelt zij of het betrokken product met digitale elementen voldoet aan alle eisen van deze verordening. De desbetreffende marktdeelnemers werken zo nodig samen met de markttoezichtautoriteit.

Indien de markttoezichtautoriteit bij deze beoordeling vaststelt dat het product met digitale elementen niet aan de eisen van deze verordening voldoet, gelast zij de betrokken marktdeelnemer onverwijld alle passende corrigerende maatregelen te nemen om het product binnen een door haar vast te stellen redelijke termijn, die evenredig is met de aard van het risico, in overeenstemming te brengen met die eisen, uit de handel te nemen of terug te roepen.

De markttoezichtautoriteit stelt de betrokken aangemelde instantie daarvan in kennis. Artikel 18 van Verordening (EU) 2019/1020 is van toepassing op de passende corrigerende maatregelen.

2. Indien de markttoezichtautoriteit van mening is dat de non-conformiteit niet beperkt blijft tot haar nationale grondgebied, brengt zij de Commissie en de andere lidstaten op de hoogte van de resultaten van de beoordeling en van de maatregelen die zij de marktdeelnemer heeft opgelegd.

3. De fabrikant zorgt ervoor dat alle passende corrigerende maatregelen worden genomen ten aanzien van alle betrokken producten met digitale elementen hij in de Unie op de markt heeft aangeboden.

4. Indien de fabrikant van een product met digitale elementen geen doeltreffende corrigerende actie onderneemt binnen de in lid 1, tweede alinea, bedoelde termijn, neemt de markttoezichtautoriteit alle passende voorlopige maatregelen om het op haar nationale markt aanbieden van dat product te verbieden of te beperken, dan wel het product in de betrokken lidstaat uit de handel te nemen of terug te roepen.

Die autoriteit brengt de Commissie en de andere lidstaten onverwijld van deze maatregelen op de hoogte.

5. De in lid 4 bedoelde informatie omvat alle beschikbare bijzonderheden, met name de gegevens die nodig zijn om de non-conforme producten met digitale elementen te identificeren, de oorsprong van het product met digitale elementen, de aard van de beweerde non-conformiteit en van het risico, en de aard en de duur van de genomen nationale maatregelen, evenals de argumenten die worden aangevoerd door de desbetreffende marktdeelnemer. De markttoezichtautoriteit vermeldt met name of de non-conformiteit een of meer van de volgende redenen heeft:

(a)het product of de door de fabrikant ingestelde processen voldoen niet aan de essentiële eisen van bijlage I;

(b)tekortkomingen in de in artikel 18 bedoelde geharmoniseerde normen, cyberbeveiligingscertificeringsregelingen of gemeenschappelijke specificaties.

6. De andere markttoezichtautoriteiten van de lidstaten dan de markttoezichtautoriteit van de lidstaat die de procedure in gang heeft gezet, brengen de Commissie en de andere lidstaten onverwijld op de hoogte van door hen genomen maatregelen en van aanvullende informatie over de non-conformiteit van het betrokken product waarover zij beschikken, en van hun bezwaren indien zij het niet eens zijn met de aangemelde nationale maatregel.

7. Indien binnen drie maanden na ontvangst van de in lid 4 bedoelde informatie door een lidstaat of de Commissie geen bezwaar tegen een voorlopige maatregel van een lidstaat is ingediend, wordt die maatregel geacht gerechtvaardigd te zijn. Dit doet geen afbreuk aan de procedurele rechten van de betrokken marktdeelnemer overeenkomstig artikel 18 van Verordening (EU) 2019/1020.

8. De markttoezichtautoriteiten van alle lidstaten zorgen ervoor dat ten aanzien van het betrokken product onverwijld de passende beperkende maatregelen worden genomen, zoals het uit de handel nemen van het product op hun markt.

Artikel 44

Vrijwaringsprocedure van de Unie

1. Indien een lidstaat binnen drie maanden na ontvangst van de in artikel 43, lid 4, bedoelde kennisgeving bezwaar maakt tegen een door een andere lidstaat genomen maatregel of wanneer de Commissie de maatregel in strijd acht met de wetgeving van de Unie, treedt de Commissie onverwijld in overleg met de betrokken lidstaat en de marktdeelnemers en evalueert zij de nationale maatregel. Op grond van de resultaten van die evaluatie besluit de Commissie binnen negen maanden na ontvangst van de in artikel 43, lid 4, bedoelde kennisgeving of de nationale maatregel al dan niet gerechtvaardigd is en stelt zij de betrokken lidstaat in kennis van dat besluit.

2. Indien de nationale maatregel gerechtvaardigd wordt geacht, nemen alle lidstaten de nodige maatregelen om het non-conforme product met digitale elementen uit de handel te nemen en stellen zij de Commissie daarvan in kennis. Indien de nationale maatregel niet gerechtvaardigd wordt geacht, trekt de betrokken lidstaat de maatregel in.

3. Indien de nationale maatregel gerechtvaardigd wordt geacht en de non-conformiteit van het product met digitale elementen wordt toegeschreven aan tekortkomingen in de geharmoniseerde normen, past de Commissie de procedure van artikel 10 van Verordening (EU) nr. 1025/2012 toe.

4. Indien de nationale maatregel gerechtvaardigd wordt geacht en de non-conformiteit van het product met digitale elementen wordt toegeschreven aan tekortkomingen in een Europese cyberbeveiligingscertificeringsregeling als bedoeld in artikel 18, onderzoekt de Commissie of de uitvoeringshandeling als bedoeld in artikel 18, lid 4, die het vermoeden van conformiteit met betrekking tot die certificeringsregeling specificeert, moet worden gewijzigd of ingetrokken.

5. Indien de nationale maatregel gerechtvaardigd wordt geacht en de non-conformiteit van het product met digitale elementen wordt toegeschreven aan tekortkomingen in de gemeenschappelijke specificaties als bedoeld in artikel 19, onderzoekt de Commissie of de in artikel 19 bedoelde uitvoeringshandeling tot vaststelling van die gemeenschappelijke specificaties moet worden gewijzigd of ingetrokken.

Artikel 45

Procedure op EU-niveau voor producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden

1. Indien de Commissie voldoende redenen heeft om, onder meer op basis van door Enisa verstrekte informatie, aan te nemen dat een product met digitale elementen dat een significant cyberbeveiligingsrisico inhoudt, niet in overeenstemming is met de eisen van deze verordening, kan zij de betrokken markttoezichtautoriteiten verzoeken een conformiteitsbeoordeling uit te voeren en de in artikel 43 bedoelde procedures te volgen.

2. In uitzonderlijke omstandigheden die een onmiddellijk optreden rechtvaardigen om de goede werking van de interne markt te vrijwaren, en wanneer de Commissie voldoende redenen heeft om aan te nemen dat het in lid 1 bedoelde product nog steeds niet aan de eisen van deze verordening voldoet en de betrokken markttoezichtautoriteiten geen doeltreffende maatregelen hebben genomen, kan de Commissie Enisa verzoeken een conformiteitsbeoordeling uit te voeren. De Commissie stelt de betrokken markttoezichtautoriteiten daarvan in kennis. De desbetreffende marktdeelnemers werken zo nodig samen met Enisa.

3. Op basis van de beoordeling van Enisa kan de Commissie besluiten dat een corrigerende of beperkende maatregel op het niveau van de Unie noodzakelijk is. Daartoe raadpleegt zij onverwijld de betrokken lidstaten en marktdeelnemers.

4. Op basis van het in lid 3 bedoelde overleg kan de Commissie uitvoeringshandelingen vaststellen om te besluiten tot corrigerende of beperkende maatregelen op het niveau van de Unie, onder meer door te gelasten om binnen een redelijke termijn in verhouding tot de aard van het risico producten uit de handel te nemen of terug te roepen. Die uitvoeringshandelingen worden overeenkomstig de in artikel 51, lid 2, bedoelde onderzoeksprocedure vastgesteld.

5. De Commissie stelt de betrokken marktdeelnemers onmiddellijk in kennis van het in lid 4 bedoelde besluit. De lidstaten voeren de in lid 4 bedoelde handelingen onverwijld uit en stellen de Commissie daarvan in kennis.

6. De leden 2 tot en met 5 zijn van toepassing voor de duur van de uitzonderlijke situatie die het optreden van de Commissie rechtvaardigde en zolang het betrokken product niet in overeenstemming is gebracht met deze verordening.

Artikel 46

Conforme producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden

1. Wanneer de markttoezichtautoriteit van een lidstaat na uitvoering van een evaluatie overeenkomstig artikel 43 vaststelt dat, hoewel een product met digitale elementen en de door de fabrikant ingestelde processen in overeenstemming zijn met deze verordening, zij een significant cyberbeveiligingsrisico inhouden en bovendien een risico vormen voor de gezondheid of veiligheid van personen, voor de naleving van verplichtingen uit hoofde van het Unierecht of het interne recht ter bescherming van de grondrechten, de beschikbaarheid, de authenticiteit, de integriteit of de vertrouwelijkheid van diensten die via een elektronisch informatiesysteem worden aangeboden door essentiële entiteiten van het type als bedoeld in [bijlage I bij Richtlijn XXX/XXXX (NIS2)] of voor andere aspecten van de bescherming van het algemeen belang, verlangt zij van de betrokken marktdeelnemer dat hij alle passende maatregelen neemt om ervoor te zorgen dat het product met digitale elementen en de door de betrokken fabrikant ingestelde processen, wanneer het product in de handel wordt gebracht, dat risico niet meer inhouden, of dat het product met digitale elementen uit de handel wordt genomen of wordt teruggeroepen binnen een redelijke termijn, die evenredig is met de aard van het risico.

2. De fabrikant of andere betrokken marktdeelnemers zorgen ervoor dat binnen de door de markttoezichtautoriteit van de lidstaat vastgestelde termijn als bedoeld in lid 1, corrigerende maatregelen worden genomen ten aanzien van de betrokken producten met digitale elementen die zij in de Unie op de markt hebben aangeboden.

3. De lidstaat stelt de Commissie en de andere lidstaten onmiddellijk in kennis van de overeenkomstig lid 1 genomen maatregelen. Die informatie omvat alle bekende bijzonderheden, met name de gegevens die nodig zijn om de betrokken producten met digitale elementen te identificeren, alsook de oorsprong en de toeleveringsketen van die producten met digitale elementen, de aard van het risico en de aard en de duur van de nationale maatregelen.

4. De Commissie treedt onverwijld in overleg met de lidstaten en de betrokken marktdeelnemer en beoordeelt de genomen nationale maatregelen. Aan de hand van die beoordeling besluit de Commissie of de maatregel al dan niet gerechtvaardigd is, en stelt zij zo nodig passende maatregelen voor.

5. De Commissie deelt haar besluit aan de lidstaten mee.

6. Indien de Commissie voldoende redenen heeft om, onder meer op basis van door Enisa verstrekte informatie, aan te nemen dat een product met digitale elementen, hoewel het in overeenstemming is met deze verordening, de in lid 1 bedoelde risico’s inhoudt, kan zij de betrokken markttoezichtautoriteiten verzoeken een conformiteitsbeoordeling uit te voeren en de in artikel 43 en de leden 1, 2 en 3 van dit artikel bedoelde procedures te volgen.

7. In uitzonderlijke omstandigheden die een onmiddellijk optreden rechtvaardigen om de goede werking van de interne markt te vrijwaren, en wanneer de Commissie voldoende redenen heeft om aan te nemen dat het in lid 6 bedoelde product nog steeds de in lid 1 bedoelde risico’s inhoudt en de betrokken nationale markttoezichtautoriteiten geen doeltreffende maatregelen hebben genomen, kan de Commissie Enisa verzoeken een beoordeling uit te voeren van de risico’s die dat product inhoudt en stelt zij de betrokken markttoezichtautoriteiten daarvan in kennis. De desbetreffende marktdeelnemers werken zo nodig samen met Enisa.

8. Op basis van de in lid 7 bedoelde beoordeling van Enisa kan de Commissie vaststellen dat een corrigerende of beperkende maatregel op het niveau van de Unie noodzakelijk is. Daartoe raadpleegt zij onverwijld de betrokken lidstaten en marktdeelnemers.

9. Op basis van het in lid 8 bedoelde overleg kan de Commissie uitvoeringshandelingen vaststellen om te besluiten tot corrigerende of beperkende maatregelen op het niveau van de Unie, onder meer door te gelasten om binnen een redelijke termijn in verhouding tot de aard van het risico producten uit de handel te nemen of terug te roepen. Die uitvoeringshandelingen worden overeenkomstig de in artikel 51, lid 2, bedoelde onderzoeksprocedure vastgesteld.

10. De Commissie stelt de betrokken marktdeelnemers onmiddellijk in kennis van het in lid 9 bedoelde besluit. De lidstaten voeren zulke handelingen onverwijld uit en stellen de Commissie daarvan in kennis.

11. De leden 6 tot en met 10 zijn van toepassing voor de duur van de uitzonderlijke situatie die het optreden van de Commissie rechtvaardigde en zolang het betrokken product de in lid 1 bedoelde risico’s inhoudt.

Artikel 47

Formele non-conformiteit

1. Indien de markttoezichtautoriteit van een lidstaat een van de volgende feiten vaststelt, verlangt zij van de betrokken fabrikant dat deze een einde maakt aan de non-conformiteit:

(a)de conformiteitsmarkering is in strijd met artikel 21 en artikel 22 aangebracht;

(b)de conformiteitsmarkering is niet aangebracht;

(c)de EU-conformiteitsverklaring is niet opgesteld;

(d)de EU-conformiteitsverklaring is niet correct opgesteld;

(e)het identificatienummer van de aangemelde instantie, die betrokken is bij de conformiteitsbeoordelingsprocedure, in voorkomend geval, is niet aangebracht;

(f)de technische documentatie is niet beschikbaar of onvolledig.

2. Indien de in lid 1 bedoelde non-conformiteit voortduurt, neemt de betrokken lidstaat alle passende maatregelen om het op de markt aanbieden van het product met digitale elementen te beperken of te verbieden, of het product terug te roepen of uit de handel te nemen.

Artikel 48

Gezamenlijke activiteiten van markttoezichtautoriteiten

1. Markttoezichtautoriteiten kunnen met andere betrokken autoriteiten overeenkomen gezamenlijke activiteiten uit te voeren die gericht zijn op het waarborgen van cyberbeveiliging en consumentenbescherming met betrekking tot specifieke producten met digitale elementen die in de handel worden gebracht of op de markt worden aangeboden, met name producten waarvan vaak wordt vastgesteld dat zij cyberbeveiligingsrisico’s inhouden.

2. De Commissie of Enisa kan gezamenlijke activiteiten inzake toezicht op de naleving van deze verordening voorstellen, te verrichten door markttoezichtautoriteiten op basis van indicaties of informatie dat binnen het toepassingsgebied van deze verordening vallende producten in verschillende lidstaten mogelijk niet in overeenstemming zijn met de eisen van deze verordening.

3. De markttoezichtautoriteiten en, in voorkomend geval, de Commissie zorgen ervoor dat de afspraak om gezamenlijke activiteiten uit te voeren niet leidt tot oneerlijke concurrentie tussen marktdeelnemers en geen negatieve gevolgen heeft voor de objectiviteit, onafhankelijkheid en onpartijdigheid van de partijen bij de overeenkomst.

4. Een markttoezichtautoriteit kan alle informatie gebruiken die voortvloeit uit de activiteiten die zij verricht in het kader van een door haar uitgevoerd onderzoek.

5. De betrokken markttoezichtautoriteit en de Commissie, indien van toepassing, stellen de afspraak over gezamenlijke activiteiten, met inbegrip van de namen van de betrokken partijen, ter beschikking van het publiek.

Artikel 49

Bezemacties

1. Markttoezichtautoriteiten kunnen besluiten gelijktijdige gecoördineerde controleacties (“bezemacties”) uit te voeren voor bepaalde producten met digitale elementen of categorieën daarvan om de naleving van deze verordening te controleren of inbreuken op deze verordening op te sporen.

2. Tenzij de betrokken markttoezichtautoriteiten anders overeenkomen, worden bezemacties gecoördineerd door de Commissie. De coördinator van de bezemactie kan de geaggregeerde resultaten in voorkomend geval openbaar maken.

3. Enisa kan bij de uitvoering van zijn taken, onder meer op basis van de overeenkomstig artikel 11, leden 1 en 2, ontvangen kennisgevingen, categorieën producten aanwijzen waarvoor bezemacties kunnen worden georganiseerd. Het voorstel voor bezemacties wordt aan de in lid 2 bedoelde potentiële coördinator voorgelegd ter overweging door de markttoezichtautoriteiten.

4. Bij het uitvoeren van bezemacties kunnen de betrokken markttoezichtautoriteiten gebruikmaken van de onderzoeksbevoegdheden als bedoeld in de artikelen 41 tot en met 47 en van alle andere bevoegdheden die hun bij het interne recht zijn verleend.

5. Markttoezichtautoriteiten kunnen ambtenaren van de Commissie en andere begeleidende personen die door de Commissie zijn gemachtigd, uitnodigen om deel te nemen aan bezemacties.

HOOFDSTUK VI

BEVOEGDHEIDSDELEGATIE EN COMITÉPROCEDURE

Artikel 50

Uitoefening van de delegatie

1. De bevoegdheid om gedelegeerde handelingen vast te stellen wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2. De in artikel 2, lid 4, artikel 6, lid 2, artikel 6, lid 3, artikel 6, lid 5, artikel 20, lid 5, en artikel 23, lid 5, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen wordt toegekend aan de Commissie.

3. Het Europees Parlement of de Raad kan de in artikel 2, lid 4, artikel 6, lid 2, artikel 6, lid 3, artikel 6, lid 5, artikel 20, lid 5, en artikel 23, lid 5, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Een besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het besluit wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het besluit laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, geeft zij daarvan gelijktijdig kennis aan het Europees Parlement en de Raad.

6. Een overeenkomstig artikel 2, lid 4, artikel 6, lid 2, artikel 6, lid 3, artikel 6, lid 5, artikel 20, lid 5, en artikel 23, lid 5, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad vóór het verstrijken van die termijn de Commissie hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of van de Raad met twee maanden verlengd.

Artikel 51

Comitéprocedure

1. De Commissie wordt bijgestaan door een comité. Dit comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

3. Wanneer het advies van het comité via een schriftelijke procedure dient te worden verkregen, wordt die procedure zonder gevolg beëindigd indien, binnen de termijn voor het uitbrengen van het advies, de voorzitter van het comité daartoe besluit of een lid van het comité daarom verzoekt.

HOOFDSTUK VII

VERTROUWELIJKHEID EN SANCTIES

Artikel 52

Vertrouwelijkheid

1. Alle partijen die betrokken zijn bij de toepassing van deze verordening, eerbiedigen de vertrouwelijke aard van informatie en gegevens die zij hebben verkregen tijdens het uitvoeren van hun taken en activiteiten met het oog op de bescherming van:

(a)intellectuele-eigendomsrechten, en vertrouwelijke bedrijfsinformatie of bedrijfsgeheimen van een natuurlijke of rechtspersoon, met inbegrip van broncode, uitgezonderd de in artikel 5 van Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad 36 genoemde gevallen;

(b)de doeltreffende uitvoering van deze verordening, met name de uitvoering van inspecties, onderzoeken of audits;

(c)openbare en nationale veiligheidsbelangen;

(d)de integriteit van strafrechtelijke of bestuursrechtelijke procedures.

2. Onverminderd lid 1 wordt informatie die op vertrouwelijke basis tussen de markttoezichtautoriteiten onderling en tussen de markttoezichtautoriteiten en de Commissie wordt uitgewisseld, niet openbaar gemaakt zonder voorafgaande toestemming van de markttoezichtautoriteit van oorsprong.

3. De leden 1 en 2 doen geen afbreuk aan de rechten en verplichtingen van de Commissie, de lidstaten en de aangemelde instanties met betrekking tot de uitwisseling van informatie en de verspreiding van waarschuwingen, alsook de verplichtingen van de betrokken personen om in het kader van het strafrecht van de lidstaten informatie te verstrekken.

4. De Commissie en de lidstaten kunnen indien nodig gevoelige informatie uitwisselen met regelgevingsinstanties van derde landen waarmee zij bilaterale of multilaterale geheimhoudingsovereenkomsten hebben gesloten die een passend beschermingsniveau waarborgen.

Artikel 53

Sancties

1. De lidstaten stellen de regels vast voor de sancties die van toepassing zijn op inbreuken van marktdeelnemers op deze verordening, en nemen alle maatregelen om te waarborgen dat zij worden gehandhaafd. De sancties zijn doeltreffend, evenredig en afschrikkend.

2. De lidstaten stellen de Commissie onverwijld van die regels en maatregelen in kennis en delen haar onverwijld alle latere wijzigingen daarvan mee.

3. De niet-naleving van de in bijlage I vastgestelde essentiële cyberbeveiligingsvereisten en de in de artikelen 10 en 11 vastgestelde verplichtingen wordt bestraft met administratieve geldboeten tot 15 000 000 EUR of, als de overtreder een onderneming is, tot 2,5 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.

4. De niet-naleving van andere verplichtingen uit hoofde van deze verordening wordt bestraft met administratieve geldboeten tot 10 000 000 EUR of, als de overtreder een onderneming is, tot 2 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.

5. Voor het verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties en markttoezichtautoriteiten in antwoord op een verzoek, worden administratieve geldboeten opgelegd tot 5 000 000 EUR of, als de overtreder een onderneming is, tot 1 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.

6. Bij het bepalen van het bedrag van de administratieve geldboete per geval worden alle relevante omstandigheden van de specifieke situatie in aanmerking genomen en wordt terdege rekening gehouden met het volgende:

(a)de aard, ernst en duur van de inbreuk en de gevolgen ervan;

(b)of administratieve geldboeten reeds door andere markttoezichtautoriteiten voor een soortgelijke inbreuk op dezelfde marktdeelnemer zijn toegepast;

(c)de omvang en het marktaandeel van de marktdeelnemer die de inbreuk pleegt.

7. Markttoezichtautoriteiten die administratieve geldboeten opleggen, delen deze informatie met de markttoezichtautoriteiten van andere lidstaten via het in artikel 34 van Verordening (EU) 2019/1020 bedoelde informatie- en communicatiesysteem.

8. Elke lidstaat stelt regels vast betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en -organen.

9. Afhankelijk van het rechtsstelsel van de lidstaten kunnen de regels voor administratieve geldboeten zodanig worden toegepast dat de boeten worden opgelegd door bevoegde nationale rechtbanken of andere instanties, overeenkomstig de bevoegdheden die op nationaal niveau in die lidstaten zijn vastgesteld. De toepassing van zulke regels in die lidstaten heeft een gelijkwaardig effect.

10. Naargelang van de omstandigheden van elk afzonderlijk geval kunnen administratieve geldboeten worden opgelegd naast eventuele andere corrigerende of beperkende maatregelen die de markttoezichtautoriteiten voor dezelfde inbreuk toepassen.

HOOFDSTUK VIII

OVERGANGS- EN SLOTBEPALINGEN

Artikel 54

Wijziging van Verordening (EU) 2019/1020

Aan bijlage I bij Verordening (EU) 2019/1020 wordt het volgende punt toegevoegd:

“71. [Verordening XXX] [verordening cyberweerbaarheid]”.

Artikel 55

Overgangsbepalingen

1. Certificaten van EU-typeonderzoek en goedkeuringsbesluiten die zijn afgegeven met betrekking tot cyberbeveiligingsvereisten voor onder andere harmonisatiewetgeving van de Unie vallende producten met digitale elementen, blijven geldig tot [42 maanden na de datum van inwerkingtreding van deze verordening], tenzij zij vóór die datum vervallen, of tenzij anders bepaald in andere wetgeving van de Unie, in welk geval zij geldig blijven als bedoeld in die wetgeving van de Unie.

2. Voor producten met digitale elementen die vóór [de in artikel 57 bedoelde datum van toepassing van deze verordening] in de handel zijn gebracht, gelden de eisen van deze verordening alleen indien het ontwerp of het beoogde doel van die producten vanaf die datum ingrijpend worden gewijzigd.

3. In afwijking van lid 2 zijn de in artikel 11 vastgestelde verplichtingen van toepassing op alle producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen en die vóór [de in artikel 57 bedoelde datum van toepassing van deze verordening] in de handel zijn gebracht.

Artikel 56

Evaluatie en toetsing

Uiterlijk [36 maanden na de datum van toepassing van deze verordening] en vervolgens om de vier jaar dient de Commissie bij het Europees Parlement en de Raad een verslag in over de evaluatie en de toetsing van deze verordening. De verslagen worden openbaar gemaakt.

Artikel 57

Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is van toepassing met ingang van [24 maanden na de datum van de inwerkingtreding van deze verordening]. Artikel 11 is evenwel van toepassing vanaf [12 maanden na de datum van de inwerkingtreding van deze verordening].


Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.