Bijlagen bij COM(2022)454 - Horizontale cyberbeveiligings­vereisten voor producten met digitale elementen

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

bijlage bij het financieel memorandum (bijlage V bij de interne voorschriften), te uploaden in DECIDE met het oog op overleg tussen de diensten.

in miljoen EUR (tot op drie decimalen)

Jaar 
2024
Jaar 
2025
Jaar 
2026
Jaar 
2027
TOTAAL
DG: CNECT
• Personele middelen 
1,0301,0301,0301,0304,120
• Andere administratieve uitgaven
0,2220,2220,2220,2220,888
TOTAAL DG CNECTKredieten1,2521,2521,2521,2525,008

TOTAAL kredieten 
voor RUBRIEK 7 
van het meerjarig financieel kader 
(Totaal vastleggingen = totaal betalingen)1,2521,2521,2521,2525,008

in miljoen EUR (tot op drie decimalen)

Jaar 
2024
Jaar 
2025
Jaar 
2026
Jaar 
2027
TOTAAL
TOTAAL kredieten
onder RUBRIEKEN 1 tot en met 7 
van het meerjarig financieel kader 
Vastleggingen1,2521,2521,2521,2525,008
Betalingen1,2521,2521,2521,2525,008


3.2.2.Geraamde output, gefinancierd met beleidskredieten

Vastleggingskredieten in miljoen EUR (tot op drie decimalen)

Vermeld doelstellingen en outputs



Jaar 
N
Jaar 
N+1
Jaar 
N+2
Jaar 
N+3
zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)TOTAAL
OUTPUTS
Soort 44

Gem. kostenNeeKostenNeeKostenNeeKostenNeeKostenNeeKostenNeeKostenNeeKostenTotaal aantalTotale kosten
SPECIFIEKE DOELSTELLING nr. 1 45
– Output
– Output
– Output
Subtotaal voor specifieke doelstelling nr. 1
SPECIFIEKE DOELSTELLING NR. 2…
– Output
Subtotaal voor specifieke doelstelling nr. 2
TOTAAL

3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten

–◻    Voor het voorstel/initiatief zijn geen administratieve kredieten nodig.

–☑    Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

in miljoen EUR (tot op drie decimalen)

Jaar 
2024
Jaar 
2025
Jaar 
2026
Jaar 
2027

RUBRIEK 7 
van het meerjarig financieel kader
Personele middelen1,0301,0301,0301,0304,120
Andere administratieve uitgaven0,2220,2220,2220,2220,888
Subtotaal RUBRIEK 7 
van het meerjarig financieel kader
1,2521,2521,2521,2525,008

Buiten RUBRIEK 7 46  
van het meerjarig financieel kader 

Personele middelen
Andere
administratieve uitgaven
Subtotaal
buiten RUBRIEK 7 
van het meerjarig financieel kader

TOTAAL1,2521,2521,2521,2525,008

De benodigde kredieten voor personeel en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.


3.2.3.1.Geraamde personeelsbehoeften

–◻    Voor het voorstel/initiatief zijn geen personele middelen nodig.

–☑    Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:

Raming in voltijdequivalenten

Jaar 
2024
Jaar 
2025
Jaar 
2026
Jaar 
2027
20 01 02 01 (zetel en vertegenwoordigingen van de Commissie)6666
20 01 02 03 (delegaties)
01 01 01 01 (onderzoek door derden)
01 01 01 11 (eigen onderzoek)
Ander begrotingsonderdeel (geef aan welk)
• Extern personeel (in voltijdequivalenten: vte) 47

20 02 01 (AC, END, INT van de “totale financiële middelen”)1111
20 02 03 (AC, AL, END, INT en JPD in de delegaties)
XX 01 xx yy zz   48

– zetel

– delegaties
01 01 01 02 (AC, END, INT – onderzoek door derden)
01 01 01 12 (AC, END, INT – eigen onderzoek)
Ander begrotingsonderdeel (geef aan welk)
TOTAAL7777

XX is het beleidsterrein of de begrotingstitel.

Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

Beschrijving van de uit te voeren taken:

Ambtenaren en tijdelijk personeel

6 vte’s x 157 000 EUR/jaar = 942 000 EUR
Zoals beschreven in punt 2.2.1:

–voorbereiding van het normalisatieverzoek en/of gemeenschappelijke specificaties door middel van uitvoeringshandelingen indien niet met succes een normalisatieproces is afgerond;

–opstellen van een gedelegeerde handeling [binnen 12 maanden na de inwerkingtreding van de verordening] tot nadere bepaling van de definities van de kritieke producten met digitale elementen;

–mogelijke voorbereiding van gedelegeerde handelingen voor het bijwerken van de lijst van kritieke producten van klasse I en II; te specificeren of een beperking of uitsluiting noodzakelijk is voor producten met digitale elementen die worden gedekt door andere regels van de Unie tot vaststelling van eisen die hetzelfde beschermingsniveau bieden als deze verordening; de certificering verplicht te stellen van bepaalde zeer kritieke producten met digitale elementen op basis van de in deze verordening vastgestelde criteria; specificeren van de minimaal vereiste inhoud van de EU-conformiteitsverklaring en het aanvullen van de elementen die in de technische documentatie moeten worden opgenomen;

–mogelijke voorbereiding van uitvoeringshandelingen met betrekking tot het formaat of de elementen van de rapportageverplichtingen, de softwarestuklijst, gemeenschappelijke specificaties of het aanbrengen van de CE-markering;

–mogelijke voorbereiding van een onmiddellijk optreden voor het opleggen van corrigerende of beperkende maatregelen in uitzonderlijke omstandigheden om de goede werking van de interne markt te vrijwaren, met inbegrip van de voorbereiding van een uitvoeringshandeling;

–organisatie en coördinatie van de aanmeldingen door de lidstaten van aangemelde instanties en de coördinatie van de aangemelde instanties;

–ondersteuning van de coördinatie van de markttoezichtautoriteiten van de lidstaten.
Extern personeel

1 END x 88 000 EUR/jaar  
Zoals beschreven in punt 2.2.1:

–voorbereiding van het normalisatieverzoek en/of gemeenschappelijke specificaties door middel van uitvoeringshandelingen indien niet met succes een normalisatieproces is afgerond;

–opstellen van een gedelegeerde handeling [binnen 12 maanden na de inwerkingtreding van de verordening] tot nadere bepaling van de definities van de kritieke producten met digitale elementen;

–mogelijke voorbereiding van gedelegeerde handelingen voor het bijwerken van de lijst van kritieke producten van klasse I en II; te specificeren of een beperking of uitsluiting noodzakelijk is voor producten met digitale elementen die worden gedekt door andere regels van de Unie tot vaststelling van eisen die hetzelfde beschermingsniveau bieden als deze verordening; de certificering verplicht te stellen van bepaalde zeer kritieke producten met digitale elementen op basis van de in deze verordening vastgestelde criteria; specificeren van de minimaal vereiste inhoud van de EU-conformiteitsverklaring en het aanvullen van de elementen die in de technische documentatie moeten worden opgenomen;

–mogelijke voorbereiding van uitvoeringshandelingen met betrekking tot het formaat of de elementen van de rapportageverplichtingen, de softwarestuklijst, gemeenschappelijke specificaties of het aanbrengen van de CE-markering;

–mogelijke voorbereiding van een onmiddellijk optreden voor het opleggen van corrigerende of beperkende maatregelen in uitzonderlijke omstandigheden om de goede werking van de interne markt te vrijwaren, met inbegrip van de voorbereiding van een uitvoeringshandeling;

–organisatie en coördinatie van de aanmeldingen door de lidstaten van aangemelde instanties en de coördinatie van de aangemelde instanties;

–ondersteuning van de coördinatie van de markttoezichtautoriteiten van de lidstaten.

3.2.4.Verenigbaarheid met het huidige meerjarige financiële kader

Het voorstel/initiatief:

–x    kan volledig worden gefinancierd door middel van herschikking binnen de relevante rubriek van het meerjarig financieel kader (MFK).

Er is geen herprogrammering nodig.

–◻    hiervoor moet een beroep worden gedaan op de niet-toegewezen marge in de desbetreffende rubriek van het MFK en/of op de speciale instrumenten zoals gedefinieerd in de MFK-verordening.



–◻    hiervoor is een herziening van het MFK nodig.



3.2.5.Bijdragen van derden

Het voorstel/initiatief:

–x    voorziet niet in medefinanciering door derden

–◻    voorziet in medefinanciering door derden, zoals hieronder wordt geraamd:

Kredieten in miljoen EUR (tot op drie decimalen)

Jaar 
N 49
Jaar 
N+1
Jaar 
N+2
Jaar 
N+3
zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)Totaal
Medefinancieringsbron 
TOTAAL medegefinancierde kredieten


3.3.Geraamde gevolgen voor de ontvangsten

–◻    Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten.

–◻    Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:

–◻    voor de eigen middelen

–◻    voor de overige ontvangsten

–Geef aan of de ontvangsten worden toegewezen aan de begrotingsonderdelen voor uitgaven ◻    

in miljoen EUR (tot op drie decimalen)

Begrotingsonderdeel voor ontvangsten:Voor het lopende begrotingsjaar beschikbare kredietenGevolgen van het voorstel/initiatief 50
Jaar 
N
Jaar 
N+1
Jaar 
N+2
Jaar 
N+3
zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
Artikel ………….

Vermeld voor de toegewezen ontvangsten het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.


Andere opmerkingen (bv. over de methode/formule voor de berekening van de gevolgen voor de ontvangsten of andere informatie).


(1) Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PB L 218 van 14.8.2013, blz. 8).
(2) Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).
(3) Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).
(4) De cyberbeveiligingsverordening maakt de ontwikkeling van specifieke certificeringsregelingen mogelijk. Elke regeling bevat verwijzingen naar relevante normen, technische specificaties of andere cyberbeveiligingsvoorschriften die in de regeling zijn omschreven. Het besluit om een cyberbeveiligingscertificering te ontwikkelen is risicogebaseerd.
(5) Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s — De digitale toekomst van Europa vormgeven (COM(2020) 67 final van 19.2.2020). 
(6) Voornamelijk wetgeving van het nieuwe wetgevingskader (NWK). 
(7) Voorstel voor een verordening van het Europees Parlement en de Raad tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (wet op de artificiële intelligentie) en tot wijziging van bepaalde wetgevingshandelingen van de Unie (COM(2021) 206 final van 21.4.2021).
(8) Arrest van het Hof (Grote kamer) van 3 december 2019, Tsjechische Republiek/Parlement en Raad, C-482/17, punt 35. 
(9) Arrest van het Hof (Grote kamer) van 2 mei 2006, Verenigd Koninkrijk/Parlement en Raad, C-217/04, punten 62-63. 
(10) Zo heeft Finland in 2019 een etiketteringsregeling voor IoT-apparaten ingevoerd, zoals smart tv’s, smartphones en speelgoed op basis van de ETSI-normen. Duitsland heeft onlangs een etiket voor de veiligheid van de consument ingevoerd voor breedbandrouters, smart tv’s, camera’s, luidsprekers, speelgoed en schoonmaak- en tuinrobots.
(11)

   Study on the need of Cybersecurity requirements for ICT products — No. 2020-0715, Final Study Report, beschikbaar op https://digital-strategy.ec.europa.eu/en/library/study-need-cybersecurity-requirements-ict-products

(12) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).
(13) PB C […] van […], blz. […].
(14) PB C […] van […], blz. […].
(15) Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).
(16)

   JOIN(2020) 18 final, https://eur-lex.europa.eu/legal-content/NL/ALL/?uri=JOIN:2020:18:FIN  

(17)

   2021/2568(RSP), https://www.europarl.europa.eu/doceo/document/TA-9-2021-0286_NL.html  

(18) Conference on the Future of Europe — Report on the Final Outcome, mei 2022, voorstel 28(2). De conferentie vond plaats tussen april 2021 en mei 2022. Het was een unieke, door burgers geleide vorm van overlegdemocratie op pan-Europees niveau, waarbij duizenden Europese burgers en politieke actoren, sociale partners, vertegenwoordigers van het maatschappelijk middenveld en belangrijke belanghebbenden betrokken waren.
(19) Verordening (EU) 2017/745 van het Europees Parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen, tot wijziging van Richtlijn 2001/83/EG, Verordening (EG) nr. 178/2002 en Verordening (EG) nr. 1223/2009, en tot intrekking van Richtlijnen 90/385/EEG en 93/42/EEG van de Raad (PB L 117 van 5.5.2017, blz. 1).
(20) Verordening (EU) 2017/746 van het Europees Parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen voor in-vitrodiagnostiek en tot intrekking van Richtlijn 98/79/EG en Besluit 2010/227/EU van de Commissie (PB L 117 van 5.5.2017, blz. 176).
(21) MDCG 2019-16, bekrachtigd door de bij artikel 103 van Verordening (EU) 2017/745 opgerichte coördinatiegroep voor medische hulpmiddelen (Medical Device Coordination Group — MDCG).
(22) Verordening (EU) 2019/2144 van het Europees Parlement en de Raad van 27 november 2019 betreffende de voorschriften voor de typegoedkeuring van motorvoertuigen en aanhangwagens daarvan en van systemen, onderdelen en technische eenheden die voor dergelijke voertuigen zijn bestemd wat de algemene veiligheid ervan en de bescherming van de inzittenden van voertuigen en kwetsbare weggebruikers betreft, tot wijziging van Verordening (EU) 2018/858 van het Europees Parlement en de Raad en tot intrekking van de Verordeningen (EG) nr. 78/2009, (EG) nr. 79/2009 en (EG) nr. 661/2009 van het Europees Parlement en de Raad en de Verordeningen (EG) nr. 631/2009, (EU) nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr. 1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011, (EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012, (EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 en (EU) 2015/166 van de Commissie (PB L 325 van 16.12.2019, blz. 1).
(23) VN-Reglement nr. 155 — Uniforme bepalingen voor de goedkeuring van voertuigen met betrekking tot cyberbeveiliging en het beheersysteem voor cyberbeveiliging [2021/387].
(24) Verordening (EU) 2018/1139 van het Europees Parlement en de Raad van 4 juli 2018 inzake gemeenschappelijke regels op het gebied van burgerluchtvaart en tot oprichting van een Agentschap van de Europese Unie voor de veiligheid van de luchtvaart, en tot wijziging van de Verordeningen (EG) nr. 2111/2005, (EG) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 en de Richtlijnen 2014/30/EU en 2014/53/EU van het Europees Parlement en de Raad, en tot intrekking van de Verordeningen (EG) nr. 552/2004 en (EG) nr. 216/2008 van het Europees Parlement en de Raad en Verordening (EEG) nr. 3922/91 van de Raad (PB L 212 van 22.8.2018, blz. 1).
(25) Richtlijn 85/374/EEG van de Raad van 25 juli 1985 betreffende de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen der lidstaten inzake de aansprakelijkheid voor producten met gebreken (PB L 210 van 7.8.85).
(26) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).
(27) Verordening [de AI-verordening].
(28) Richtlijn XXX van het Europees Parlement en de Raad van [datum] [betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie en tot intrekking van Richtlijn (EU) 2016/1148 (PB L XX, van XX.XX.XXXX, blz. X)].
(29) Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).
(30) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).
(31) Besluit nr. 768/2008/EG van het Europees Parlement en de Raad van 9 juli 2008 betreffende een gemeenschappelijk kader voor het verhandelen van producten en tot intrekking van Besluit 93/465/EEG van de Raad (PB L 218 van 13.8.2008, blz. 82).
(32) Verordening (EU) 2019/1020 van het Europees Parlement en de Raad van 20 juni 2019 betreffende markttoezicht en conformiteit van producten en tot wijziging van Richtlijn 2004/42/EG en de Verordeningen (EG) nr. 765/2008 en (EU) nr. 305/2011 (PB L 169 van 25.6.2019, blz. 1).
(33) PB L 123 van 12.5.2016, blz. 1.
(34) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).
(35) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
(36) Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad van 8 juni 2016 betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan (PB L 157 van 15.6.2016, blz. 1).
(37) In de zin van artikel 58, lid 2, punt a) of b), van het Financieel Reglement.
(38) Zie [werkdocument van de diensten van de Commissie over de effectbeoordeling bij de verordening betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen].
(39) Zie [werkdocument van de diensten van de Commissie over de effectbeoordeling bij de verordening betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen].
(40) Nadere gegevens over de beheersvormen en verwijzingen naar het Financieel Reglement zijn beschikbaar op BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  
(41) N is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen. Vervang “N” door het verwachte eerste jaar van uitvoering (bijvoorbeeld: 2021). Hetzelfde voor de volgende jaren.
(42) Volgens de officiële begrotingsnomenclatuur.
(43) Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.
(44) Outputs zijn de te verstrekken producten en diensten (bv. aantal gefinancierde studentenuitwisselingen, aantal km aangelegde wegen enz.).
(45) Zoals beschreven in punt 1.4.2. “Specifieke doelstelling(en)…”
(46) Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.
(47) AC = agent contractuel (arbeidscontractant); AL = agent local (plaatselijk functionaris); END = Expert National Détaché (gedetacheerd nationaal deskundige); INT = intérimaire (uitzendkracht); JPD = junior professionals in delegatie.
(48) Subplafond voor extern personeel uit beleidskredieten (vroegere “BA”-onderdelen).
(49) N is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen. Vervang “N” door het verwachte eerste jaar van uitvoering (bijvoorbeeld: 2021). Hetzelfde voor de volgende jaren.
(50) Voor traditionele eigen middelen (douanerechten en suikerheffingen) moeten nettobedragen worden vermeld, d.w.z. na aftrek van 20 % aan inningskosten.