Artículo 13

1. Cuando se introduzca en el mercado un producto con elementos digitales, los fabricantes garantizarán que el producto ha sido diseñado, desarrollado y producido de conformidad con los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I.

2. A efectos del cumplimiento del apartado 1, los fabricantes llevarán a cabo una evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales y tendrán en cuenta el resultado de dicha evaluación durante las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento del producto con elementos digitales, con el objetivo de minimizar los riesgos de ciberseguridad, prevenir incidentes y reducir al mínimo sus repercusiones, incluidas las relacionadas con la salud y la seguridad de los usuarios.

3. La evaluación de los riesgos de ciberseguridad se documentará y actualizará según proceda durante un período de soporte que se determinará de conformidad con el apartado 8 del presente artículo. Dicha evaluación de los riesgos de ciberseguridad incluirá, como mínimo, un análisis de los riesgos de ciberseguridad basado en la finalidad prevista y el uso razonablemente previsible del producto con elementos digitales, así como sus condiciones de uso, tales como el entorno operativo o los activos que deben protegerse, teniendo en cuenta el período de tiempo durante el que se prevé que el producto esté en uso. La evaluación de los riesgos de ciberseguridad indicará si los requisitos de seguridad establecidos en el anexo I, parte I, punto 2, son aplicables al producto con elementos digitales en cuestión, y en caso afirmativo de qué manera, así como el modo en que se aplican en la práctica dichos requisitos sobre la base de la evaluación de los riesgos de ciberseguridad. También indicará cómo debe aplicar el fabricante el anexo I, parte I, punto 1, y los requisitos de gestión de las vulnerabilidades establecidos en el anexo I, parte II.

4. Al introducir en el mercado un producto con elementos digitales, el fabricante incluirá la evaluación de riesgos de ciberseguridad a que se refiere el apartado 3 del presente artículo en la documentación técnica exigida en virtud del artículo 31 y el anexo VII. En el caso de los productos con elementos digitales a que se refieren el artículo 12 a los que también se apliquen otros actos jurídicos de la Unión, la evaluación de los riesgos de ciberseguridad podrá formar parte de la evaluación de riesgos exigida por dichos actos jurídicos de la Unión. Cuando determinados requisitos esenciales de ciberseguridad no sean aplicables al producto con elementos digitales, el fabricante incluirá una justificación clara a tal efecto en la documentación técnica citada.

5. A efectos del cumplimiento de lo dispuesto en el apartado 1, los fabricantes ejercerán la diligencia debida al integrar componentes procedentes de terceros de modo que estos componentes no comprometan la seguridad del producto con elementos digitales, también cuando se integren componentes de programas informáticos libres y de código abierto que no se hayan comercializado en el transcurso de una actividad comercial.

6. Cuando los fabricantes detecten una vulnerabilidad en un componente —también de código abierto— integrado en el producto con elementos digitales, notificarán la vulnerabilidad a la persona o entidad que fabrica o mantiene el componente y abordarán y subsanarán la vulnerabilidad de conformidad con los requisitos de gestión de las vulnerabilidades establecidas en el anexo I, parte II. Cuando los fabricantes hayan desarrollado una modificación de un programa o equipo informático para abordar la vulnerabilidad de dicho componente, compartirán el código o la documentación pertinentes con la persona o entidad que fabrica o mantiene el componente, en su caso en un formato legible por máquina.

7. Los fabricantes documentarán sistemáticamente, de manera proporcionada a la naturaleza y a los riesgos de ciberseguridad, los aspectos pertinentes relativos a la ciberseguridad del producto con elementos digitales, incluidas las vulnerabilidades de las que tengan conocimiento y cualquier información pertinente facilitada por terceros, y, cuando corresponda, actualizarán la evaluación de los riesgos de ciberseguridad del producto.

8. Cuando los fabricantes introduzcan en el mercado un producto con elementos digitales, y durante el período de soporte, se asegurarán de que las vulnerabilidades de dicho producto, incluidos sus componentes, se gestionen de manera efectiva y de conformidad con los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte II.

Los fabricantes determinarán el período de soporte de manera que refleje el período de tiempo durante el cual se prevé que vaya a utilizarse el producto, teniendo en cuenta, en particular, las expectativas razonables de los usuarios, la naturaleza del producto —incluida su finalidad prevista— y el Derecho pertinente de la Unión que fija la vida útil del producto con elementos digitales. A la hora de determinar el período de soporte, los fabricantes también podrán tener en cuenta los períodos de soporte de productos con elementos digitales que ofrezcan una funcionalidad similar introducidos en el mercado por otros fabricantes, la disponibilidad del entorno operativo y los períodos de soporte de los componentes integrados que proporcionan las funciones principales y se obtienen de terceros, así como las orientaciones pertinentes facilitadas por el Grupo de Cooperación Administrativa (ADCO) específico establecido en virtud del artículo 52, apartado 15, y por la Comisión. Las cuestiones que deban tenerse en cuenta para determinar la duración del período de soporte se considerarán de manera que se garantice la proporcionalidad.

Sin perjuicio de lo dispuesto en el párrafo segundo, el período de soporte será de al menos cinco años. Cuando se prevea que el producto con elementos digitales vaya a utilizarse durante menos de cinco años, el período de soporte corresponderá al tiempo de utilización previsto.

Teniendo en cuenta las recomendaciones del ADCO a que se refiere el artículo 52, apartado 16, la Comisión podrá adoptar actos delegados de conformidad con el artículo 61 para completar el presente Reglamento especificando el período de soporte mínimo para determinadas categorías de productos cuando los datos de vigilancia del mercado indiquen que los períodos de soporte son inadecuados.

Los fabricantes incluirán en la documentación técnica establecida en el anexo VII la información que se haya tenido en cuenta para determinar el período de soporte de un producto con elementos digitales.

Los fabricantes contarán con políticas y procedimientos adecuados, incluidas las políticas de divulgación coordinada de vulnerabilidades a que se refiere el anexo I, parte II, punto 5, para tratar y subsanar las posibles vulnerabilidades del producto con elementos digitales comunicadas por fuentes internas o externas.

9. Los fabricantes se asegurarán de que cada una de las actualizaciones de seguridad a que se refiere el anexo I, parte II, punto 8, que se haya puesto a disposición de los usuarios durante el período de soporte siga estando disponible tras su publicación durante un período mínimo de diez años o durante el resto del período de soporte si este plazo fuera más largo.

10. Cuando un fabricante haya introducido en el mercado versiones posteriores modificadas sustancialmente de un producto consistente en un programa informático, podrá garantizar el cumplimiento del requisito esencial de ciberseguridad establecido en el anexo I, parte II, punto 2, únicamente para la versión que haya introducido en el mercado más recientemente siempre que los usuarios de las versiones introducidas con anterioridad en el mercado tengan acceso a la última versión introducida en el mercado de forma gratuita y no incurran en costes adicionales para adaptar el entorno de equipos y programas informáticos en el que utilizan la versión anterior del producto en cuestión.

11. Los fabricantes podrán mantener archivos públicos de programas informáticos que mejoren el acceso de los usuarios a las versiones históricas. En tales casos, se informará claramente y de manera fácilmente accesible a los usuarios sobre los riesgos asociados al uso de programas informáticos a los que no se da soporte.

12. Antes de introducir en el mercado un producto con elementos digitales, los fabricantes elaborarán la documentación técnica especificada en el artículo 31.

También pondrán en práctica o encargarán que se pongan en práctica los procedimientos de evaluación de la conformidad de su elección a que se refiere el artículo 32.

Cuando mediante dicho procedimiento de evaluación de la conformidad se haya demostrado la conformidad del producto con elementos digitales con los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I, y la conformidad de los procesos establecidos por el fabricante con los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte II, los fabricantes elaborarán la declaración UE de conformidad con arreglo al artículo 28 y colocarán el marcado CE de conformidad con el artículo 30.

13. Los fabricantes mantendrán la documentación técnica y la declaración UE de conformidad a disposición de las autoridades de vigilancia del mercado durante un mínimo de diez años a partir de la introducción en el mercado del producto con elementos digitales, o durante el período de soporte si este plazo fuera más largo.

14. Los fabricantes se asegurarán de que existan procedimientos para que los productos con elementos digitales que formen parte de una producción en serie mantengan su conformidad con el presente Reglamento. Los fabricantes tomarán debidamente en consideración los cambios en el proceso de desarrollo y producción o en el diseño o las características del producto con elementos digitales, así como los cambios en las normas armonizadas, en los esquemas europeos de certificación de la ciberseguridad o en las especificaciones técnicas a que se refiere el artículo 27 en virtud de las cuales se declara, o por aplicación de las cuales se verifica, la conformidad del producto.

15. Los fabricantes se asegurarán de que sus productos con elementos digitales llevan un número de tipo, lote o serie o cualquier otro elemento que permita su identificación o, cuando esto no sea posible, de que dicha información figura en su embalaje o en un documento que acompañe al producto con elementos digitales.

16. Los fabricantes indicarán su nombre, nombre comercial registrado o marca registrada —así como su dirección postal, su dirección de correo electrónico u otros datos de contacto digitales y, en su caso, el sitio web en el que se les puede contactar— en el producto con elementos digitales, en su embalaje o en un documento que acompañe al producto con elementos digitales. Dicha información también se incluirá en la información y las instrucciones para el usuario que figuran en el anexo II. Los datos de contacto figurarán en una lengua fácilmente comprensible para los usuarios y las autoridades de vigilancia del mercado.

17. A efectos del presente Reglamento, los fabricantes designarán un punto de contacto único que permita a los usuarios comunicarse directa y rápidamente con ellos, también para facilitar la notificación de vulnerabilidades del producto con elementos digitales.

Los fabricantes se asegurarán de que los usuarios puedan identificar fácilmente el punto de contacto único. También incluirán el punto de contacto único en la información y las instrucciones para el usuario que figuran en el anexo II.

El punto de contacto único permitirá a los usuarios elegir los medios de comunicación que prefieran y no limitará dichos medios a herramientas automatizadas.

18. Los fabricantes se asegurarán de que los productos con elementos digitales vayan acompañados de la información y las instrucciones para el usuario especificadas en el anexo II, en papel o en formato electrónico. Dichas instrucciones e información se facilitarán en una lengua fácilmente comprensible para los usuarios y las autoridades de vigilancia del mercado. Serán claras, comprensibles, inteligibles y legibles. Permitirán la instalación, el funcionamiento y el uso seguros de los productos con elementos digitales. Los fabricantes mantendrán la información y las instrucciones para el usuario a que se refiere el anexo II a disposición de los usuarios y de las autoridades de vigilancia del mercado durante un mínimo de diez años a partir de la introducción en el mercado del producto con elementos digitales, o durante el período de soporte si este plazo fuera más largo. Cuando la información y las instrucciones citadas se faciliten en línea, los fabricantes se asegurarán de que sean accesibles y fáciles de usar y permanezcan disponibles en línea durante un mínimo de diez años a partir de la introducción en el mercado del producto con elementos digitales, o durante el período de soporte si este plazo fuera más largo.

19. Los fabricantes se asegurarán de que la fecha final del período de soporte a que se refiere el apartado 8, incluidos al menos el mes y el año, se especifique de manera clara y comprensible en el momento de la compra, de manera fácilmente accesible y, en su caso, en el producto con elementos digitales, en su embalaje o por medios digitales.

Cuando sea técnicamente viable habida cuenta de la naturaleza del producto con elementos digitales, los fabricantes mostrarán una notificación a los usuarios que les informe de que su producto con elementos digitales ha alcanzado el final de su período de soporte.

20. Los fabricantes facilitarán una copia de la declaración UE de conformidad o una declaración UE de conformidad simplificada junto con el producto con elementos digitales. Cuando se facilite una declaración UE de conformidad simplificada, esta contendrá la dirección de internet exacta en la que se pueda acceder a la declaración UE de conformidad íntegra.

21. Desde la introducción en el mercado de un producto con elementos digitales y durante el período de soporte, los fabricantes que sepan o tengan motivos para creer que el producto con elementos digitales o los procesos establecidos por el fabricante no son conformes con los requisitos esenciales de ciberseguridad establecidos en el anexo I adoptarán inmediatamente las medidas correctoras necesarias para poner en conformidad el producto con elementos digitales o los procesos del fabricante, para retirar el producto del mercado o para recuperarlo, según proceda.

22. Previa solicitud motivada de una autoridad de vigilancia del mercado, los fabricantes facilitarán a esa autoridad, bien en papel o bien en formato electrónico y redactadas en una lengua fácilmente comprensible para dicha autoridad, toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales y de los procesos establecidos por el fabricante con los requisitos esenciales de ciberseguridad establecidos en el anexo I. Los fabricantes cooperarán con dicha autoridad, a petición de esta, en cualquier medida que se adopte para eliminar los riesgos de ciberseguridad que presente el producto con elementos digitales que hayan introducido en el mercado.

23. El fabricante que cese sus actividades y, en consecuencia, no pueda cumplir el presente Reglamento informará del próximo cese de las actividades, antes de que dicho cese surta efecto, a las autoridades de vigilancia del mercado pertinentes, así como, por cualquier medio disponible y en la medida de lo posible, a los usuarios de los correspondientes productos con elementos digitales introducidos en el mercado.

24. La Comisión podrá especificar, mediante actos de ejecución que tengan en cuenta las normas y buenas prácticas europeas o internacionales, el formato y los elementos de la nomenclatura de materiales de los programas informáticos a que se refiere el anexo I, parte II, punto 1. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 62, apartado 2.

25. A fin de evaluar la dependencia de los Estados miembros y de la Unión en su conjunto respecto de componentes consistentes en programas informáticos, y en particular respecto de componentes que se consideren programas informáticos libres y de código abierto, el ADCO podrá decidir llevar a cabo en toda la Unión una evaluación de la dependencia correspondiente a categorías concretas de productos con elementos digitales. A tal fin, las autoridades de vigilancia del mercado podrán solicitar a los fabricantes de dichas categorías de productos con elementos digitales que faciliten las correspondientes nomenclaturas de materiales de los programas informáticos a que se refiere el anexo I, parte II, punto 1. Sobre la base de dicha información, las autoridades de vigilancia del mercado podrán facilitar al ADCO información anonimizada y agregada sobre las dependencias en materia de programas informáticos. El ADCO presentará un informe sobre los resultados de la evaluación de la dependencia al Grupo de Cooperación establecido en virtud del artículo 14 de la Directiva (UE) 2022/2555.