Artículo 27

1. Se presumirá que los productos con elementos digitales y los procesos establecidos por el fabricante que sean conformes con normas armonizadas o partes de estas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, son conformes con los requisitos esenciales de ciberseguridad establecidos en el anexo I que estén regulados por dichas normas o partes de ellas.

La Comisión, de conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, solicitará a uno o varios organismos europeos de normalización que elaboren normas armonizadas para los requisitos esenciales de ciberseguridad que se establecen en el anexo I al presente Reglamento. Al prepararlas solicitudes de normalización para el presente Reglamento, la Comisión procurará tener en cuenta las normas europeas e internacionales en materia de ciberseguridad que estén vigentes o en curso de desarrollo con el fin de simplificar el desarrollo de las normas armonizadas, de conformidad con el Reglamento (UE) n.o 1025/2012.

2. La Comisión estará facultada para adoptar actos de ejecución por los que se establezcan especificaciones comunes relativas a los requisitos técnicos que proporcionen un medio para cumplir los requisitos esenciales de ciberseguridad establecidos en el anexo I para los productos con componentes digitales incluidos en el ámbito de aplicación del presente Reglamento.

Dichos actos de ejecución solo se adoptarán cuando se cumplan las condiciones siguientes:

• a) que, en virtud de lo dispuesto en el artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, la Comisión haya solicitado que una o varias organizaciones europeas de normalización elaboren una norma armonizada relativa a los requisitos esenciales de ciberseguridad establecidos en el anexo I y que:
  • i) la solicitud no haya sido aceptada,
  • ii) las normas armonizadas que respondan a esa solicitud no se hayan entregado en el plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, o
  • iii) las normas armonizadas no se ajusten a la solicitud, y
• b) que no se haya publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos esenciales de ciberseguridad pertinentes establecidos en el anexo I de conformidad con el Reglamento (UE) n.o 1025/2012 y no se prevea la publicación de ninguna referencia en un plazo razonable.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 62, apartado 2.

3. Antes de preparar el proyecto de acto delegado a que se refiere el apartado 2 del presente artículo, la Comisión informará al comité a que se refiere el artículo 22 del Reglamento (UE) n.o 1025/2012 de que considera que se cumplen las condiciones establecidas en el apartado 2 del presente artículo.

4. Al preparar el proyecto de acto de ejecución a que se refiere el apartado 2, la Comisión tendrá en cuenta los puntos de vista de los organismos pertinentes y consultará debidamente a todas las partes interesadas pertinentes.

5. Se presumirá que los productos con elementos digitales y los procesos establecidos por el fabricante que sean conformes con las especificaciones comunes establecidas por los actos de ejecución a que hace referencia el apartado 2 del presente artículo, o partes de estas, son conformes con los requisitos esenciales de ciberseguridad establecidos en el anexo I a que se refieran dichas especificaciones comunes o partes de estas.

6. Cuando un organismo europeo de normalización adopte una norma armonizada y la proponga a la Comisión con el fin de publicar su referencia en el Diario Oficial de la Unión Europea, la Comisión evaluará la norma armonizada de conformidad con el Reglamento (UE) n.o 1025/2012. Cuando se publique la referencia de una norma armonizada en el Diario Oficial de la Unión Europea, la Comisión derogará los actos de ejecución a que se refiere el apartado 2, o las partes de estos que se refieran a los mismos requisitos esenciales de ciberseguridad regulados que sean objeto de dicha norma armonizada.

7. Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos esenciales de ciberseguridad establecidos en el anexo I, informará de ello a la Comisión presentando una explicación detallada. La Comisión evaluará dicha explicación detallada y podrá modificar, si procede, el acto de ejecución por el que se hubiera establecido la especificación común en cuestión.

8. Se presumirá que los productos con elementos digitales y los procesos establecidos por el fabricante para los que se haya expedido una declaración UE de conformidad o un certificado en el marco de un esquema europeo de certificación de la ciberseguridad adoptado en virtud del Reglamento (UE) 2019/881 son conformes con los requisitos esenciales de ciberseguridad establecidos en el anexo I en la medida en que la declaración UE de conformidad o el certificado europeo de ciberseguridad, o partes de ellos, abarquen dichos requisitos.

9. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 61 del presente Reglamento a fin de completar el presente Reglamento mediante la especificación de los esquemas europeos de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 que puedan servir para demostrar la conformidad de los productos con elementos digitales con los requisitos esenciales de ciberseguridad, o partes de ellos, establecidos en el anexo I. Asimismo, la expedición de un certificado de ciberseguridad europeo en el marco de dichos esquemas, con un nivel de garantía como mínimo «sustancial», elimina la obligación de un fabricante de llevar a cabo una evaluación de la conformidad por parte de terceros para los requisitos correspondientes, tal como se establece en el artículo 32, apartado 2, letras a) y b), y el artículo 32, apartado 3, letras a) y b), del presente Reglamento.