Artikel 27

Vermoeden van conformiteit

1. Producten met digitale elementen en processen die door de fabrikant zijn ingesteld en in overeenstemming zijn met geharmoniseerde normen of delen daarvan waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de essentiële cyberbeveiligingsvereisten van bijlage I die door die normen of delen daarvan worden bestreken.

De Commissie verzoekt overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties om geharmoniseerde normen op te stellen voor de essentiële cyberbeveiligingsvereisten van bijlage I bij deze verordening. Bij het opstellen van normalisatieverzoeken voor deze verordening streeft de Commissie ernaar rekening te houden met bestaande Europese en internationale normen voor cyberbeveiliging die van kracht of in ontwikkeling zijn, teneinde de ontwikkeling van geharmoniseerde normen te vereenvoudigen, overeenkomstig Verordening (EU) nr. 1025/2012.

2. De Commissie kan uitvoeringshandelingen vaststellen met gemeenschappelijke specificaties inzake technische vereisten die een middel bieden om te voldoen aan de essentiële cyberbeveiligingsvereisten van bijlage I voor binnen het toepassingsgebied van deze verordening vallende producten met digitale elementen.

Die uitvoeringshandelingen worden alleen vastgesteld indien aan de volgende voorwaarden is voldaan:

  • a) de Commissie heeft, op grond van artikel 10, lid 1, van Verordening (EU) nr. 1025/2012, één of meer Europese normalisatieorganisaties verzocht geharmoniseerde normen voor de essentiële cyberbeveiligingsvereisten van bijlage I op te stellen en:
    • i) het verzoek is niet aanvaard;
    • ii) de geharmoniseerde normen waarop dat verzoek betrekking heeft, worden niet binnen de overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 vastgestelde termijn geleverd, of
    • iii) de geharmoniseerde normen voldoen niet aan het verzoek, en
  • b) er is geen referentie van geharmoniseerde normen overeenkomstig Verordening (EU) nr. 1025/2012 bekendgemaakt in het Publicatieblad van de Europese Unie voor de desbetreffende essentiële cyberbeveiligingsvereisten van bijlage I bij deze verordening, en een dergelijke referentie zal naar verwachting niet binnen een redelijke termijn worden bekendgemaakt.

Die uitvoeringshandelingen worden volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld.

3. Alvorens de in lid 2 van dit artikel bedoelde ontwerpuitvoeringshandeling op te stellen, stelt de Commissie het in artikel 22 van Verordening (EU) nr. 1025/2012 bedoelde comité ervan in kennis dat zij van oordeel is dat aan de voorwaarden van lid 2 van dit artikel is voldaan.

4. Bij het opstellen van de in lid 2 bedoelde ontwerpuitvoeringshandeling houdt de Commissie rekening met de standpunten van de relevante instanties en raadpleegt zij naar behoren alle relevante belanghebbenden.

5. Producten met digitale elementen en processen die door de fabrikant zijn ingesteld en in overeenstemming zijn met de gemeenschappelijke specificaties die zijn vastgesteld bij de in lid 2 van dit artikel bedoelde uitvoeringshandelingen, of delen daarvan, worden geacht in overeenstemming te zijn met de essentiële cyberbeveiligingsvereisten van bijlage I die door die gemeenschappelijke specificaties of delen daarvan worden bestreken.

6. Wanneer een geharmoniseerde norm door een Europese normalisatieorganisatie wordt vastgesteld en aan de Commissie wordt voorgesteld met het oog op de bekendmaking van de referentie ervan in het Publicatieblad van de Europese Unie, beoordeelt de Commissie de geharmoniseerde norm overeenkomstig Verordening (EU) nr. 1025/2012. Wanneer een referentie van een geharmoniseerde norm in het Publicatieblad van de Europese Unie wordt bekendgemaakt, trekt de Commissie de in lid 2 van dit artikel bedoelde uitvoeringshandelingen of delen daarvan die dezelfde essentiële cyberbeveiligingsvereisten bestrijken als die geharmoniseerde norm, in.

7. Indien een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de essentiële cyberbeveiligingsvereisten van bijlage I voldoet, stelt die lidstaat de Commissie daarvan in kennis door middel van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde toelichting en kan de uitvoeringshandeling tot vaststelling van de gemeenschappelijke specificatie in kwestie indien nodig wijzigen.

8. Producten met digitale elementen en processen die door de fabrikant zijn ingesteld en waarvoor een EU-conformiteitsverklaring of -certificaat is afgegeven in het kader van een op grond van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregeling, worden geacht in overeenstemming te zijn met de essentiële cyberbeveiligingsvereisten van bijlage I, voor zover die vereisten door de EU-conformiteitsverklaring of het Europese cyberbeveiligingscertificaat, of delen daarvan, worden bestreken.

9. De Commissie is bevoegd om overeenkomstig artikel 61 van deze verordening gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door de op grond van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregelingen te specificeren die kunnen worden gebruikt om de conformiteit van producten met digitale elementen met de essentiële cyberbeveiligingsvereisten, of delen daarvan, van bijlage I bij deze verordening aan te tonen. Bovendien ontslaat de afgifte van een in het kader van dergelijke regelingen afgegeven Europees cyberbeveiligingscertificaat, op ten minste zekerheidsniveau “substantieel”, de fabrikant van de verplichting om een conformiteitsbeoordeling door derden te laten verrichten voor de overeenkomstige vereisten, zoals uiteengezet in artikel 32, lid 2, punten a) en b), en lid 3, punten a) en b), van deze verordening.