Artikel 32

1. De fabrikant voert een conformiteitsbeoordeling uit van het product met digitale elementen en van de processen die de fabrikant heeft ingesteld, om te bepalen of aan de essentiële cyberbeveiligingsvereisten van bijlage I is voldaan. De fabrikant toont de conformiteit met de essentiële cyberbeveiligingsvereisten aan de hand van een van de volgende procedures aan:

• a) de procedure voor interne controle (op basis van module A) zoals beschreven in bijlage VIII;
• b) de procedure voor EU-typeonderzoek (op basis van module B) zoals beschreven in bijlage VIII, gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (op basis van module C) zoals beschreven in bijlage VIII;
• c) een conformiteitsbeoordeling op basis van volledige kwaliteitsborging (op basis van module H) zoals beschreven in bijlage VIII, of
• d) indien beschikbaar en van toepassing, een Europese cyberbeveiligingscertificeringsregeling op grond van artikel 27, lid 9.

2. Wanneer de fabrikant bij de beoordeling van de conformiteit van een belangrijk product met digitale elementen dat valt onder klasse I zoals vastgesteld in bijlage III en van de door de fabrikant ingestelde processen met de essentiële cyberbeveiligingsvereisten van bijlage I, geen geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen op ten minste zekerheidsniveau “substantieel” als bedoeld in artikel 27 heeft toegepast of slechts gedeeltelijk heeft toegepast, of indien dergelijke geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen niet bestaan, worden het betrokken product met digitale elementen en de door de fabrikant ingestelde processen met betrekking tot die essentiële cyberbeveiligingsvereisten aan een van de volgende procedures onderworpen:

• a) de procedure voor EU-typeonderzoek (op basis van module B) zoals beschreven in bijlage VIII, gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (op basis van module C) zoals beschreven in bijlage VIII, of
• b) een conformiteitsbeoordeling op basis van volledige kwaliteitsborging (op basis van module H) zoals beschreven in bijlage VIII.

3. Indien het product een belangrijk product met digitale elementen is dat valt onder klasse II zoals beschreven in bijlage III, toont de fabrikant de conformiteit met de essentiële cyberbeveiligingsvereisten van bijlage I aan door middel van een van de volgende procedures:

• a) de procedure voor EU-typeonderzoek (op basis van module B) zoals beschreven in bijlage VIII, gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (op basis van module C) zoals beschreven in bijlage VIII;
• b) een conformiteitsbeoordeling op basis van volledige kwaliteitsborging (op basis van module H) zoals beschreven in bijlage VIII, of
• c) indien beschikbaar en van toepassing, een Europese cyberbeveiligingscertificeringsregeling op grond van artikel 27, lid 9, van deze verordening op ten minste zekerheidsniveau “substantieel” op grond van Verordening (EU) 2019/881.

4. Voor kritieke producten met digitale elementen die zijn opgenomen in bijlage IV, wordt de conformiteit met de essentiële cyberbeveiligingsvereisten van bijlage I aangetoond door middel van een van de volgende procedures:

• a) een Europese cyberbeveiligingscertificeringsregeling overeenkomstig artikel 8, lid 1, of
• b) indien niet aan de voorwaarden van artikel 8, lid 1, is voldaan, een van de in lid 3 van dit artikel bedoelde procedures.

5. Fabrikanten van producten met digitale elementen die als vrije en opensourcesoftware worden aangemerkt en die onder de categorieën van bijlage III vallen, kunnen aantonen dat zij aan de essentiële cyberbeveiligingsvereisten van bijlage I voldoen door middel van een van de in lid 1 van dit artikel bedoelde procedures, op voorwaarde dat de in artikel 31 bedoelde technische documentatie ter beschikking van het publiek wordt gesteld op het moment dat die producten in de handel worden gebracht.

6. Bij het vaststellen van de vergoedingen voor conformiteitsbeoordelingsprocedures wordt rekening gehouden met de specifieke belangen en behoeften van micro-ondernemingen en kleine en middelgrote ondernemingen, met inbegrip van start-ups, en die vergoedingen worden verlaagd in verhouding tot hun specifieke belangen en behoeften.