Artikel 7

1. Producten met digitale elementen met de belangrijkste functionaliteit van een categorie als vermeld in bijlage III worden geacht belangrijke producten met digitale elementen te zijn en worden onderworpen aan de in artikel 32, leden 2 en 3, bedoelde conformiteitsbeoordelingsprocedures. De integratie van een product met digitale elementen met de belangrijkste functionaliteit van een categorie als vermeld in bijlage III betekent op zich niet dat het product waarin het wordt geïntegreerd, wordt onderworpen aan de in artikel 32, leden 2 en 3, bedoelde conformiteitsbeoordelingsprocedures.

2. De in lid 1 van dit artikel bedoelde categorieën producten met digitale elementen, onderverdeeld in de klassen I en II als vermeld in bijlage III, voldoen aan ten minste een van de volgende criteria:

• a) het product met digitale elementen vervult voornamelijk functies die van kritiek belang zijn voor de cyberbeveiliging van andere producten, netwerken of diensten, waaronder het beveiligen van authenticatie en toegang, het voorkomen en opsporen van binnendringing, endpointbeveiliging of netwerkbeveiliging;
• b) het product met digitale elementen vervult een functie die een aanzienlijk risico op nadelige effecten inhoudt wat betreft de intensiteit ervan en het vermogen ervan om een groot aantal andere producten of de gezondheid, beveiliging of veiligheid van gebruikers ervan te verstoren, te controleren of te beschadigen door directe manipulatie, zoals een centrale systeemfunctie, waaronder netwerkbeheer, configuratiecontrole, virtualisering of verwerking van persoonsgegevens.

3. De Commissie is bevoegd om overeenkomstig artikel 61 gedelegeerde handelingen vast te stellen om bijlage III te wijzigen door in de lijst een nieuwe categorie op te nemen binnen elke klasse van de categorieën producten met digitale elementen en de definitie daarvan te specificeren, een categorie producten van de ene naar de andere klasse over te hevelen of een bestaande categorie van die lijst te schrappen. Bij de beoordeling van de noodzaak om de lijst in bijlage III te wijzigen, houdt de Commissie rekening met de cyberbeveiligingsgerelateerde functionaliteiten of de functie en het niveau van het cyberbeveiligingsrisico dat de producten met digitale elementen inhouden overeenkomstig de in lid 2 van dit artikel bedoelde criteria.

De in de eerste alinea van dit lid bedoelde gedelegeerde handelingen voorzien zo nodig in een minimale overgangsperiode van twaalf maanden, met name wanneer een nieuwe categorie belangrijke producten met digitale elementen wordt toegevoegd aan klasse I of II of wordt overgeheveld van klasse I naar klasse II als vermeld in bijlage III, voordat de desbetreffende conformiteitsbeoordelingsprocedures als bedoeld in artikel 32, leden 2 en 3, van toepassing worden, tenzij een kortere overgangsperiode om dwingende redenen van urgentie gerechtvaardigd is.

4. Uiterlijk op 11 december 2025 stelt de Commissie een uitvoeringshandeling vast met de technische beschrijving van de categorieën producten met digitale elementen van de klassen I en II als vermeld in bijlage III en de technische beschrijving van de categorieën producten met digitale elementen als vermeld in bijlage IV. Die uitvoeringshandeling wordt volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld.