Overwegingen

Cyberbeveiliging is een van de belangrijkste uitdagingen voor de Unie. Verbonden apparaten zullen de komende jaren exponentieel toenemen in aantal en verscheidenheid. Cyberaanvallen zijn een zaak van algemeen belang, omdat zij niet alleen een kritieke impact hebben op de economie van de Unie, maar ook op de democratie en de veiligheid en gezondheid van de consument. De aanpak van de Unie op het gebied van cyberbeveiliging moet derhalve worden versterkt, de cyberweerbaarheid worden aangepakt op Unieniveau en de werking van de interne markt worden verbeterd door een uniform rechtskader vast te stellen voor essentiële cyberbeveiligingsvereisten om producten met digitale elementen in de Unie in de handel te brengen. Twee grote problemen die kosten voor gebruikers en de samenleving met zich meebrengen, moeten worden aangepakt: een laag niveau van cyberbeveiliging van producten met digitale elementen, dat tot uiting komt in wijdverbreide kwetsbaarheden en de ontoereikende en inconsistente verstrekking van beveiligingsupdates om die aan te pakken, en onvoldoende inzicht in en toegang tot informatie door gebruikers, waardoor zij niet in staat zijn producten met passende cyberbeveiligingskenmerken te kiezen of die op een veilige manier te gebruiken.

Top of page

Deze verordening is erop gericht de randvoorwaarden te scheppen voor de ontwikkeling van veilige producten met digitale elementen door ervoor te zorgen dat hardware- en softwareproducten met minder kwetsbaarheden in de handel worden gebracht en dat fabrikanten de veiligheid gedurende de hele levenscyclus van een product serieus nemen. Zij is er ook op gericht de voorwaarden te scheppen die gebruikers in staat stellen rekening te houden met cyberbeveiliging bij het selecteren en gebruiken van producten met digitale elementen, bijvoorbeeld door de transparantie te verbeteren met betrekking tot de ondersteuningsperiode van producten met digitale elementen die op de markt worden aangeboden.

Top of page

Het relevante Unierecht dat van kracht is, omvat verschillende reeksen horizontale regels die betrekking hebben op bepaalde aspecten van cyberbeveiliging vanuit verschillende invalshoeken, waaronder maatregelen om de beveiliging van de digitale toeleveringsketen te verbeteren. Het bestaande Unierecht met betrekking tot cyberbeveiliging, met inbegrip van Verordening (EU) 2019/881 van het Europees Parlement en de Raad en Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad , heeft echter niet rechtstreeks betrekking op verplichte eisen voor de beveiliging van producten met digitale elementen.

Top of page

Hoewel het bestaande Unierecht van toepassing is op bepaalde producten met digitale elementen, bestaat er geen horizontaal regelgevingskader van de Unie met uitgebreide cyberbeveiligingsvereisten voor alle producten met digitale elementen. Met de verschillende handelingen en initiatieven die tot dusver op Unie- en nationaal niveau zijn genomen, worden de vastgestelde problemen en risico’s op het gebied van cyberbeveiliging slechts gedeeltelijk aangepakt, wat leidt tot het ontstaan van een lappendeken van wetgeving binnen de interne markt, waardoor de rechtsonzekerheid voor zowel fabrikanten als gebruikers van die producten toeneemt en bedrijven en organisaties onnodig worden belast om aan een groot aantal vereisten en verplichtingen voor soortgelijke producten te voldoen. De cyberbeveiliging van die producten heeft een sterke grensoverschrijdende dimensie, aangezien producten met digitale elementen die in één lidstaat of derde land worden vervaardigd, vaak door organisaties en consumenten op de gehele interne markt worden gebruikt. Dat maakt het noodzakelijk om het veld op het niveau van de Unie te reguleren, teneinde te zorgen voor een geharmoniseerd regelgevingskader en rechtszekerheid voor gebruikers, organisaties en bedrijven, met inbegrip van kleine, middelgrote en micro-ondernemingen zoals gedefinieerd in de bijlage bij Aanbeveling 2003/361/EG van de Commissie . Het regelgevingslandschap van de Unie moet worden geharmoniseerd door horizontale cyberbeveiligingsvereisten in te voeren voor producten met digitale elementen. Daarnaast zou er in de hele Unie moeten worden gezorgd voor rechtszekerheid voor marktdeelnemers en gebruikers en voor een betere harmonisatie van de interne markt, alsook evenredigheid voor kleine, middelgrote en micro-ondernemingen, waardoor de voorwaarden voor marktdeelnemers die die markt willen betreden, worden verbeterd.

Top of page

Wat betreft kleine, middelgrote en micro-ondernemingen, moeten bij het bepalen van de categorie waarin een onderneming valt, de bepalingen van de bijlage bij Aanbeveling 2003/361/EG in hun geheel worden toegepast. Daarom moeten bij de berekening van het aantal werkzame personen en van de financiële drempels ter bepaling van de categorieën ondernemingen ook de bepalingen worden toegepast van artikel 6 van de bijlage bij Aanbeveling 2003/361/EG inzake de vaststelling van de gegevens van een onderneming met inachtneming van specifieke soorten ondernemingen, zoals partnerondernemingen of verbonden ondernemingen.

Top of page

De Commissie moet richtsnoeren verstrekken om marktdeelnemers, in het bijzonder kleine, middelgrote en micro-ondernemingen, bij te staan bij de toepassing van deze verordening. Dergelijke richtsnoeren moeten onder meer betrekking hebben op het toepassingsgebied van deze verordening, met name gegevensverwerking op afstand en de gevolgen daarvan voor ontwikkelaars van vrije en opensourcesoftware, op de toepassing van de criteria die worden gebruikt om ondersteuningsperioden te bepalen voor producten met digitale elementen, op de wisselwerking tussen deze verordening en ander Unierecht, en de notie van ingrijpende wijziging.

Top of page

Op het niveau van de Unie wordt in diverse programmatische en politieke documenten, zoals de gezamenlijke mededeling van de Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid van 16 december 2020 getiteld “De EU-strategie inzake cyberbeveiliging voor het digitale tijdperk”, de conclusies van de Raad van 2 december 2020 over de cyberbeveiliging van verbonden apparaten en van 23 mei 2022 over de ontwikkeling van de cyberstrategie van de Europese Unie en de resolutie van het Europees Parlement van 10 juni 2021 over de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk , aangedrongen op specifieke cyberbeveiligingsvereisten van de Unie voor digitale of verbonden producten, in een context waarin verschillende derde landen maatregelen nemen om dat probleem op eigen initiatief aan te pakken. In het eindverslag van de Conferentie over de toekomst van Europa werd door de burgers gepleit voor “een sterkere rol voor de EU bij de bestrijding van cyberdreigingen”. Om ervoor te zorgen dat de Unie een leidende internationale rol op het gebied van cyberbeveiliging kan spelen, is het van belang een ambitieus regelgevingskader tot stand te brengen.

Top of page

Om het algemene cyberbeveiligingsniveau van alle producten met digitale elementen die op de interne markt worden gebracht, te verhogen, moeten voor die producten doelgerichte en technologieneutrale essentiële cyberbeveiligingsvereisten worden ingevoerd die horizontaal van toepassing zijn.

Top of page

Onder bepaalde omstandigheden kunnen alle producten met digitale elementen die zijn geïntegreerd in of verbonden met een groter elektronisch informatiesysteem, als aanvalsvector dienen voor kwaadwillige actoren. Als gevolg daarvan kunnen zelfs hardware en software die als minder kritiek worden beschouwd, een eerste aantasting van een apparaat of netwerk vergemakkelijken, waardoor kwaadwillige actoren geprivilegieerde toegang tot een systeem kunnen krijgen of zich zijwaarts tussen systemen kunnen bewegen. Fabrikanten moeten er daarom voor zorgen dat alle producten met digitale elementen worden ontworpen en ontwikkeld overeenkomstig de essentiële cyberbeveiligingsvereisten van deze verordening. Die verplichting heeft betrekking zowel op zowel producten die fysiek kunnen worden verbonden via hardware-interfaces als op producten die logisch worden verbonden, zoals netwerkaansluitingen, leidingen, bestanden, applicatieprogramma-interfaces of andere soorten software-interfaces. Aangezien cyberdreigingen zich kunnen verspreiden via verschillende producten met digitale elementen voordat zij een bepaald doel treffen, bijvoorbeeld door het koppelen van meerdere uitbuitingen van kwetsbaarheden, moeten fabrikanten ook zorgen voor de cyberbeveiliging van producten met digitale elementen die slechts indirect verbonden zijn met andere apparaten of netwerken.

Top of page

Door cyberbeveiligingsvereisten vast te stellen voor het in de handel brengen van producten met digitale elementen, is het de bedoeling dat de cyberbeveiliging van die producten voor zowel consumenten als bedrijven wordt verbeterd. Die vereisten zullen er ook voor zorgen dat cyberbeveiliging in alle toeleveringsketens in aanmerking wordt genomen om eindproducten met digitale elementen en hun componenten veiliger te maken. Daaronder vallen ook eisen voor het in de handel brengen van consumentenproducten met digitale elementen die bestemd zijn voor kwetsbare consumenten, zoals speelgoed en babymonitoringsystemen. Consumentenproducten met digitale elementen die in deze verordening onder een categorie van belangrijke producten met digitale elementen vallen, houden een hoger cyberbeveiligingsrisico in doordat zij een functie vervullen die een aanzienlijk risico op nadelige effecten inhoudt door de intensiteit ervan en het vermogen om de gezondheid, beveiliging of veiligheid van gebruikers van dergelijke producten te schaden, en moeten aan een strengere conformiteitsbeoordelingsprocedure worden onderworpen. Dat geldt voor producten als slimme huizen met beveiligingsfuncties, met inbegrip van slimme deursloten, babymonitoringsystemen en alarmsystemen, verbonden speelgoed en persoonlijke wearables met gezondheidstechnologie. Daarnaast zullen de strengere conformiteitsbeoordelingsprocedures voor producten met digitale elementen die in deze verordening onder een categorie van belangrijke of kritieke producten met digitale elementen vallen, ertoe bijdragen dat voor consumenten de mogelijk negatieve gevolgen van uitbuiting van kwetsbaarheden worden vermeden.

Top of page

Het doel van deze verordening is voor een hoog niveau van cyberbeveiliging te zorgen voor producten met digitale elementen en hun geïntegreerde oplossingen voor gegevensverwerking op afstand. Dergelijke oplossingen voor gegevensverwerking op afstand moeten worden gedefinieerd als gegevensverwerking vanop een afstand, waarvoor de software is ontworpen en ontwikkeld door of namens de fabrikant van het betrokken product met digitale elementen, bij gebreke waarvan het product met digitale elementen een van zijn functies niet zou kunnen vervullen. Dankzij die aanpak worden dergelijke producten volledig en op passende wijze beveiligd door de fabrikanten, ongeacht of de gegevens worden verwerkt of lokaal worden opgeslagen op het apparaat van de gebruiker dan wel op afstand door de fabrikant. Tegelijkertijd valt de verwerking of opslag op afstand slechts binnen het toepassingsgebied van deze verordening voor zover dat noodzakelijk is opdat een product met digitale elementen zijn functies vervult. Een dergelijke verwerking of opslag op afstand heeft ook betrekking op situaties waarbij een mobiele applicatie toegang vereist tot een applicatieprogramma-interface of tot een databank die wordt geleverd door middel van een door de fabrikant ontwikkelde dienst. In dat geval valt die dienst binnen het toepassingsgebied van deze verordening als een oplossing voor gegevensverwerking op afstand. De vereisten met betrekking tot oplossingen voor gegevensverwerking op afstand die binnen het toepassingsgebied van deze verordening vallen, omvatten derhalve geen technische, operationele of organisatorische maatregelen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen van een fabrikant als geheel te beheren.

Top of page

Bij cloudoplossingen gaat het enkel om oplossingen voor gegevensverwerking op afstand in de zin van deze verordening indien zij voldoen aan de definitie van deze verordening. Zo vallen voor de cloud geschikte functies van een fabrikant van slimme huishoudelijke apparaten die gebruikers in staat stellen het apparaat op afstand te bedienen, binnen het toepassingsgebied van deze verordening. Anderzijds vallen websites die de functionaliteit van een product met digitale elementen niet ondersteunen of clouddiensten die zijn ontworpen en ontwikkeld buiten de verantwoordelijkheid van een fabrikant van een product met digitale elementen, niet binnen het toepassingsgebied van deze verordening. Richtlijn (EU) 2022/2555 is van toepassing op cloudcomputerdiensten en cloudmodellen, zoals software als dienst ( Software as a Service — SaaS), platform als dienst ( Platform as a Service — PaaS) of infrastructuur als dienst ( Infrastructure as a Service — IaaS). Entiteiten die cloudcomputerdiensten aanbieden in de Unie en die als middelgrote ondernemingen worden aangemerkt uit hoofde van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG, of die de in lid 1 van dat artikel vastgestelde drempels voor middelgrote ondernemingen overschrijden, vallen binnen het toepassingsgebied van die richtlijn.

Top of page

Overeenkomstig de doelstelling van deze verordening om belemmeringen voor het vrije verkeer van producten met digitale elementen weg te nemen, mogen de lidstaten, met betrekking tot de onder deze verordening vallende aangelegenheden, niet beletten dat producten met digitale elementen die aan deze verordening voldoen, op de markt worden aangeboden. Daarom mogen de lidstaten voor aangelegenheden die door deze verordening worden geharmoniseerd, geen aanvullende cyberbeveiligingsvereisten opleggen voor het op de markt aanbieden van producten met digitale elementen. Elke publieke of private entiteit kan echter, naast de vereisten van deze verordening, aanvullende eisen vaststellen voor de aankoop of het gebruik van producten met digitale elementen voor haar specifieke doeleinden, en kan er daarom voor kiezen producten met digitale elementen te gebruiken die voldoen aan strengere of specifiekere cyberbeveiligingsvereisten dan die welke uit hoofde van deze verordening gelden voor het op de markt aanbieden ervan. Onverminderd de Richtlijnen 2014/24/EU en 2014/25/EU van het Europees Parlement en de Raad moeten de lidstaten er, bij de aankoop van producten met digitale elementen, die moeten voldoen aan de essentiële cyberbeveiligingsvereisten van deze verordening, met inbegrip van de eisen inzake de respons op kwetsbaarheden, voor zorgen dat bij het aankoopproces rekening wordt gehouden met dergelijke eisen en met het vermogen van de fabrikanten om cyberbeveiligingsmaatregelen doeltreffend toe te passen en cyberdreigingen te beheren. Voorts bevat Richtlijn (EU) 2022/2555 maatregelen voor het beheer van cyberbeveiligingsrisico’s voor essentiële en belangrijke entiteiten als bedoeld in artikel 3 van die richtlijn, waaruit maatregelen voor de beveiliging van de toeleveringsketen kunnen voortvloeien waarbij dergelijke entiteiten producten met digitale elementen moeten gebruiken die voldoen aan strengere cyberbeveiligingsvereisten dan die van deze verordening. In overeenstemming met Richtlijn (EU) 2022/2555 en het daarin opgenomen beginsel van minimumharmonisatie, kunnen de lidstaten daarom aanvullende cyberbeveiligingsvereisten opleggen voor het gebruik van ICT (informatie- en communicatietechnologie) -producten door essentiële of belangrijke entiteiten op grond van die richtlijn, teneinde een hoger niveau van cyberbeveiliging te waarborgen, mits die vereisten stroken met de verplichtingen van de lidstaten die zijn vastgelegd in het Unierecht. Niet-technische factoren die verband houden met producten met digitale elementen en de fabrikanten ervan vallen bijvoorbeeld niet onder deze verordening. De lidstaten kunnen daarom nationale maatregelen vaststellen, met inbegrip van beperkingen op producten met digitale elementen of leveranciers van dergelijke producten, waarbij rekening wordt gehouden met niet-technische factoren. Van nationale maatregelen met betrekking tot dergelijke factoren wordt vereist dat zij in overeenstemming zijn met het Unierecht.

Top of page

Deze verordening mag geen afbreuk doen aan de verantwoordelijkheid van de lidstaten om in overeenstemming met het Unierecht maatregelen te nemen ter bescherming van de nationale veiligheid. De lidstaten moeten producten met digitale elementen die voor nationale veiligheids- of defensiedoeleinden worden aangekocht of gebruikt, aan aanvullende maatregelen kunnen onderwerpen, mits die maatregelen stroken met de verplichtingen van de lidstaten die zijn vastgelegd in het Unierecht.

Top of page

Deze verordening is alleen van toepassing op marktdeelnemers met betrekking tot producten met digitale elementen die op de markt worden aangeboden, en dus in het kader van een handelsactiviteit worden geleverd voor distributie of gebruik op de markt van de Unie. De levering in het kader van een handelsactiviteit wordt mogelijk niet alleen gekenmerkt door het in rekening brengen van een prijs voor een product met digitale elementen, maar ook door het in rekening brengen van een prijs voor technische ondersteuningsdiensten indien die prijs niet alleen dient om de gemaakte kosten te dekken, door een intentie van tegeldemaking, bijvoorbeeld door het aanbieden van een softwareplatform waarmee de fabrikant andere diensten te gelde maakt, door als voorwaarde voor gebruik de verwerking van persoonsgegevens te eisen voor andere redenen dan uitsluitend de verbetering van de beveiliging, compatibiliteit of interoperabiliteit van de software, of door donaties te accepteren die de kosten van het ontwerp, de ontwikkeling en de levering van een product met digitale elementen overstijgen. Het aanvaarden van schenkingen zonder winstoogmerk mag niet worden beschouwd als een handelsactiviteit.

Top of page

De levering van producten met digitale elementen in het kader van een dienstverrichting waarvoor uitsluitend een vergoeding wordt aangerekend om de werkelijke kosten te dekken die rechtstreeks verband houden met de verrichting van die dienst, bijvoorbeeld in het geval van bepaalde producten met digitale elementen die door overheidsinstanties worden geleverd, mogen niet alleen op basis daarvan als een handelsactiviteit worden beschouwd voor de toepassing van deze verordening. Bovendien mogen producten met digitale elementen die door een overheidsinstantie uitsluitend voor eigen gebruik worden ontwikkeld of gewijzigd, niet worden beschouwd als producten die op de markt worden aangeboden in de zin van deze verordening.

Top of page

Software en gegevens die openlijk worden gedeeld en die, of gewijzigde versies ervan, vrij toegankelijk, bruikbaar, wijzigbaar en herdistribueerbaar zijn door gebruikers, kunnen bijdragen aan onderzoek en innovatie op de markt. Om de ontwikkeling en uitrol van vrije en opensourcesoftware te bevorderen, met name door kleine, middelgrote en micro-ondernemingen, met inbegrip van start-ups, particulieren, organisaties zonder winstoogmerk en academische onderzoeksorganisaties, moet bij de toepassing van deze verordening op als vrije en opensourcesoftware aangemerkte producten met digitale elementen die in het kader van een handelsactiviteit worden geleverd voor distributie of gebruik, rekening worden gehouden met de aard van de verschillende ontwikkelingsmodellen voor software die worden gedistribueerd en ontwikkeld onder licenties voor vrije en opensourcesoftware.

Top of page

Vrije en opensourcesoftware wordt beschouwd als software waarvan de broncode openlijk wordt gedeeld en die beschikbaar wordt gesteld onder een licentie die voorziet in alle rechten om die vrijelijk toegankelijk, bruikbaar, wijzigbaar en herdistribueerbaar te maken. Vrije en opensourcesoftware wordt openlijk ontwikkeld, onderhouden en gedistribueerd, onder meer via onlineplatforms. Wat de marktdeelnemers betreft waarop deze verordening van toepassing is, mag alleen vrije en opensourcesoftware die op de markt wordt aangeboden en derhalve wordt geleverd voor distributie of gebruik in het kader van een handelsactiviteit, binnen het toepassingsgebied van deze verordening vallen. Bij het bepalen van het handels- of niet-handelskarakter van die activiteit mag derhalve geen rekening worden gehouden met de loutere omstandigheden waaronder het product met digitale elementen is ontwikkeld of met de wijze waarop de ontwikkeling ervan is gefinancierd. Meer in het bijzonder mag voor de toepassing van deze verordening en voor de marktdeelnemers die onder deze verordening vallen, om een duidelijk onderscheid te maken tussen de ontwikkelings- en leveringsfase, de levering van producten met digitale elementen die als vrije en opensourcesoftware worden aangemerkt en die niet door de fabrikanten te gelde worden gemaakt, niet als een handelsactiviteit worden beschouwd. Voorts mag de levering van producten met digitale elementen die als componenten voor vrije en opensourcesoftware worden aangemerkt en bestemd zijn om door andere fabrikanten in hun eigen producten met digitale elementen te worden verwerkt, alleen worden beschouwd als het op de markt aanbieden indien de component door de oorspronkelijke fabrikant te gelde is gemaakt. Zo mag het loutere feit dat een opensourcesoftwareproduct met digitale elementen financiële steun ontvangt van fabrikanten of dat fabrikanten bijdragen aan de ontwikkeling van een dergelijk product, op zich niet bepalend zijn voor het handelskarakter van de activiteit. Bovendien mag het gegeven alleen dat er regelmatige releases voorkomen, niet tot de conclusie leiden dat een product met digitale elementen wordt geleverd in het kader van een handelsactiviteit. Ten slotte mag voor de toepassing van deze verordening, de ontwikkeling door non-profitorganisaties van producten met digitale elementen die als vrije en opensourcesoftware worden aangemerkt, niet als een handelsactiviteit worden beschouwd, mits de organisatie zodanig is opgezet dat alle inkomsten na aftrek van kosten worden aangewend om doelstellingen zonder winstoogmerk te verwezenlijken. Deze verordening is niet van toepassing op natuurlijke of rechtspersonen die met broncode bijdragen aan producten met digitale elementen die als vrije en opensourcesoftware worden aangemerkt en niet onder hun verantwoordelijkheid vallen.

Top of page

Gezien het belang voor cyberbeveiliging bij veel producten met digitale elementen die als vrije en opensourcesoftware worden aangemerkt en die worden gepubliceerd, maar niet op de markt worden aangeboden in de zin van deze verordening, moeten rechtspersonen die op langdurige basis de ontwikkeling ondersteunen van dergelijke producten die zijn bestemd voor handelsactiviteiten, en die een belangrijke rol spelen bij het waarborgen van de levensvatbaarheid van die producten (opensourcesoftwarestewards), worden onderworpen aan een minder restrictief en op maat gesneden regelgevingskader. Tot opensourcesoftwarestewards behoren bepaalde stichtingen en entiteiten die vrije en opensourcesoftware ontwikkelen en publiceren in een zakelijke context, met inbegrip van entiteiten zonder winstoogmerk. In het regelgevingskader moet rekening worden gehouden met de specifieke aard van die opensourcesoftwarestewards en met de verenigbaarheid met het soort verplichtingen dat wordt opgelegd. Het regelgevingskader mag enkel betrekking hebben op producten met digitale elementen die als vrije en opensourcesoftware kunnen worden aangemerkt en die uiteindelijk bestemd zijn voor handelsactiviteiten, zoals voor integratie in handelsdiensten of in te gelde gemaakte producten met digitale elementen. Voor de toepassing van dat regelgevingskader omvat een voornemen om producten met digitale elementen te integreren in producten die te gelde gemaakt worden, ook gevallen waarin fabrikanten die een component in hun eigen producten met digitale elementen integreren, regelmatig bijdragen tot de ontwikkeling van die component dan wel regelmatige financiële bijstand verlenen om de continuïteit van een softwareproduct te waarborgen. Het verlenen van langdurige ondersteuning voor de ontwikkeling van een product met digitale elementen omvat onder meer het hosten en beheren van samenwerkingsplatforms voor softwareontwikkeling, het hosten van broncodes of software, het besturen of beheren van producten met digitale elementen die als vrije en opensourcesoftware worden aangemerkt, alsook het aansturen van de ontwikkeling van dergelijke producten. Aangezien het minder restrictieve en op maat gesneden regelgevingskader niet dezelfde verplichtingen oplegt aan opensourcesoftwarestewards als aan fabrikanten uit hoofde van deze verordening, mag het opensourcesoftwarestewards niet worden toegestaan de CE-markering aan te brengen op producten met digitale elementen waarvan zij de ontwikkeling ondersteunen.

Top of page

Het louter hosten van producten met digitale elementen in open databases, onder meer via pakketbeheerders of op samenwerkingsplatforms, vormt op zich niet het op de markt aanbieden van een product met digitale elementen. Aanbieders van dergelijke diensten mogen alleen als distributeur worden beschouwd indien zij dergelijke software op de markt aanbieden en dus leveren voor distributie of gebruik op de markt van de Unie in het kader van een handelsactiviteit.

Top of page

Ter ondersteuning en vereenvoudiging van de passende zorgvuldigheid bij fabrikanten die componenten voor vrije en opensourcesoftware, die niet onder de essentiële cyberbeveiligingsvereisten van deze verordening vallen, integreren in hun producten met digitale elementen, moet de Commissie vrijwillige beveiligingsattestatieprogramma’s kunnen opzetten, hetzij door middel van een gedelegeerde handeling ter aanvulling van deze verordening, hetzij door op grond van artikel 48 van Verordening (EU) 2019/881 te verzoeken een Europese cyberbeveiligingscertificeringsregeling op te stellen die rekening houdt met de specifieke kenmerken van de ontwikkelingsmodellen voor vrije en opensourcesoftware. De beveiligingsattestatieprogramma’s moeten zodanig worden opgezet dat de beveiligingsattestatie niet alleen kan worden geïnitieerd of gefinancierd door natuurlijke of rechtspersonen die een als vrije en opensourcesoftware aangemerkt product met digitale elementen ontwikkelen of daartoe bijdragen, maar ook door derden, zoals fabrikanten die dergelijke producten met digitale elementen integreren in hun eigen producten, gebruikers of EU- en nationale overheidsdiensten.

Top of page

Gelet op de doelstellingen van deze verordening inzake publieke cyberbeveiliging en om het situationeel bewustzijn van de lidstaten te verbeteren met betrekking tot de afhankelijkheid van de Unie van softwarecomponenten, en in het bijzonder van componenten voor potentieel vrije en opensourcesoftware, moet een bij deze verordening opgerichte speciale administratievesamenwerkingsgroep ( administrative cooperation group , ADCO) kunnen besluiten gezamenlijk een beoordeling uit te voeren over de afhankelijkheid van de Unie. Markttoezichtautoriteiten moeten fabrikanten van door de ADCO vastgestelde categorieën producten met digitale elementen kunnen verzoeken de softwarestuklijst van materialen in te dienen die zij op grond van deze verordening hebben gegenereerd. Om de vertrouwelijkheid van softwarestuklijsten te beschermen, moeten markttoezichtautoriteiten relevante informatie over afhankelijkheden op een geanonimiseerde en geaggregeerde manier aan de ADCO verstrekken.

Top of page

De doeltreffendheid van de uitvoering van deze verordening zal ook afhangen van de beschikbaarheid van passende vaardigheden op het gebied van cyberbeveiliging. Op het niveau van de Unie wordt in diverse programmatische en politieke documenten, waaronder de mededeling van de Commissie van 18 april 2023 over het wegwerken van het tekort aan cyberbeveiligingsprofessionals om het concurrentievermogen, de groei en de veerkracht van Europa te versterken en de conclusies van de Raad van 22 mei 2023 over het EU-beleid inzake cyberdefensie, bevestigd dat in de Unie een tekort bestaat aan vaardigheden op het gebied van cyberbeveiliging en dat dergelijke uitdagingen prioritair moeten worden aangepakt, zowel in de publieke als in de particuliere sector. Met het oog op een doeltreffende uitvoering van deze verordening moeten de lidstaten ervoor zorgen dat er voldoende middelen beschikbaar zijn om de markttoezichtautoriteiten en conformiteitsbeoordelingsinstanties naar behoren te voorzien van personeel, zodat zij hun in deze verordening vastgestelde taken kunnen uitvoeren. Die maatregelen moeten de mobiliteit van werknemers op het gebied van cyberbeveiliging en in aanverwante loopbaantrajecten vergroten. Evenzo moeten zij zorgen voor meer veerkracht en inclusiviteit, ook op het vlak van gender, bij het personeel op het gebied van cyberbeveiliging. De lidstaten moeten daarom maatregelen treffen om ervoor te zorgen dat die taken worden uitgevoerd door naar behoren opgeleide professionals met de nodige vaardigheden op het gebied van cyberbeveiliging. Evenzo moeten fabrikanten ervoor zorgen dat hun personeel over de nodige vaardigheden beschikt om hun verplichtingen zoals vastgelegd in deze verordening na te leven. De lidstaten en de Commissie moeten, in overeenstemming met hun prerogatieven en bevoegdheden en hun specifieke taken uit hoofde van deze verordening, maatregelen nemen ter ondersteuning van fabrikanten, en in het bijzonder kleine, middelgrote en micro-ondernemingen, met inbegrip van start-ups, ook op gebieden als de ontwikkeling van vaardigheden, ten behoeve van de nakoming van hun verplichtingen zoals vastgelegd in deze verordening. Daarnaast en aangezien de lidstaten op grond van Richtlijn (EU) 2022/2555 verplicht zijn, als onderdeel van hun nationale cyberbeveiligingsstrategieën, beleid vast te stellen ter bevordering en ontwikkeling van opleiding op het gebied van cyberbeveiliging en cyberbeveiligingsvaardigheden, kunnen zij bij de vaststelling van dergelijke strategieën ook overwegen tegemoet te komen aan de behoeften aan vaardigheden op het gebied van cyberbeveiliging die voortvloeien uit deze verordening, met inbegrip van de behoeften aan omscholing en bijscholing.

Top of page

Een veilig internet is onontbeerlijk voor de werking van kritieke infrastructuur en voor de samenleving als geheel. Richtlijn (EU) 2022/2555 heeft tot doel een hoog niveau van cyberbeveiliging te waarborgen van diensten die worden verleend door in artikel 3 van die richtlijn bedoelde essentiële en belangrijke entiteiten, waaronder aanbieders van digitale infrastructuur die de kernfuncties van het open internet ondersteunen, zorgen voor internettoegang en internetdiensten verlenen. Het is daarom belangrijk dat de producten met digitale elementen die aanbieders van digitale infrastructuur nodig hebben om de werking van het internet te waarborgen, op een veilige manier worden ontwikkeld en voldoen aan gevestigde normen voor internetbeveiliging. Deze verordening, die van toepassing is op alle hardware- en softwareproducten die verbonden kunnen worden, heeft ook tot doel de naleving door aanbieders van digitale infrastructuur van de vereisten voor de toeleveringsketen uit hoofde van Richtlijn (EU) 2022/2555 te vergemakkelijken, door ervoor te zorgen dat de producten met digitale elementen die zij voor de verlening van hun diensten gebruiken, op veilige wijze worden ontwikkeld en dat zij toegang hebben tot tijdige beveiligingsupdates voor dergelijke producten.

Top of page

Verordening (EU) 2017/745 van het Europees Parlement en de Raad bevat voorschriften voor medische hulpmiddelen en Verordening (EU) 2017/746 van het Europees Parlement en de Raad bevat voorschriften voor medische hulpmiddelen voor in-vitrodiagnostiek. Die verordeningen pakken cyberbeveiligingsrisico’s aan en volgen specifieke benaderingen die ook in deze verordening aan bod komen. Meer in het bijzonder bevatten de Verordeningen (EU) 2017/745 en (EU) 2017/746 essentiële eisen voor medische hulpmiddelen die via een elektronisch systeem functioneren of die zelf software zijn. Bepaalde niet-ingebedde software en de gehelelevenscyclusbenadering vallen ook onder die verordeningen. Die eisen verplichten fabrikanten om hun producten te ontwikkelen en te bouwen door de beginselen van risicobeheer toe te passen en door eisen vast te stellen met betrekking tot IT-beveiligingsmaatregelen en bijbehorende conformiteitsbeoordelingsprocedures. Bovendien bestaan er sinds december 2019 specifieke richtsnoeren inzake cyberbeveiliging voor medische hulpmiddelen, die fabrikanten van medische hulpmiddelen, met inbegrip van hulpmiddelen voor in-vitrodiagnostiek, ondersteuning bieden om aan alle relevante essentiële eisen van bijlage I bij die verordeningen met betrekking tot cyberbeveiliging te voldoen. Producten met digitale elementen waarop een van die verordeningen van toepassing is, mogen daarom niet onder deze verordening vallen.

Top of page

Producten met digitale elementen die uitsluitend voor doeleinden van nationale veiligheid of voor defensiedoeleinden zijn ontwikkeld of gewijzigd, of producten die specifiek zijn ontworpen voor de verwerking van gerubriceerde informatie, vallen buiten het toepassingsgebied van deze verordening. De lidstaten worden aangemoedigd om voor die producten hetzelfde of een hoger beschermingsniveau te waarborgen als voor producten die binnen het toepassingsgebied van deze verordening vallen.

Top of page

Bij Verordening (EU) 2019/2144 van het Europees Parlement en de Raad zijn voorschriften vastgesteld voor de typegoedkeuring van voertuigen en van de systemen en onderdelen daarvan, waarbij bepaalde cyberbeveiligingsvereisten worden ingevoerd, onder meer inzake het gebruik van een gecertificeerd beheersysteem voor cyberbeveiliging en inzake software-updates, die betrekking hebben op het beleid en de processen van organisaties voor cyberbeveiligingsrisico’s in verband met de gehele levenscyclus van voertuigen, apparatuur en diensten in overeenstemming met de toepasselijke voorschriften van de Verenigde Naties inzake technische specificaties en cyberbeveiliging, met name VN-Reglement nr. 155 inzake uniforme bepalingen voor de goedkeuring van voertuigen met betrekking tot cyberbeveiliging en het beheersysteem voor cyberbeveiliging , en waarin wordt voorzien in specifieke conformiteitsbeoordelingsprocedures. Wat de luchtvaart betreft, is de belangrijkste doelstelling van Verordening (EU) 2018/1139 van het Europees Parlement en de Raad de totstandbrenging en instandhouding van een hoog, uniform veiligheidsniveau in de burgerluchtvaart in de Unie. Daarmee komt een kader tot stand voor essentiële eisen inzake luchtwaardigheid voor luchtvaartproducten, hun onderdelen en apparatuur, met inbegrip van software, waarin verplichtingen opgenomen zijn om te beschermen tegen bedreigingen van de informatiebeveiliging. Het certificeringsproces uit hoofde van Verordening (EU) 2018/1139 waarborgt het zekerheidsniveau dat met deze verordening wordt beoogd. Producten met digitale elementen waarop Verordening (EU) 2019/2144 van toepassing is en producten die zijn gecertificeerd overeenkomstig Verordening (EU) 2018/1139, mogen derhalve niet onderworpen zijn aan de in deze verordening vastgestelde essentiële cyberbeveiligingsvereisten en conformiteitsbeoordelingsprocedures.

Top of page

Bij deze verordening worden horizontale cyberbeveiligingsregels vastgesteld die niet specifiek zijn voor sectoren of voor bepaalde producten met digitale elementen. Niettemin zouden er sectorale of productspecifieke voorschriften van de Unie kunnen worden ingevoerd met eisen die betrekking hebben op alle of een deel van de risico’s die onder de essentiële cyberbeveiligingsvereisten van deze verordening vallen. In dergelijke gevallen kan de toepassing van deze verordening op producten met digitale elementen die vallen onder andere voorschriften van de Unie waarin eisen worden vastgesteld met betrekking tot alle of een deel van de risico’s die worden gedekt door de essentiële cyberbeveiligingsvereisten van deze verordening, worden beperkt of uitgesloten indien een dergelijke beperking of uitsluiting in overeenstemming is met het algemene regelgevingskader dat op die producten van toepassing is, en de sectorale voorschriften minstens hetzelfde beschermingsniveau bieden als deze verordening. De Commissie moet de bevoegdheid krijgen gedelegeerde handelingen vast te stellen om deze verordening aan te vullen door dergelijke producten en voorschriften aan te wijzen. Deze verordening bevat specifieke bepalingen voor bestaand Unierecht waarvoor dergelijke beperkingen of uitsluitingen moeten gelden, om de relatie met dat Unierecht te verduidelijken.

Top of page

Om ervoor te zorgen dat producten met digitale elementen die op de markt worden aangeboden, doeltreffend kunnen worden gerepareerd en de duurzaamheid ervan kan worden verlengd, moet een vrijstelling worden verleend voor reserveonderdelen. Die vrijstelling moet zowel betrekking hebben op reserveonderdelen die bedoeld zijn voor de reparatie van oudere producten die vóór de datum van toepassing van deze verordening werden aangeboden, als op reserveonderdelen die reeds een conformiteitsbeoordelingsprocedure op grond van deze verordening hebben ondergaan.

Top of page

Bij Gedelegeerde Verordening (EU) 2022/30 van de Commissie is gespecificeerd dat een aantal essentiële eisen van artikel 3, lid 3, punten d), e) en f), van Richtlijn 2014/53/EU van het Europees Parlement en de Raad in verband met netwerkschade en misbruik van netwerkmiddelen, persoonsgegevens en privacy, en fraude, van toepassing is op bepaalde radioapparatuur. Uitvoeringsbesluit C(2022) 5637 van de Commissie van 5 augustus 2022 betreffende een normalisatieverzoek aan het Europees Comité voor normalisatie en het Europees Comité voor elektrotechnische normalisatie bevat voorschriften voor de ontwikkeling van specifieke normen waarin nader wordt gespecificeerd hoe die essentiële eisen moeten worden aangepakt. De bij deze verordening vastgestelde essentiële cyberbeveiligingsvereisten omvatten alle elementen van de in artikel 3, lid 3, punten d), e) en f), van Richtlijn 2014/53/EU bedoelde essentiële eisen. Daarnaast zijn de in deze verordening vastgestelde essentiële cyberbeveiligingsvereisten afgestemd op de doelstellingen van de eisen voor specifieke normen die in dat normalisatieverzoek zijn opgenomen. Wanneer de Commissie Gedelegeerde Verordening (EU) 2022/30 intrekt of wijzigt met als gevolg dat die niet langer van toepassing is op bepaalde producten die onder deze verordening vallen, moeten de Commissie en de Europese normalisatieorganisaties bij de voorbereiding en ontwikkeling van geharmoniseerde normen derhalve rekening houden met de normalisatiewerkzaamheden die in het kader van Uitvoeringsbesluit C(2022)5637 zijn verricht om de uitvoering van deze verordening te vergemakkelijken. Tijdens de overgangsperiode voor de toepassing van deze verordening moet de Commissie richtsnoeren verstrekken aan fabrikanten die onder deze verordening en ook onder Gedelegeerde Verordening (EU) 2022/30 vallen, zodat het eenvoudiger wordt om aan te tonen dat beide verordeningen worden nageleefd.

Top of page

Richtlijn (EU) 2024/2853 van het Europees Parlement en de Raad vormt een aanvulling op deze verordening. Die richtlijn bevat aansprakelijkheidsregels voor gebrekkige producten, zodat benadeelden schadevergoeding kunnen vorderen wanneer schade is veroorzaakt door gebrekkige producten. Zij stelt het beginsel vast dat de fabrikant van een product aansprakelijk is voor schade die wordt veroorzaakt door een gebrek aan veiligheid in zijn product, ongeacht of er sprake is van schuld (risicoaansprakelijkheid). Wanneer een dergelijk gebrek aan veiligheid voortkomt uit een gebrek aan beveiligingsupdates nadat het product in de handel is gebracht, en daardoor schade wordt veroorzaakt, kan de fabrikant aansprakelijk worden gesteld. In deze verordening moeten verplichtingen voor fabrikanten worden vastgesteld die betrekking hebben op het verstrekken van dergelijke beveiligingsupdates.

Top of page

Deze verordening mag geen afbreuk doen aan Verordening (EU) 2016/679 van het Europees Parlement en de Raad , met inbegrip van bepalingen betreffende de vaststelling van certificeringsmechanismen voor gegevensbescherming en van gegevensbeschermingszegels en -merktekens, om de naleving van die verordening bij verwerkingen door verwerkingsverantwoordelijken en verwerkers aan te tonen. Dergelijke handelingen zouden kunnen worden ingebed in een product met digitale elementen. Gegevensbescherming door ontwerp en door standaardinstellingen, en cyberbeveiliging in het algemeen, zijn essentiële elementen van Verordening (EU) 2016/679. Door consumenten en organisaties te beschermen tegen cyberbeveiligingsrisico’s, moeten de essentiële cyberbeveiligingsvereisten van deze verordening ook bijdragen tot een betere bescherming van persoonsgegevens en privacy van personen. Synergieën op het gebied van zowel normalisatie als certificering van cyberbeveiligingsaspecten moeten in aanmerking worden genomen in het kader van de samenwerking tussen de Commissie, de Europese normalisatieorganisaties, het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), het Europees Comité voor gegevensbescherming, opgericht bij Verordening (EU) 2016/679, en de nationale toezichthoudende autoriteiten voor gegevensbescherming. Ook op het gebied van markttoezicht en handhaving moeten synergieën tussen deze verordening en het gegevensbeschermingsrecht van de Unie worden gecreëerd. Daartoe moeten de krachtens deze verordening aangewezen nationale markttoezichtautoriteiten samenwerken met autoriteiten die toezicht houden op de toepassing van het gegevensbeschermingsrecht van de Unie. Ook moeten die laatsten toegang hebben tot informatie die relevant is voor de uitvoering van hun taken.

Top of page

Voor zover hun producten binnen het toepassingsgebied van deze verordening vallen, moeten aanbieders van Europese portemonnees voor digitale identiteit als bedoeld in artikel 5 bis, lid 2, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad zowel voldoen aan de horizontale essentiële cyberbeveiligingsvereisten van deze verordening als aan de specifieke beveiligingsvereisten van artikel 5 bis van Verordening (EU) nr. 910/2014. Om de naleving te vergemakkelijken, moeten aanbieders van Europese portemonnees voor digitale identiteit kunnen aantonen dat die portemonnees voldoen aan de vereisten van respectievelijk deze verordening en Verordening (EU) nr. 910/2014, door hun producten te certificeren in het kader van een Europese cyberbeveiligingscertificeringsregeling die is vastgesteld uit hoofde van Verordening (EU) 2019/881 en waarvoor de Commissie door middel van gedelegeerdehandelingen heeft voorzien in een vermoeden van conformiteit met deze verordening, voor zover het certificaat, of delen daarvan, die vereisten dekt.

Top of page

Wanneer fabrikanten tijdens de ontwerp- en ontwikkelingsfase bij derden ingekochte componenten integreren in producten met digitale elementen, moeten zij, om ervoor te zorgen dat de producten worden ontworpen, ontwikkeld en vervaardigd in overeenstemming met de essentiële cyberbeveiligingsvereisten van deze verordening, de passende zorgvuldigheid betrachten ten aanzien van die componenten, met inbegrip van vrije en opensourcesoftwarecomponenten die niet op de markt zijn aangeboden. Het passendezorgvuldigheidsniveau hangt af van de aard en het niveau van het cyberbeveiligingsrisico dat aan een bepaalde component verbonden is, en daarom moet daar rekening worden gehouden met een of meer van de volgende maatregelen: in voorkomend geval nagaan of de fabrikant van een component heeft aangetoond deze verordening na te leven, onder meer door te controleren of de component reeds voorzien is van de CE-markering; nagaan of een component regelmatig beveiligingsupdates ontvangt, bijvoorbeeld door de geschiedenis van de beveiligingsupdates te controleren; verifiëren of een component vrij is van kwetsbaarheden die zijn geregistreerd in de op grond van artikel 12, lid 2, van Richtlijn (EU) 2022/2555 ingestelde Europese kwetsbaarheidsdatabase of andere openbaar toegankelijke kwetsbaarheidsdatabases; of aanvullende veiligheidstests uitvoeren. De in deze verordening vastgestelde verplichtingen inzake de respons op kwetsbaarheden waaraan fabrikanten moeten voldoen wanneer zij een product met digitale elementen in de handel brengen en voor de duur van de ondersteuningsperiode, zijn van toepassing op producten met digitale elementen in hun geheel, met inbegrip van alle geïntegreerde componenten. Wanneer de fabrikant van het product met digitale elementen bij het betrachten van de passende zorgvuldigheid een kwetsbaarheid in een component vaststelt, ook in een vrije en opensourcecomponent, moet hij de persoon of entiteit die de component vervaardigt of onderhoudt op de hoogte brengen, de kwetsbaarheid aanpakken en verhelpen en, indien van toepassing, de persoon of entiteit de toegepaste beveiligingsoplossing bezorgen.

Top of page

Onmiddellijk na de overgangsperiode voor de toepassing van deze verordening is het mogelijk dat een fabrikant van een product met digitale elementen met daarin een of meer componenten afkomstig van derden die ook onder deze verordening vallen, in het kader van zijn passendezorgvuldigheidsverplichting niet kan nagaan of de fabrikanten van die componenten de conformiteit met deze verordening hebben aangetoond door bijvoorbeeld te controleren of de componenten reeds van de CE-markering zijn voorzien. Dat kan gebeuren wanneer de componenten zijn geïntegreerd voordat deze verordening van toepassing wordt op de fabrikanten van die componenten. In dat geval moet een fabrikant die dergelijke componenten integreert, andere middelen inzetten om de passende zorgvuldigheid te betrachten.

Top of page

Op producten met digitale elementen moet de CE-markering zichtbaar, leesbaar en onuitwisbaar worden aangebracht om aan te geven dat zij in overeenstemming zijn met deze verordening, zodat zij vrij kunnen bewegen op de interne markt. De lidstaten mogen het in de handel brengen van producten met digitale elementen die aan de eisen van deze verordening voldoen en waarop de CE-markering is aangebracht, niet op ongerechtvaardigde wijze belemmeren. De lidstaten mogen voorts niet beletten dat op handelsbeurzen, tentoonstellingen en demonstraties of soortgelijke evenementen een product met digitale elementen wordt gepresenteerd en gebruikt dat niet aan deze verordening voldoet, met inbegrip van prototypes daarvan, mits het product wordt gepresenteerd met een zichtbaar teken dat duidelijk aangeeft dat het product niet aan deze verordening voldoet en dat het pas op de markt mag worden aangeboden zodra het dat wel doet.

Top of page

Om ervoor te zorgen dat fabrikanten software voor testdoeleinden kunnen uitgeven alvorens hun producten met digitale elementen aan een conformiteitsbeoordeling te onderwerpen, mogen de lidstaten het beschikbaar stellen van niet-afgewerkte software, zoals alfa- en bètaversies of release candidates, niet verhinderen, mits de niet-afgewerkte software slechts beschikbaar wordt gesteld voor de tijd die nodig is om die te testen en feedback te verzamelen. Fabrikanten moeten ervoor zorgen dat software die onder die voorwaarden beschikbaar wordt gesteld, pas na een risicobeoordeling wordt uitgegeven en voor zover mogelijk voldoet aan de beveiligingsvereisten van deze verordening met betrekking tot de kenmerken van producten met digitale elementen. Fabrikanten moeten ook de vereisten inzake de respons op kwetsbaarheden zo veel mogelijk toepassen. Fabrikanten mogen gebruikers niet dwingen om te upgraden naar versies die alleen voor testdoeleinden worden uitgegeven.

Top of page

Om ervoor te zorgen dat producten met digitale elementen, wanneer zij in de handel worden gebracht, geen cyberbeveiligingsrisico’s voor personen en organisaties inhouden, moeten voor dergelijke producten essentiële cyberbeveiligingsvereisten worden vastgesteld. Die essentiële cyberbeveiligingsvereisten, met inbegrip van de vereisten inzake de respons op kwetsbaarheidsbeheer, zijn van toepassing op elk afzonderlijk product met digitale elementen wanneer het in de handel wordt gebracht, ongeacht of het product met digitale elementen als een afzonderlijke eenheid of in serie wordt vervaardigd. Zo moet voor een productsoort elk afzonderlijk product met digitale elementen, wanneer het in de handel wordt gebracht, alle beschikbare beveiligingspatches of -updates hebben ontvangen om de relevante veiligheidsproblemen aan te pakken. Wanneer de producten met digitale elementen vervolgens met fysieke of digitale middelen worden gewijzigd op een wijze die niet door de fabrikant is voorzien in de initiële risicobeoordeling en die ertoe kan leiden dat zij niet langer aan de relevante essentiële cyberbeveiligingsvereisten voldoen, moet de wijziging als ingrijpend worden beschouwd. Reparaties kunnen bijvoorbeeld worden gelijkgesteld met onderhoudswerkzaamheden, mits zij een reeds in de handel gebracht product met digitale elementen niet zodanig wijzigen dat de naleving van de toepasselijke vereisten in het gedrang komt of dat het beoogde doel waarvoor het product is beoordeeld, wordt gewijzigd.

Top of page

Net als bij fysieke reparaties of wijzigingen moet een product met digitale elementen worden beschouwd als ingrijpend gewijzigd door een softwarewijziging indien de software-update het beoogde doel van het product wijzigt en die wijzigingen niet in de initiële risicobeoordeling waren voorzien door de fabrikant, of indien de aard van het risico is gewijzigd of het niveau van het cyberbeveiligingsrisico is toegenomen als gevolg van de software-update, en de bijgewerkte versie van het product op de markt is aangeboden. Wanneer een beveiligingsupdate die is ontworpen om het cyberbeveiligingsrisico van een product met digitale elementen te verminderen, het beoogde doel van een product met digitale elementen niet wijzigt, wordt hij niet als een ingrijpende wijziging beschouwd. Het gaat daarbij gewoonlijk om situaties waarin een beveiligingsupdate slechts kleine aanpassingen van de broncode met zich meebrengt. Dat kan bijvoorbeeld gebeuren wanneer een beveiligingsupdate betrekking heeft op een bekende kwetsbaarheid, onder meer wanneer de functies of prestaties van een product met digitale elementen worden gewijzigd met als enig doel het niveau van het cyberbeveiligingsrisico te verminderen. Evenzo mag een kleine functionaliteitsupdate, zoals een visuele verbetering, de toevoeging van nieuwe pictogrammen of talen aan de gebruikersinterface, over het algemeen niet als een ingrijpende wijziging worden beschouwd. Omgekeerd moet een kenmerkupdate die de oorspronkelijke beoogde functies, het type product of de prestaties van een product met digitale elementen wijzigt en aan de bovenvermelde criteria voldoet, als een ingrijpende wijziging worden beschouwd, aangezien de toevoeging van nieuwe kenmerken doorgaans het aanvalsoppervlak vergroten, waardoor het cyberbeveiligingsrisico toeneemt. Dat kan bijvoorbeeld het geval zijn wanneer een nieuw input-element aan een toepassing wordt toegevoegd, waardoor de fabrikant de input naar behoren moet valideren. Bij de beoordeling of een kenmerkupdate als een ingrijpende wijziging wordt beschouwd, is het niet relevant of die wordt verstrekt als een afzonderlijke update of in combinatie met een beveiligingsupdate. De Commissie moet richtsnoeren uitvaardigen over de manier waarop moet worden bepaald wat een ingrijpende wijziging inhoudt.

Top of page

Gezien het iteratieve karakter van softwareontwikkeling moeten fabrikanten die achtereenvolgens verschillende versies van een softwareproduct in de handel hebben gebracht als gevolg van een latere ingrijpende wijziging van dat product, tijdens de ondersteuningsperiode enkel beveiligingsupdates kunnen verstrekken voor de laatste in de handel gebrachte versie van het softwareproduct. Dat geldt alleen op voorwaarde dat de gebruikers van de relevante eerdere versies van het product in kwestie toegang hebben tot de laatste versie van het product die in de handel werd gebracht en geen extra kosten hoeven te maken om aanpassingen te doen aan de hardware- of softwareomgeving waarin zij het product gebruiken. Dat is bijvoorbeeld het geval wanneer het upgraden van een desktopbesturingssysteem geen nieuwe hardware, zoals een snellere centrale verwerkingseenheid of een groter geheugen, vereist. Tijdens de ondersteuningsperiode moet de fabrikant niettemin blijven voldoen aan andere vereisten inzake de respons op kwetsbaarheden en bijvoorbeeld over een beleid beschikken inzake de gecoördineerde bekendmaking van kwetsbaarheden of maatregelen om het delen van informatie over mogelijke kwetsbaarheden te vergemakkelijken voor alle versies van het in de handel gebrachte softwareproduct die ingrijpend zijn gewijzigd. Fabrikanten moeten enkel voor de meest recente versie of subversie van een softwareproduct dat niet ingrijpend is gewijzigd, kleine beveiligings- of functionaliteitsupdates kunnen verstrekken die geen ingrijpende wijziging vormen. Tegelijkertijd moet de fabrikant, wanneer een hardwareproduct zoals een smartphone niet compatibel is met de meest recente versie van het besturingssysteem waarmee het oorspronkelijk is geleverd, beveiligingsupdates blijven verstrekken tijdens de ondersteuningsperiode, ten minste voor de meest recente compatibele versie van het besturingssysteem.

Top of page

In lijn met het algemeen erkende begrip van ingrijpende wijziging van producten die vallen onder de harmonisatiewetgeving van de Unie, is het passend dat voor een product met digitale elementen een nieuwe conformiteitsbeoordeling wordt uitgevoerd wanneer er sprake is van een ingrijpende wijziging die gevolgen kan hebben voor de conformiteit van een product met digitale elementen met deze verordening, of wanneer het beoogde doel van dat product verandert. Indien de fabrikant een conformiteitsbeoordeling uitvoert waarbij een derde partij betrokken is, moet een wijziging die mogelijk ingrijpend is, in voorkomend geval aan de derde partij worden gemeld.

Top of page

Het “opknappen”, het “onderhoud” en de “reparatie” als gedefinieerd in artikel 2, punten 18), 19) en 20), van Verordening (EU) 2024/1781 van het Europees Parlement en de Raad van een product met digitale elementen, leidt niet noodzakelijkerwijs tot een ingrijpende wijziging van het product, bijvoorbeeld als het beoogde doel en de functies niet worden gewijzigd en het risiconiveau ongewijzigd blijft. De verbetering van een product met digitale elementen door de fabrikant kan echter leiden tot veranderingen in het ontwerp en de ontwikkeling van dat product en kan derhalve van invloed zijn op het beoogde doel en de conformiteit ervan met de vereisten van deze verordening.

Top of page

Producten met digitale elementen moeten als belangrijk worden beschouwd wanneer de negatieve gevolgen van het uitbuiten van potentiële kwetsbaarheden van het product ernstig kunnen zijn als gevolg van, onder meer, de aan cyberbeveiliging verbonden functionaliteit of een functie die een aanzienlijk risico op nadelige effecten inhoudt wat betreft de intensiteit ervan en het vermogen om een groot aantal andere producten of de gezondheid, beveiliging of veiligheid van gebruikers ervan te verstoren, controleren of beschadigen door directe manipulatie, zoals een centrale systeemfunctie, met inbegrip van netwerkbeheer, configuratiecontrole, virtualisering of verwerking van persoonsgegevens. Met name kunnen kwetsbaarheden in producten met digitale elementen met een aan cyberbeveiliging verbonden functionaliteit, zoals bootmanagers, leiden tot de verspreiding van veiligheidsproblemen in de hele toeleveringsketen. De ernst van de gevolgen van een incident kan ook toenemen wanneer het product voornamelijk een centrale systeemfunctie uitvoert zoals netwerkbeheer, configuratiecontrole, virtualisering of verwerking van persoonsgegevens.

Top of page

Bepaalde categorieën producten met digitale elementen moeten aan strengere conformiteitsbeoordelingsprocedures worden onderworpen volgens een evenredige aanpak. Daartoe moeten belangrijke producten met digitale elementen in twee klassen worden ingedeeld, naargelang van het niveau van het cyberbeveiligingsrisico in verband met die productcategorieën. Een incident waarbij belangrijke producten met digitale elementen van klasse II betrokken zijn, kan grotere negatieve gevolgen hebben dan een incident met belangrijke producten met digitale elementen van klasse I, bijvoorbeeld vanwege de aard van hun aan cyberbeveiliging verbonden functie of omdat ze een andere functie vervullen die een aanzienlijk risico op nadelige effecten inhoudt. Als een indicatie van die grotere negatieve effecten kunnen producten met digitale elementen die onder klasse II vallen, ofwel een aan cyberbeveiliging verbonden functionaliteit vervullen of een andere functie vervullen die een aanzienlijk risico op nadelige effecten inhoudt dat hoger is dan die van klasse I, of aan beide voornoemde voorwaarden voldoen. Belangrijke producten met digitale elementen die onder klasse II vallen, moeten daarom worden onderworpen aan een strengere conformiteitsbeoordelingsprocedure.

Top of page

Belangrijke producten met digitale elementen als bedoeld in deze verordening moeten worden opgevat als producten die de kernfunctionaliteit hebben van een categorie belangrijke producten met digitale elementen die is opgenomen in deze verordening. In deze verordening worden bijvoorbeeld categorieën belangrijke producten met digitale elementen vastgesteld, die op basis van hun kernfunctionaliteit worden gedefinieerd als firewalls of inbraakdetectie- of inbraakpreventiesystemen van klasse II. Als gevolg daarvan zijn firewalls en inbraakdetectie- of inbraakpreventiesystemen onderworpen aan een verplichte conformiteitsbeoordeling door derden. Dat is niet het geval voor andere producten met digitale elementen die niet onder een categorie vallen van belangrijke producten met digitale elementen waarin firewalls of inbraakdetectie- of inbraakpreventiesystemen kunnen worden geïntegreerd. De Commissie moet een uitvoeringshandeling vaststellen tot nadere bepaling van de technische beschrijving van de categorieën belangrijke producten met digitale elementen die onder de in deze verordening beschreven klassen I en II vallen.

Top of page

De in deze verordening vastgestelde categorieën kritieke producten met digitale elementen hebben een aan cyberbeveiliging verbonden functionaliteit en vervullen een functie die een aanzienlijk risico op nadelige effecten inhoudt wat betreft de intensiteit ervan en het vermogen ervan om een groot aantal andere producten met digitale elementen te verstoren, te controleren of te beschadigen door directe manipulatie. Bovendien worden die categorieën producten met digitale elementen beschouwd als kritieke afhankelijkheden voor in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten. De categorieën kritieke producten met digitale elementen die in de bijlage bij deze verordening zijn opgenomen, maken vanwege hun kritieke karakter al op grote schaal gebruik van verschillende vormen van certificering en vallen ook onder de Europese op gemeenschappelijke criteria gebaseerde cyberbeveiligingscertificeringsregeling (EUCC) zoals beschreven in Uitvoeringsverordening (EU) 2024/482 van de Commissie . Om in de Unie te zorgen voor een gemeenschappelijke adequate bescherming van de cyberbeveiliging van kritieke producten met digitale elementen, kan het derhalve passend en evenredig zijn om dergelijke productcategorieën door middel van een gedelegeerde handeling te onderwerpen aan een verplichte Europese cyberbeveiligingscertificering, indien er reeds een relevante Europese cyberbeveiligingscertificeringsregeling voor die producten bestaat en de Commissie een beoordeling heeft verricht van de potentiële markteffecten van de beoogde verplichte certificering. Die beoordeling moet zowel de vraag- als de aanbodzijde in aanmerking nemen, en met name de vraag of zowel bij de lidstaten als bij de gebruikers voldoende vraag bestaat naar de betrokken producten met digitale elementen om een Europese cyberbeveiligingscertificering verplicht te stellen, alsook welke de doeleinden zijn waarvoor de producten met digitale elementen bestemd zijn om te worden gebruikt, met inbegrip van de kritieke afhankelijkheid van in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten ten aanzien van dergelijke producten. Ook moet bij de beoordeling een analyse worden gemaakt van de mogelijke gevolgen van de verplichte certificering voor de beschikbaarheid van die producten op de interne markt, alsook van de capaciteit en de bereidheid van de lidstaten om de relevante cyberbeveiligingscertificeringsregelingen uit te voeren.

Top of page

In gedelegeerde handelingen die een verplichte Europese cyberbeveiligingscertificering vereisen, moet worden bepaald welke producten met digitale elementen de kernfunctionaliteit hebben van een categorie kritieke producten met digitale elementen als beschreven in deze verordening die aan verplichte certificering moeten worden onderworpen, en moet het vereiste zekerheidsniveau worden vastgesteld, dat ten minste “substantieel” moet zijn. Het vereiste zekerheidsniveau moet in verhouding staan tot het niveau van het cyberbeveiligingsrisico dat aan het product met digitale elementen verbonden is. Wanneer het product met digitale elementen bijvoorbeeld de kernfunctionaliteit heeft van een categorie kritieke producten met digitale elementen als beschreven in deze verordening, en bestemd is voor gebruik in een gevoelige of kritieke omgeving, zoals producten die bestemd zijn voor het gebruik door in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten, kan het hoogste zekerheidsniveau vereist worden.

Top of page

Om te zorgen voor een gemeenschappelijke adequate cyberbeveiliging in de Unie van producten met digitale elementen met de belangrijkste functionaliteit van een categorie kritieke producten met digitale elementen die is vastgesteld in deze verordening, moet de Commissie ook de bevoegdheid krijgen gedelegeerde handelingen vast te stellen om deze verordening te wijzigen, door categorieën kritieke producten met digitale elementen toe te voegen of te schrappen met betrekking waartoe van fabrikanten kan worden vereist dat zij een Europees cyberbeveiligingscertificaat verkrijgen in het kader van een Europese cyberbeveiligingscertificeringsregeling op grond van Verordening (EU) 2019/881 om aan te tonen dat zij aan deze verordening voldoen. Een nieuwe categorie kritieke producten met digitale elementen kan aan die categorieën worden toegevoegd als in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten er in kritieke mate van afhankelijk zijn, of als het gaat om een categorie producten waarvoor geldt dat, indien zij worden getroffen door incidenten of indien zij kwetsbaarheden bevatten die worden uitgebuit, dat kan leiden tot verstoringen van kritieke toeleveringsketens. Bij de beoordeling van de noodzaak om door middel van een gedelegeerde handeling categorieën kritieke producten met digitale elementen toe te voegen of te schrappen, moet de Commissie rekening kunnen houden met de vraag of de lidstaten op nationaal niveau producten met digitale elementen hebben geïdentificeerd die een cruciale rol spelen voor de veerkracht van in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten en die in toenemende mate getroffen worden door cyberaanvallen in de toeleveringsketen, met mogelijk ernstige verstorende effecten. Bovendien moet de Commissie rekening kunnen houden met de resultaten van de overeenkomstig artikel 22 van Richtlijn (EU) 2022/2555 verrichte op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens.

Top of page

De Commissie dient ervoor te zorgen dat een breed scala aan relevante belanghebbenden regelmatig en op gestructureerde wijze wordt geraadpleegd bij de voorbereiding van maatregelen ter uitvoering van deze verordening. Dat dient met name het geval te zijn wanneer de Commissie beoordeelt of de lijsten van categorieën van belangrijke of kritieke producten met digitale elementen moeten worden bijgewerkt, waarbij relevante fabrikanten moeten worden geraadpleegd en hun standpunten in aanmerking moeten worden genomen om de cyberbeveiligingrisico’s en de kosten-batenverhouding van het aanmerken van dergelijke categorieën producten als belangrijk of kritiek te analyseren.

Top of page

Deze verordening pakt cyberbeveiligingsrisico’s op gerichte wijze aan. Producten met digitale elementen kunnen echter andere veiligheidsrisico’s met zich meebrengen, die niet altijd verband houden met cyberbeveiliging maar een gevolg kunnen zijn van een inbreuk op de beveiliging. Die risico’s moeten verder worden gereguleerd door andere relevante harmonisatiewetgeving van de Unie dan deze verordening. Indien geen andere harmonisatiewetgeving van de Unie dan deze verordening van toepassing is, moeten zij onder Verordening (EU) 2023/988 van het Europees Parlement en de Raad vallen. Daarom moeten in het licht van het gerichte karakter van deze verordening, in afwijking van artikel 2, lid 1, derde alinea, punt b), van Verordening (EU) 2023/988, hoofdstuk III, deel 1, de hoofdstukken V en VII, en de hoofdstukken IX, X en XI van Verordening (EU) 2023/988 van toepassing zijn op producten met digitale elementen met betrekking tot veiligheidsrisico’s die niet onder deze verordening vallen, indien die producten niet onderworpen zijn aan specifieke vereisten die zijn neergelegd in andere harmonisatiewetgeving van de Unie in de zin van artikel 3, punt 27, van Verordening (EU) 2023/988 dan deze verordening.

Top of page

Producten met digitale elementen die op grond van artikel 6 van Verordening (EU) 2024/1689 van het Europees Parlement en de Raad als AI-systemen met een hoog risico worden aangemerkt en die binnen het toepassingsgebied van deze verordening vallen, moeten voldoen aan de essentiële cyberbeveiligingsvereisten van deze verordening. Wanneer die AI-systemen met een hoog risico aan de essentiële cyberbeveiligingsvereisten van deze verordening voldoen, moeten zij worden geacht in overeenstemming te zijn met de cyberbeveiligingsvereisten van artikel 15 van Verordening (EU) 2024/1689, voor zover die vereisten worden gedekt door de EU-conformiteitsverklaring, of delen daarvan, die uit hoofde van deze verordening is afgegeven. Daartoe moet bij de beoordeling van de cyberbeveiligingsrisico’s in verband met een product met digitale elementen dat op grond van Verordening (EU) 2024/1689 als AI-systeem met een hoog risico wordt aangemerkt, waarmee rekening moet worden gehouden tijdens de plannings-, ontwerp-, ontwikkelings-, productie-, leverings- en onderhoudsfase van dat product, zoals vereist krachtens deze verordening, rekening worden gehouden met de risico’s voor de cyberweerbaarheid van een AI-systeem ten gevolge van pogingen van onbevoegde derden om het gebruik, het gedrag of de prestaties van dat systeem te wijzigen, met inbegrip van AI-specifieke kwetsbaarheden zoals data poisoning of vijandige aanvallen, alsook, voor zover relevant, risico’s voor de grondrechten, overeenkomstig Verordening (EU) 2024/1689. Wat betreft de conformiteitsbeoordelingsprocedures met betrekking tot de essentiële cyberbeveiligingsvereisten voor producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen en als een AI-systeem met een hoog risico worden aangemerkt, moet als regel artikel 43 van Verordening (EU) 2024/1689 worden toegepast in plaats van de relevante bepalingen van deze verordening. Die regel mag echter niet leiden tot een verlaging van het vereiste betrouwbaarheidsniveau voor belangrijke of kritieke producten met digitale elementen als bedoeld in deze verordening. Daarom moeten, in afwijking van die regel, AI-systemen met een hoog risico die binnen het toepassingsgebied van Verordening (EU) 2024/1689 vallen en die ook worden aangemerkt als belangrijke of kritieke producten met digitale elementen als bedoeld in deze verordening en waarop de conformiteitsbeoordelingsprocedure op basis van interne controle als bedoeld in bijlage VI bij Verordening (EU) 2024/1689 van toepassing is, onderworpen zijn aan de conformiteitsbeoordelingsprocedures die zijn voorzien in deze verordening wat de essentiële cyberbeveiligingsvereisten van deze verordening betreft. In een dergelijk geval moeten voor alle andere aspecten die onder Verordening (EU) 2024/1689 vallen, de relevante bepalingen inzake conformiteitsbeoordeling op basis van interne controle van bijlage VI bij die verordening van toepassing zijn.

Top of page

Om de beveiliging van producten met digitale elementen die op de interne markt worden gebracht, te verbeteren, is het noodzakelijk essentiële cyberbeveiligingsvereisten vast te stellen waaraan dergelijke producten moeten voldoen. Die essentiële cyberbeveiligingsvereisten mogen geen afbreuk doen aan de in artikel 22 van Richtlijn (EU) 2022/2555 bepaalde, op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens, waarbij rekening wordt gehouden met zowel technische als, voor zover relevant, niet-technische risicofactoren, zoals ongepaste beïnvloeding van leveranciers door een derde land. Voorts mogen ze geen afbreuk doen aan het prerogatief van de lidstaten om aanvullende vereisten vast te stellen die rekening houden met niet-technische factoren om een hoog niveau van veerkracht te waarborgen, waaronder die welke zijn gedefinieerd in Aanbeveling (EU) 2019/534 van de Commissie , in de gecoördineerde EU-risicobeoordeling van de cyberbeveiliging van 5G-netwerken en in het EU-instrumentarium voor 5G-cyberbeveiliging dat is overeengekomen door de op grond van artikel 14 van Richtlijn (EU) 2022/2555 opgerichte samenwerkingsgroep.

Top of page

Fabrikanten van producten die binnen het toepassingsgebied van Verordening (EU) 2023/1230 van het Europees Parlement en de Raad vallen en die ook producten met digitale elementen zijn zoals gedefinieerd in deze verordening, moeten zowel aan de essentiële cyberbeveiligingsvereisten van deze verordening als aan de essentiële gezondheids- en veiligheidsvereisten van Verordening (EU) 2023/1230 voldoen. De essentiële cyberbeveiligingsvereisten van deze verordening en bepaalde essentiële vereisten van Verordening (EU) 2023/1230 kunnen wellicht betrekking hebben op soortgelijke cyberbeveiligingsrisico’s. Daarom kan de naleving van de essentiële cyberbeveiligingsvereisten van deze verordening de naleving van de essentiële vereisten met betrekking tot bepaalde cyberbeveiligingsrisico’s zoals vastgesteld in Verordening (EU) 2023/1230 vergemakkelijken, en met name de vereisten met betrekking tot de bescherming tegen corruptie en met betrekking tot de veiligheid en betrouwbaarheid van de besturingssystemen als beschreven in de punten 1.1.9 en 1.2.1 van bijlage III bij die verordening. Dergelijke synergieën moeten door de fabrikant worden aangetoond, bijvoorbeeld door na een risicobeoordeling van die cyberbeveiligingsrisico’s, indien beschikbaar, geharmoniseerde normen of andere technische specificaties toe te passen die betrekking hebben op relevante essentiële cyberbeveiligingsvereisten. De fabrikant moet ook de in deze verordening en in Verordening (EU) 2023/1230 beschreven toepasselijke conformiteitsbeoordelingsprocedures volgen. De Commissie en de Europese normalisatieorganisaties moeten bij de voorbereidende werkzaamheden ter ondersteuning van de uitvoering van deze verordening en van Verordening (EU) 2023/1230 en de daarmee verband houdende normalisatieprocessen consistentie bevorderen in de wijze waarop de cyberbeveiligingsrisico’s moeten worden beoordeeld en in de wijze waarop die risico’s moeten worden afgedekt door geharmoniseerde normen met betrekking tot de relevante essentiële vereisten. De Commissie en de Europese normalisatieorganisaties moeten deze verordening met name in aanmerking nemen bij de voorbereiding en ontwikkeling van geharmoniseerde normen om de uitvoering van Verordening (EU) 2023/1230 te vergemakkelijken, met name wat betreft de cyberbeveiligingsaspecten die verband houden met de bescherming tegen corruptie en de veiligheid en betrouwbaarheid van de besturingssystemen als beschreven in de punten 1.1.9 en 1.2.1 van bijlage III bij die verordening. De Commissie moet richtsnoeren opstellen ter ondersteuning van fabrikanten die onder deze verordening vallen en die ook onder Verordening (EU) 2023/1230 vallen, met name om het aantonen van overeenstemming met de relevante essentiële vereisten van deze verordening en van Verordening (EU) 2023/1230 te vergemakkelijken.

Top of page

Om ervoor te zorgen dat producten met digitale elementen zowel bij het in de handel brengen als gedurende de tijd dat het product met digitale elementen naar verwachting in gebruik zal zijn, beveiligd zijn, moeten essentiële cyberbeveiligingsvereisten inzake de respons op kwetsbaarheden en essentiële cyberbeveiligingsvereisten met betrekking tot de kenmerken van producten met digitale elementen worden vastgesteld. Fabrikanten moeten voldoen aan alle essentiële cyberbeveiligingsvereisten in verband met de respons op kwetsbaarheden tijdens de hele ondersteuningsperiode en moeten ook bepalen welke andere essentiële cyberbeveiligingsvereisten met betrekking tot de productkenmerken relevant zijn voor het betrokken type product met digitale elementen. Daartoe moeten fabrikanten de cyberbeveiligingsrisico’s beoordelen die verbonden zijn aan een product met digitale elementen, om relevante risico’s en relevante essentiële cyberbeveiligingsvereisten vast te stellen, opdat zij hun producten kunnen leveren zonder bekende uitbuitbare kwetsbaarheden die gevolgen kunnen hebben voor de beveiliging van die producten, en om op correcte wijze toepassing te geven aan passende geharmoniseerde normen, gemeenschappelijke specificaties of Europese of internationale normen.

Top of page

Indien bepaalde essentiële cyberbeveiligingsvereisten niet van toepassing zijn op een product met digitale elementen, moet de fabrikant een duidelijke motivering opnemen in de beoordeling van de cyberbeveiligingsrisico’s die deel uitmaakt van de technische documentatie. Dat kan het geval zijn wanneer een essentiële cyberbeveiligingsvereiste onverenigbaar is met de aard van een product met digitale elementen. Zo kan het vanwege het beoogde doel van een product met digitale elementen noodzakelijk zijn dat de fabrikant algemeen erkende interoperabiliteitsnormen volgt, ook al worden de beveiligingskenmerken ervan niet langer als de stand van de techniek beschouwd. Ook kunnen fabrikanten op grond van ander Unierecht verplicht zijn om specifieke interoperabiliteitsvereisten toe te passen. Wanneer een essentiële cyberbeveiligingsvereiste niet van toepassing is op een product met digitale elementen, maar de fabrikant cyberbeveiligingsrisico’s in verband met die essentiële cyberbeveiligingsvereiste heeft vastgesteld, moet hij maatregelen nemen om die risico’s met andere middelen aan te pakken, bijvoorbeeld door het beoogde doel van het product te beperken tot betrouwbare omgevingen of door de gebruikers over die risico’s te informeren.

Top of page

Een van de belangrijkste maatregelen die gebruikers moeten nemen om hun producten met digitale elementen tegen cyberaanvallen te beschermen, is het zo snel mogelijk installeren van de meest recente beveiligingsupdates. Fabrikanten moeten daarom hun producten op zodanige wijze ontwerpen dat producten met digitale elementen, en met name consumentenproducten, functies omvatten die het automatisch melden, verspreiden, downloaden en installeren van beveiligingsupdates mogelijk maken, en zij moeten daarvoor processen invoeren. Zij moeten ook de mogelijkheid bieden dat goedkeuring door de gebruiker als laatste stap nodig is om beveiligingsupdates te downloaden en te installeren. Gebruikers moeten de mogelijkheid blijven houden om automatische updates te deactiveren door middel van een duidelijk en gebruiksvriendelijk mechanisme, met duidelijke instructies over de manier waarop zij dat kunnen doen. De in een bijlage bij deze verordening vastgestelde vereisten met betrekking tot automatische updates zijn niet van toepassing op producten met digitale elementen die hoofdzakelijk bestemd zijn om als onderdeel in andere producten te worden geïntegreerd. Zij zijn evenmin van toepassing op producten met digitale elementen waarvan gebruikers redelijkerwijs geen automatische updates zouden verwachten, waaronder producten met digitale elementen die bedoeld zijn om te worden gebruikt in professionele ICT-netwerken, en met name in kritieke en industriële omgevingen waar een automatische update de activiteiten zou kunnen verstoren. Ongeacht of een product met digitale elementen is ontworpen om automatische updates te verkrijgen, moet de fabrikant gebruikers informeren over kwetsbaarheden en moet hij beveiligingsupdates onverwijld beschikbaar stellen. Wanneer een product met digitale elementen een gebruikersinterface of een soortgelijk technisch middel heeft dat directe interactie met zijn gebruikers mogelijk maakt, moet de fabrikant dergelijke functies gebruiken om, als het product met digitale elementen het einde van de ondersteuningsperiode heeft bereikt, gebruikers daarvan in kennis te stellen. Meldingen moeten beperkt blijven tot hetgeen nodig is om de doeltreffende ontvangst van die informatie te waarborgen en mogen geen negatieve gevolgen hebben voor de gebruikerservaring van het product met digitale elementen.

Top of page

Om de transparantie van de procedures inzake de respons op kwetsbaarheden te verbeteren en ervoor te zorgen dat gebruikers geen nieuwe functionaliteitsupdates hoeven te installeren met als enig doel de meest recente beveiligingsupdates te verkrijgen, moeten fabrikanten ervoor zorgen dat, indien technisch haalbaar, nieuwe beveiligingsupdates los van de functionaliteitsupdates worden aangeboden.

Top of page

In de gezamenlijke mededeling van de Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid van 20 juni 2023 betreffende een “Strategie voor economische veiligheid van de EU” wordt gesteld dat de Unie de voordelen van haar economische openheid moet maximaliseren en tegelijkertijd de risico’s van economische afhankelijkheid van leveranciers met een hoog risico tot een minimum moet beperken door middel van een gemeenschappelijk strategisch kader voor de economische veiligheid van de Unie. Afhankelijkheid van leveranciers van producten met digitale elementen met een hoog risico kan een strategisch risico vormen dat op het niveau van de Unie moet worden aangepakt, met name wanneer de producten met digitale elementen bestemd zijn voor gebruik door in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten. Dergelijke risico’s kunnen verband houden met, onder meer, de jurisdictie waaronder de fabrikant valt, de kenmerken van de bedrijfseigendom en de uitoefening van zeggenschap door de overheid van het derde land waar de fabrikant gevestigd is, met name wanneer een derde land zich bezighoudt met economische spionage of onverantwoordelijke overheidsgedragingen in de cyberruimte en de wetgeving van het land willekeurige toegang biedt tot alle soorten bedrijfsactiviteiten of -gegevens, waaronder commercieel gevoelige gegevens, en verplichtingen kan opleggen voor inlichtingendoeleinden zonder democratische checks-and-balances, toezichtmechanismen, eerlijke rechtsgang of het recht om beroep in te stellen bij een onafhankelijke rechterlijke instantie. Bij het bepalen van de significantie van een cyberbeveiligingsrisico in de zin van deze verordening moeten de Commissie en de markttoezichtautoriteiten, overeenkomstig hun verantwoordelijkheden zoals vastgelegd in deze verordening, ook niet-technische risicofactoren in aanmerking nemen, met name die welke zijn vastgesteld als gevolg van overeenkomstig artikel 22 van Richtlijn (EU) 2022/2555 uitgevoerde op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens.

Top of page

Met het oog op het waarborgen van de beveiliging van producten met digitale elementen nadat zij in de handel zijn gebracht, moeten fabrikanten de ondersteuningsperiode vaststellen, die de tijd moet weerspiegelen dat het product met digitale elementen naar verwachting in gebruik zal zijn. Bij het bepalen van een ondersteuningsperiode moet een fabrikant met name rekening houden met redelijke verwachtingen van gebruikers, de aard van het product en het relevante Unierecht dat de levensduur van producten met digitale elementen bepaalt. Fabrikanten moeten ook rekening kunnen houden met andere relevante factoren. Criteria moeten zodanig worden toegepast dat de evenredigheid bij de vaststelling van de ondersteuningsperiode wordt gewaarborgd. Fabrikanten moeten de markttoezichtautoriteiten op verzoek de informatie verstrekken die in aanmerking is genomen om de ondersteuningsperiode van een product met digitale elementen te bepalen.

Top of page

De ondersteuningsperiode gedurende welke de fabrikant de doeltreffende respons op kwetsbaarheden waarborgt, mag niet korter zijn dan vijf jaar, tenzij de levensduur van het product met digitale elementen korter dan vijf jaar is, in welk geval de fabrikant de respons op kwetsbaarheden gedurende die levensduur moet waarborgen. Wanneer redelijkerwijs kan worden verwacht dat het product met digitale elementen langer dan vijf jaar zal worden gebruikt, zoals vaak het geval is bij hardwarecomponenten zoals moederborden of microprocessors, netwerkapparatuur zoals routers, modems of netwerkswitches, alsook software zoals besturingssystemen of video-editingprogramma’s, moeten fabrikanten zorgen voor langere ondersteuningsperioden die daarbij aansluiten. Met name producten met digitale elementen die bestemd zijn voor gebruik in industriële omgevingen, zoals industriële besturingssystemen, worden vaak gedurende aanzienlijk langere tijd gebruikt. Het moet fabrikanten alleen worden toegestaan een ondersteuningsperiode van korter dan vijf jaar vast te stellen indien de aard van het product met digitale elementen dat rechtvaardigt en indien dat product naar verwachting korter dan vijf jaar zal worden gebruikt, in welk geval de ondersteuningsperiode moet overeenstemmen met de verwachte gebruikstijd. Zo kan de ondersteuningsperiode van een contacttraceringsapplicatie die bedoeld is om tijdens een pandemie te worden gebruikt, worden beperkt tot de duur van de pandemie. Bovendien kunnen bepaalde softwaretoepassingen door hun aard alleen op basis van een abonnementsmodel beschikbaar worden gesteld, met name wanneer de applicatie, zodra het abonnement verstrijkt, niet meer beschikbaar is voor de gebruiker en bijgevolg niet meer wordt gebruikt.

Top of page

Fabrikanten moeten overwegen om na afloop van de ondersteuningsperiode van producten met digitale elementen de broncode van die producten vrij te geven aan het publiek of aan andere ondernemingen die zich ertoe verbinden de dienstverlening in verband met de respons op kwetsbaarheden op zich te nemen, om ervoor te zorgen dat kwetsbaarheden na afloop van de ondersteuningsperiode kunnen worden verholpen. Wanneer fabrikanten de broncode vrijgeven aan andere ondernemingen, moeten zij de eigendomsrechten van het product met digitale elementen kunnen beschermen en moeten zij kunnen voorkomen dat de broncode wordt vrijgegeven aan het publiek, bijvoorbeeld door dat contractueel vast te leggen.

Top of page

Om te waarborgen dat fabrikanten in de hele Unie voor vergelijkbare producten met digitale elementen soortgelijke ondersteuningsperioden vaststellen, moet de ADCO statistieken publiceren over de gemiddelde ondersteuningsperioden die fabrikanten hebben vastgesteld voor categorieën producten met digitale elementen, en moet de ADCO richtsnoeren verstrekken voor de vaststelling van passende ondersteuningsperioden voor de verschillende categorieën. Om een geharmoniseerde aanpak in de hele interne markt te waarborgen, moet de Commissie voorts gedelegeerde handelingen kunnen vaststellen ter vaststelling van minimumondersteuningsperioden voor specifieke productcategorieën, als uit de door markttoezichtautoriteiten verstrekte gegevens blijkt dat fabrikanten systematisch ondersteuningsperioden vaststellen die niet in overeenstemming zijn met de in deze verordening vastgestelde criteria voor het vaststellen van ondersteuningsperioden of dat fabrikanten in verschillende lidstaten op ongerechtvaardigde wijze uiteenlopende ondersteuningsperioden vaststellen.

Top of page

Fabrikanten moeten een centraal contactpunt opzetten dat gebruikers in staat stelt gemakkelijk met hen te communiceren, onder meer om melding te doen van kwetsbaarheden van producten met digitale elementen of om informatie over kwetsbaarheden van producten met digitale elementen te verkrijgen. Fabrikanten moeten ervoor zorgen dat het centrale contactpunt gemakkelijk toegankelijk is voor gebruikers, moeten het centrale contactpunt onder de aandacht brengen en moeten ervoor zorgen dat informatie ter zake actueel is. Als fabrikanten ervoor kiezen geautomatiseerde hulpmiddelen, zoals een chatbox, beschikbaar te stellen, moeten zij ook een telefoonnummer of een andere digitale contactmogelijkheid bieden, zoals een e-mailadres of een contactformulier. Het centrale contactpunt mag niet uitsluitend gebruikmaken van geautomatiseerde hulpmiddelen.

Top of page

Fabrikanten moeten hun producten met digitale elementen op de markt aanbieden met een standaard beveiligde configuratie en moeten gebruikers kosteloos beveiligingsupdates verstrekken. Fabrikanten mogen alleen van de essentiële cyberbeveiligingsvereisten afwijken in geval van producten op maat die voor een bepaalde zakelijke gebruiker en een bepaald doel zijn gemaakt, en waarbij zowel de fabrikant als de gebruiker uitdrukkelijk heeft ingestemd met andere contractuele voorwaarden.

Top of page

Fabrikanten moeten, via het centrale meldingsplatform, tegelijkertijd aan het als coördinator aangewezen computer security incident response team (CSIRT) en aan Enisa melding doen van actief uitgebuite kwetsbaarheden in producten met digitale elementen en ernstige incidenten die gevolgen hebben voor de beveiliging van die producten. De meldingen moeten worden gedaan via het elektronisch endpoint voor melding van een als coördinator aangewezen CSIRT en moeten tegelijkertijd toegankelijk zijn voor Enisa.

Top of page

Fabrikanten moeten melding doen van actief uitgebuite kwetsbaarheden om ervoor te zorgen dat de als coördinatoren aangewezen CSIRT’s en Enisa een goed overzicht hebben van dergelijke kwetsbaarheden en de informatie krijgen die zij nodig hebben om hun taken uit hoofde van Richtlijn (EU) 2022/2555 te vervullen en het algemene niveau van cyberbeveiliging van in artikel 3 van die richtlijn bedoelde essentiële en belangrijke entiteiten te verhogen, alsook om de doeltreffende werking van markttoezichtautoriteiten te waarborgen. Aangezien de meeste producten met digitale elementen op de hele interne markt in de handel worden gebracht, moet elke uitgebuite kwetsbaarheid in een product met digitale elementen worden beschouwd als een bedreiging voor de werking van de interne markt. Enisa moet, na overleg met de fabrikant, verholpen kwetsbaarheden openbaar maken in de Europese kwetsbaarheidsdatabase die is opgezet op grond van artikel 12, lid 2, van Richtlijn (EU) 2022/2555. De Europese kwetsbaarheidsdatabase zal fabrikanten helpen bekende uitbuitbare kwetsbaarheden in hun producten op te sporen, om ervoor te zorgen dat de producten die op de markt worden aangeboden, veilig zijn.

Top of page

Fabrikanten moeten eveneens aan het als coördinator aangewezen CSIRT en aan Enisa melding doen van elk ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen. Om ervoor te zorgen dat gebruikers snel kunnen reageren op ernstige incidenten die gevolgen hebben voor de beveiliging van hun producten met digitale elementen, moeten fabrikanten ook hun gebruikers informeren over dergelijke incidenten en, in voorkomend geval, over eventuele corrigerende maatregelen die de gebruikers kunnen nemen om de gevolgen van het incident te beperken, bijvoorbeeld door relevante informatie op hun websites te publiceren of, indien de fabrikant in staat is contact op te nemen met de gebruikers en indien de cyberbeveiligingsrisico’s dat rechtvaardigen, door rechtstreeks contact met de gebruikers op te nemen.

Top of page

Bij actief uitgebuite kwetsbaarheden gaat het om gevallen waarin een fabrikant vaststelt dat een inbreuk op de beveiliging met gevolgen voor gebruikers of andere natuurlijke of rechtspersonen het gevolg is van gebruikmaking door een kwaadwillige actor van een tekortkoming in een van de producten met digitale elementen die door de fabrikant op de markt worden aangeboden. Voorbeelden van dergelijke kwetsbaarheden zijn tekortkomingen in de identificatie- of de authenticatiefunctie van een product. Voor kwetsbaarheden die worden ontdekt zonder kwaadwillige bedoelingen, met het oog op het te goeder trouw testen, onderzoeken, corrigeren of bekendmaken ervan, met de bedoeling om de beveiliging of veiligheid van de eigenaar van het systeem en de gebruikers ervan te waarborgen, mag niet de verplichting gelden dat daarvan melding moet worden gedaan. Bij ernstige incidenten die gevolgen hebben voor de beveiliging van het product met digitale elementen gaat het om situaties waarin een cyberbeveiligingsincident zodanige gevolgen heeft voor het ontwikkelings-, productie- of onderhoudsproces van de fabrikant dat er een verhoogd cyberbeveiligingsrisico voor gebruikers of andere personen kan ontstaan. Bij een dergelijk ernstig incident kan het gaan om een situatie waarin een aanvaller met succes een kwaadwillige code heeft ingevoerd in het kanaal dat de fabrikant gebruikt om beveiligingsupdates aan gebruikers te verstrekken.

Top of page

Om ervoor te zorgen dat meldingen snel onder alle relevante als coördinatoren aangewezen CSIRT’s kunnen worden verspreid en om fabrikanten in staat te stellen in elke fase van het meldingsproces één enkele melding in te dienen, moet Enisa een centraal meldingsplatform met nationale elektronische endpoints voor melding oprichten. De dagelijkse werkzaamheden van het centrale meldingsplatform moeten worden beheerd en uitgevoerd door Enisa. De als coördinatoren aangewezen CSIRT’s moeten hun respectieve markttoezichtautoriteiten informeren over kwetsbaarheden of incidenten waarvan melding is gedaan. Het centrale meldingsplatform moet zodanig van opzet zijn dat de vertrouwelijkheid van meldingen wordt gewaarborgd, met name als die meldingen betrekking hebben op kwetsbaarheden waarvoor nog geen beveiligingsupdate beschikbaar is. Daarnaast moet Enisa procedures invoeren om te waarborgen dat informatie op een veilige en vertrouwelijke manier wordt behandeld. Op basis van de informatie die het verzamelt, moet Enisa om de twee jaar een technisch verslag opstellen over opkomende trends met betrekking tot cyberbeveiligingsrisico’s in producten met digitale elementen en dat verslag voorleggen aan de op grond van artikel 14 van Richtlijn (EU) 2022/2555 opgerichte samenwerkingsgroep.

Top of page

In uitzonderlijke omstandigheden, en met name op verzoek van de fabrikant, moet het als coördinator aangewezen CSIRT dat als eerste een melding ontvangt, kunnen besluiten de verspreiding ervan aan de andere relevante als coördinatoren aangewezen CSIRT’s via het centrale meldingsplatform uit te stellen indien dat gerechtvaardigd is om redenen in verband met cyberbeveiliging en slechts zolang dat strikt noodzakelijk is. Het als coördinator aangewezen CSIRT moet Enisa onmiddellijk in kennis stellen van het besluit om de verspreiding uit te stellen, onder vermelding van de redenen daarvoor, en tevens aangeven wanneer het voornemens is de melding verder te verspreiden. De Commissie moet door middel van een gedelegeerde handeling specificeren wat de voorwaarden zijn waaronder die cyberbeveiligingsgerelateerde redenen een rechtvaardiging vormen voor uitstel en moet bij het opstellen van het ontwerp van gedelegeerde handeling samenwerken met het op grond van artikel 15 van Richtlijn (EU) 2022/2555 opgerichte CSIRT-netwerk en met Enisa. Voorbeelden van cyberbeveiligingsgerelateerde redenen zijn onder meer een lopende procedure voor gecoördineerde bekendmaking van kwetsbaarheden of situaties waarin een fabrikant naar verwachting op korte termijn een risicobeperkende maatregel zal nemen en de cyberbeveiligingsrisico’s van onmiddellijke verspreiding via het centrale meldingsplatform zwaarder wegen dan de voordelen ervan. Op verzoek van het als coördinator aangewezen CSIRT moet Enisa dat CSIRT kunnen ondersteunen bij de toepassing van cyberbeveiligingsgerelateerde redenen voor het uitstel van de verspreiding van de melding, op basis van de informatie die Enisa van dat CSIRT heeft ontvangen over het besluit om de melding om die cyberbeveiligingsgerelateerde redenen niet verder te verspreiden. Daarnaast moet vastgelegd worden dat Enisa in zeer uitzonderlijke omstandigheden niet alle details van een melding van een actief uitgebuite kwetsbaarheid gelijktijdig mag ontvangen. Dat is het geval wanneer de fabrikant in zijn melding vermeldt dat de kwetsbaarheid waarvan melding wordt gedaan actief is uitgebuit door een kwaadwillige actor en dat de kwetsbaarheid, volgens de beschikbare informatie, in geen enkele andere lidstaat is uitgebuit dan de lidstaat van het als coördinator aangewezen CSIRT waaraan de fabrikant de kwetsbaarheid heeft gemeld, wanneer onmiddellijke verdere verspreiding van de melding van de kwetsbaarheid naar verwachting zou leiden tot verstrekking van informatie waarvan de openbaarmaking in strijd zou zijn met de wezenlijke belangen van die lidstaat, of wanneer verdere verspreiding van de melding een hoog cyberbeveiligingsrisico inhoudt. In dergelijke gevallen krijgt Enisa alleen gelijktijdig toegang tot de informatie dat de fabrikant een melding heeft gedaan, algemene informatie over het betrokken product met digitale elementen, de informatie over de algemene aard van de uitbuiting en de informatie dat er door de fabrikant beveiligingsgerelateerde redenen zijn aangevoerd en dat de volledige inhoud van de melding derhalve nog niet wordt gedeeld. De volledige melding moet vervolgens ter beschikking worden gesteld van Enisa en andere relevante als coördinatoren aangewezen CSIRT’s wanneer het als coördinator aangewezen CSIRT die de melding als eerste ontvangt, vaststelt dat die beveiligingsgerelateerde redenen waarom er sprake was van zeer uitzonderlijke omstandigheden zoals vastgelegd in deze verordening, niet meer bestaan. Indien Enisa op basis van de beschikbare informatie van oordeel is dat er een systeemrisico bestaat met gevolgen voor de veiligheid op de interne markt, moet Enisa het ontvangende CSIRT aanbevelen de volledige melding onder de andere als coördinatoren aangewezen CSIRT’s en Enisa zelf te verspreiden.

Top of page

Wanneer fabrikanten melding doen van een actief uitgebuite kwetsbaarheid of een ernstig incident met gevolgen voor de beveiliging van het product met digitale elementen, moeten zij aangeven hoe gevoelig de informatie waarvan zij melding doen volgens hen is. Het als coördinator aangewezen CSIRT dat de melding als eerste ontvangt, moet die informatie in aanmerking nemen bij de beoordeling van de vraag of er in verband met de melding sprake is van uitzonderlijke omstandigheden die uitstel van de verspreiding van de melding onder de andere relevante als coördinatoren aangewezen CSIRT’s om cyberbeveiligingsgerelateerde redenen rechtvaardigen. Zij moet die informatie ook in aanmerking nemen bij de beoordeling van de vraag of er in verband met de melding van een actief uitgebuite kwetsbaarheid sprake is van zeer uitzonderlijke omstandigheden die rechtvaardigen dat de volledige melding niet gelijktijdig aan Enisa ter beschikking wordt gesteld. Tot slot moeten de als coördinatoren aangewezen CSIRT’s die informatie in aanmerking kunnen nemen bij het vaststellen van passende maatregelen om de risico’s die voortvloeien uit dergelijke kwetsbaarheden en incidenten, te beperken.

Top of page

Om de verstrekking van de krachtens deze verordening vereiste informatie te vereenvoudigen, in het licht van andere rapportageverplichtingen die zijn vastgelegd in het Unierecht, zoals Verordening (EU) 2016/679, Verordening (EU) 2022/2554 van het Europees Parlement en de Raad , Richtlijn 2002/58/EG van het Europees Parlement en de Raad en Richtlijn (EU) 2022/2555, en om de administratieve lasten voor entiteiten te verminderen, worden de lidstaten aangespoord te overwegen op nationaal niveau te voorzien in centrale contactpunten voor dergelijke rapportageverplichtingen. Het gebruik van dergelijke centrale contactpunten voor de melding van beveiligingsincidenten krachtens Verordening (EU) 2016/679 en Richtlijn 2002/58/EG mag geen afbreuk doen aan de toepassing van de bepalingen van Verordening (EU) 2016/679 en Richtlijn 2002/58/EG, en met name de bepalingen met betrekking tot de onafhankelijkheid van de daarin bedoelde autoriteiten. Bij de oprichting van het in deze verordening bedoelde centrale meldingsplatform moet Enisa rekening houden met de mogelijkheid dat de in deze verordening bedoelde nationale elektronische endpoints voor melding worden geïntegreerd in nationale centrale contactpunten die ook gebruikt kunnen worden voor andere uit hoofde van het Unierecht vereiste meldingen.

Top of page

Bij de oprichting van het in deze verordening bedoelde centrale meldingsplatform moet Enisa overleg plegen met andere instellingen of agentschappen van de Unie die platforms of databanken beheren waarvoor strenge beveiligingverseisten gelden, zoals het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), om van de ervaringen die zij reeds hebben opgedaan te kunnen profiteren. Enisa moet ook mogelijke complementariteiten met de Europese kwetsbaarheidsdatabase die is opgezet op grond van artikel 12, lid 2, van Richtlijn (EU) 2022/2555, analyseren.

Top of page

Fabrikanten en andere natuurlijke en rechtspersonen moeten aan een als coördinator aangewezen CSIRT of aan Enisa op vrijwillige basis melding kunnen doen van kwetsbaarheden in een product met digitale elementen, cyberdreigingen die van invloed kunnen zijn op het risicoprofiel van een product met digitale elementen, incidenten die gevolgen hebben voor de beveiliging van het product met digitale elementen en bijna-incidenten die tot een dergelijk incident hadden kunnen leiden.

Top of page

De lidstaten moeten ernaar streven zo veel mogelijk de problemen weg te nemen waar onderzoekers van kwetsbaarheden mee worden geconfronteerd, waaronder hun mogelijke blootstelling aan strafrechtelijke aansprakelijkheid, overeenkomstig het nationale recht. Aangezien natuurlijke en rechtspersonen die onderzoek doen naar kwetsbaarheden in sommige lidstaten strafrechtelijk en civielrechtelijk aansprakelijk kunnen worden gesteld, worden de lidstaten aangespoord richtsnoeren vast te stellen met betrekking tot niet-vervolging van onderzoekers op het gebied van informatiebeveiliging en vrijstelling van civielrechtelijke aansprakelijkheid voor hun activiteiten.

Top of page

Fabrikanten van producten met digitale elementen moeten een gecoördineerd beleid inzake openbaarmaking van kwetsbaarheden invoeren ter vergemakkelijking van de melding van kwetsbaarheden door personen of entiteiten, hetzij direct aan de fabrikant, hetzij indirect, en op verzoek anoniem, via CSIRT’s die zijn aangewezen als coördinatoren ten behoeve van de gecoördineerde bekendmaking van kwetsbaarheden overeenkomstig artikel 12, lid 1, van Richtlijn (EU) 2022/2555. In het beleid van fabrikanten voor gecoördineerde openbaarmaking van kwetsbaarheden moet een gestructureerd proces worden gespecificeerd aan de hand waarvan kwetsbaarheden op dusdanige wijze aan een fabrikant worden gemeld dat die in staat is een diagnose te stellen en de kwetsbaarheden te verhelpen voordat gedetailleerde informatie over de kwetsbaarheden aan derden of het publiek wordt vrijgegeven. Bovendien moeten fabrikanten ook overwegen hun beveiligingsbeleid in een machineleesbaar formaat te publiceren. Aangezien informatie over uitbuitbare kwetsbaarheden in veelgebruikte producten met digitale elementen tegen hoge prijzen op de zwarte markt kan worden verkocht, moeten fabrikanten van dergelijke producten als onderdeel van hun beleid voor gecoördineerde openbaarmaking van kwetsbaarheden programma’s kunnen gebruiken om de melding van kwetsbaarheden te stimuleren door ervoor te zorgen dat personen of entiteiten erkenning en compensatie krijgen voor hun inspanningen. Daarmee worden zogeheten “bug bounty”-programma’s bedoeld.

Top of page

Om kwetsbaarheidsanalyses te vergemakkelijken, moeten fabrikanten componenten in de producten met digitale elementen identificeren en documenteren, onder meer door een softwarestuklijst op te stellen. Een softwarestuklijst kan degenen die software vervaardigen, kopen en exploiteren, informatie verschaffen die hun inzicht in de toeleveringsketen vergroot, wat tal van voordelen heeft, en met name fabrikanten en gebruikers helpt nieuwe kwetsbaarheden en cyberbeveiligingsrisico’s op te sporen. Het is bijzonder belangrijk dat fabrikanten ervoor zorgen dat hun producten met digitale elementen geen kwetsbare componenten bevatten die door derden zijn ontwikkeld. Fabrikanten mogen niet worden verplicht de softwarestuklijst openbaar te maken.

Top of page

In het kader van de nieuwe complexe bedrijfsmodellen die verband houden met onlineverkopen kan een bedrijf dat online actief is een verscheidenheid aan diensten aanbieden. Afhankelijk van de aard van de diensten die met betrekking tot een bepaald product met digitale elementen worden verleend, kan dezelfde entiteit onder verschillende categorieën bedrijfsmodellen of marktdeelnemers vallen. Wanneer een entiteit voor een bepaald product met digitale elementen alleen onlinetussenhandelsdiensten aanbiedt en slechts een aanbieder van een onlinemarktplaats is zoals gedefinieerd in artikel 3, punt 14), van Verordening (EU) 2023/988, wordt zij niet aangemerkt als een van de in deze verordening gedefinieerde soorten marktdeelnemers. Wanneer dezelfde entiteit een aanbieder van een onlinemarktplaats is en ook optreedt als marktdeelnemer zoals gedefinieerd in deze verordening voor de verkoop van bepaalde producten met digitale elementen, moet zij onderworpen zijn aan de in deze verordening vastgestelde verplichtingen voor dat type marktdeelnemer. Als de aanbieder van een onlinemarktplaats bijvoorbeeld ook een product met digitale elementen distribueert, dan zou die aanbieder wat betreft de verkoop van dat product als distributeur worden beschouwd. Op dezelfde wijze geldt dat als de betrokken entiteit haar eigen merkproducten met digitale elementen verkoopt, die entiteit aangemerkt wordt als fabrikant en dus moet voldoen aan de toepasselijke vereisten voor fabrikanten. Ook kunnen sommige entiteiten worden aangemerkt als fulfilmentdienstverleners zoals gedefinieerd in artikel 3, punt 11), van Verordening (EU) 2019/1020 van het Europees Parlement en de Raad indien zij dergelijke diensten aanbieden. Dergelijke gevallen moeten per geval worden beoordeeld. Gezien de belangrijke rol die onlinemarktplaatsen spelen bij het mogelijk maken van elektronische handel, moeten zij ernaar streven samen te werken met de markttoezichtautoriteiten van de lidstaten om ervoor te zorgen dat producten met digitale elementen die via onlinemarktplaatsen worden gekocht, voldoen aan de cyberbeveiligingsvereisten van deze verordening.

Top of page

Om de beoordeling van de conformiteit met de eisen van deze verordening te vergemakkelijken, moet er een vermoeden van conformiteit bestaan voor producten met digitale elementen die in overeenstemming zijn met geharmoniseerde normen die de essentiële cyberbeveiligingsvereisten van deze verordening omzetten in gedetailleerde technische specificaties, en die zijn vastgesteld overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad . Die verordening voorziet in een procedure voor bezwaren tegen geharmoniseerde normen die niet volledig aan de vereisten van deze verordening voldoen. Het normalisatieproces moet een evenwichtige vertegenwoordiging van belangen en doeltreffende participatie van belanghebbenden uit het maatschappelijk middenveld, met inbegrip van consumentenorganisaties, waarborgen. Ook internationale normen die in overeenstemming zijn met het niveau van cyberbeveiliging dat met de essentiële cyberbeveiligingsvereisten van deze verordening wordt beoogd, moeten in aanmerking worden genomen, teneinde de ontwikkeling van geharmoniseerde normen en de uitvoering van deze verordening te vergemakkelijken en de naleving door ondernemingen, met name micro-ondernemingen en kleine en middelgrote ondernemingen en ondernemingen die wereldwijd actief zijn, te vergemakkelijken.

Top of page

Met het oog op de doeltreffende uitvoering van deze verordening is het met name belangrijk dat tijdens de overgangsperiode voor de toepassing van deze verordening tijdig geharmoniseerde normen worden ontwikkeld en dat die beschikbaar zijn vóór de datum van toepassing van deze verordening. Dat geldt met name voor belangrijke producten met digitale elementen die vallen onder klasse I. De beschikbaarheid van geharmoniseerde normen zal fabrikanten van dergelijke producten in staat stellen om de conformiteitsbeoordelingen uit te voeren via de procedure voor interne controle, waardoor knelpunten en vertragingen in de activiteiten van conformiteitsbeoordelingsinstanties kunnen worden voorkomen.

Top of page

Bij Verordening (EU) 2019/881 is een vrijwillig Europees kader voor cyberbeveiligingscertificering voor ICT-producten, -processen en -diensten vastgesteld. Europese cyberbeveiligingscertificeringsregelingen bieden gebruikers een gemeenschappelijk vertrouwenskader voor het gebruik van producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen. Deze verordening moet bijgevolg synergieën tot stand brengen met Verordening (EU) 2019/881. Om de beoordeling van de conformiteit met de vereisten van deze verordening te vergemakkelijken, worden producten met digitale elementen die zijn gecertificeerd of waarvoor een conformiteitsverklaring is afgegeven in het kader van een Europese cyberbeveiligingscertificeringsregeling op grond van Verordening (EU) 2019/881 die door de Commissie bij uitvoeringshandeling is vastgesteld, geacht in overeenstemming te zijn met de essentiële cyberbeveiligingsvereisten van deze verordening, voor zover het cyberbeveiligingscertificaat of de conformiteitsverklaring of delen daarvan die vereisten dekken. De behoefte aan nieuwe Europese cyberbeveiligingscertificeringsregelingen voor producten met digitale elementen moet in het licht van deze verordening worden beoordeeld, onder meer in het kader van de voorbereiding van het voortschrijdend werkprogramma van de Unie overeenkomstig Verordening (EU) 2019/881. Indien er behoefte is aan een nieuwe regeling voor producten met digitale elementen, onder meer om de naleving van deze verordening te vergemakkelijken, kan de Commissie overeenkomstig artikel 48 van Verordening (EU) 2019/881 Enisa verzoeken een potentiële regeling op te stellen. Dergelijke toekomstige Europese cyberbeveiligingscertificeringsregelingen voor producten met digitale elementen moeten rekening houden met de essentiële cyberbeveiligingsvereisten en conformiteitsbeoordelingsprocedures als vastgelegd in deze verordening en de naleving van deze verordening vergemakkelijken. Het kan zijn dat het nodig is om met betrekking tot Europese cyberbeveiligingscertificeringsregelingen die vóór de inwerkingtreding van deze verordening in werking treden, gedetailleerde aspecten inzake de toepassing van een vermoeden van conformiteit nader te specificeren. De Commissie moet de bevoegdheid krijgen om door middel van gedelegeerde handelingen te specificeren onder welke voorwaarden de Europese cyberbeveiligingscertificeringsregelingen kunnen worden gebruikt om de conformiteit met de essentiële cyberbeveiligingsvereisten van deze verordening aan te tonen. Voorts mogen, om onnodige administratieve lasten te vermijden, fabrikanten niet worden verplicht een conformiteitsbeoordeling door derden als voorzien in deze verordening te laten verrichten voor de overeenkomstige vereisten, als uit hoofde van dergelijke Europese cyberbeveiligingscertificeringsregelingen een Europees cyberbeveiligingscertificaat is afgegeven op ten minste zekerheidsniveau “substantieel”.

Top of page

Bij de inwerkingtreding van Uitvoeringsverordening (EU) 2024/482, die betrekking heeft op producten die binnen het toepassingsgebied van deze verordening vallen, zoals hardwarebeveiligingsmodules en microprocessoren, moet de Commissie door middel van een gedelegeerde handeling kunnen bepalen hoe de EUCC een vermoeden van conformiteit met de essentiële cyberbeveiligingsvereisten van deze verordening of delen daarvan vestigt. Voorts kan in een dergelijke gedelegeerde handeling worden gespecificeerd hoe een in het kader van de EUCC afgegeven certificaat de verplichting voor fabrikanten wegneemt om een beoordeling te laten uitvoeren door derden, zoals vereist op grond van deze verordening voor overeenkomstige vereisten.

Top of page

Het huidige Europese kader voor normalisatie, dat gebaseerd is op de beginselen van de nieuwe aanpak die zijn uiteengezet in de resolutie van de Raad van 7 mei 1985 betreffende een nieuwe aanpak op het gebied van de technische harmonisatie en normalisatie en op Verordening (EU) nr. 1025/2012, vormt het standaardkader voor het opstellen van normen die voorzien in een vermoeden van conformiteit met de relevante essentiële cyberbeveiligingsvereisten van deze verordening. De Europese normen moeten marktgestuurd zijn, rekening houden met het algemeen belang en met de beleidsdoelstellingen die duidelijk zijn vermeld in het verzoek van de Commissie aan één of meer Europese normalisatieorganisaties om geharmoniseerde normen op te stellen binnen een vastgestelde termijn, en moeten stoelen op consensus. Bij gebrek aan relevante referenties van geharmoniseerde normen moet de Commissie echter uitvoeringshandelingen kunnen vaststellen met het oog op het opstellen van gemeenschappelijke technische specificaties voor de essentiële cyberbeveiligingsvereisten van deze verordening, op voorwaarde dat zij daarbij de rol en de functies van Europese normalisatieorganisaties naar behoren eerbiedigt, bij wijze van uitzonderlijke terugvaloplossing om de fabrikant te helpen voldoen aan zijn verplichting die essentiële cyberbeveiligingsvereisten na te leven, als het normalisatieproces stilligt of als de vaststelling van passende geharmoniseerde normen vertraging oploopt. Indien dergelijke vertraging te wijten is aan de technische complexiteit van de betrokken norm, moet de Commissie daar rekening mee houden alvorens de vaststelling van gemeenschappelijke specificaties te overwegen.

Top of page

Om zo efficiënt mogelijk gemeenschappelijke specificaties voor de essentiële cyberbeveiligingsvereisten van deze verordening vast te stellen, moet de Commissie de relevante belanghebbenden bij dat proces betrekken.

Top of page

Een redelijke termijn voor de bekendmaking van een referentie van geharmoniseerde normen in het Publicatieblad van de Europese Unie overeenkomstig Verordening (EU) nr. 1025/2012, moet een periode zijn waarin de bekendmaking van de referentie van de norm of de rectificatie of wijziging daarvan in het Publicatieblad van de Europese Unie wordt verwacht, en die niet langer mag zijn dan één jaar na de overeenkomstig Verordening (EU) nr. 1025/2012 vastgestelde termijn voor het opstellen van een Europese norm.

Top of page

Om de beoordeling van de conformiteit met de essentiële cyberbeveiligingsvereisten van deze verordening te vergemakkelijken, moet er een vermoeden van conformiteit bestaan voor producten met digitale elementen die in overeenstemming zijn met de gemeenschappelijke specificaties die de Commissie op grond van deze verordening heeft vastgesteld om gedetailleerde technische specificaties van die vereisten aan te geven.

Top of page

De toepassing van geharmoniseerde normen, gemeenschappelijke specificaties of op grond van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregelingen die voorzien in een vermoeden van conformiteit met betrekking tot de essentiële cyberbeveiligingsvereisten die van toepassing zijn op producten met digitale elementen, zal de beoordeling van de conformiteit door de fabrikanten vergemakkelijken. Indien de fabrikant ervoor kiest om dergelijke middelen met betrekking tot bepaalde vereisten niet toe te passen, moet hij in zijn technische documentatie aangeven op welke andere wijze de conformiteit wordt gewaarborgd. Bovendien vergemakkelijkt de toepassing, door fabrikanten, van geharmoniseerde normen, gemeenschappelijke specificaties of op grond van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregelingen die een vermoeden van conformiteit vestigen, de controle van de conformiteit van producten met digitale elementen door markttoezichtautoriteiten. Daarom worden fabrikanten van producten met digitale elementen aangespoord om dergelijke geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen toe te passen.

Top of page

Fabrikanten moeten een EU-conformiteitsverklaring opstellen om de krachtens deze verordening vereiste informatie te verstrekken over de conformiteit van producten met digitale elementen met de essentiële cyberbeveiligingsvereisten van deze verordening en, indien van toepassing, van de andere relevante harmonisatiewetgeving van de Unie waaronder het product met digitale elementen valt. Fabrikanten kunnen ook op grond van andere rechtshandelingen van de Unie worden verplicht een EU-conformiteitsverklaring op te stellen. Om effectieve toegang tot informatie voor markttoezichtdoeleinden te waarborgen, moet één EU-conformiteitsverklaring worden opgesteld met betrekking tot de naleving van alle betrokken rechtshandelingen van de Unie. Om de administratieve lasten voor marktdeelnemers te verminderen, moet het mogelijk zijn dat die EU-conformiteitsverklaring een dossier is dat bestaat uit relevante afzonderlijke conformiteitsverklaringen.

Top of page

De CE-markering, die de conformiteit van een product aangeeft, is het zichtbare resultaat van een volledig proces waaronder de conformiteitsbeoordeling in ruime zin valt. De algemene beginselen voor de CE-markering zijn vastgesteld in Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad . In deze verordening moeten voorschriften worden vastgesteld voor het aanbrengen van de CE-markering op producten met digitale elementen. De CE-markering moet de enige markering zijn die garandeert dat producten met digitale elementen voldoen aan de vereisten van deze verordening.

Top of page

Om marktdeelnemers in staat te stellen de conformiteit met de essentiële cyberbeveiligingsvereisten van deze verordening aan te tonen en om markttoezichtautoriteiten in staat te stellen te waarborgen dat producten met digitale elementen die op de markt worden aangeboden, aan die vereisten voldoen, moet worden voorzien in conformiteitsbeoordelingsprocedures. Bij Besluit nr. 768/2008/EG van het Europees Parlement en de Raad zijn modules voor conformiteitsbeoordelingsprocedures vastgesteld die in verhouding staan tot het betrokken risiconiveau en het vereiste beveiligingsniveau. Om voor coherentie tussen de sectoren te zorgen en ad-hocvarianten te voorkomen, moeten de conformiteitsbeoordelingsprocedures die geschikt zijn om de conformiteit van producten met digitale elementen met de essentiële cyberbeveiligingsvereisten van deze verordening te controleren, op die modules worden gebaseerd. De conformiteitsbeoordelingsprocedures moeten zowel product- als procesgerelateerde vereisten voor de gehele levenscyclus van producten met digitale elementen onderzoeken en verifiëren, met inbegrip van planning, ontwerp, ontwikkeling of productie, testen en onderhoud van het product met digitale elementen.

Top of page

De conformiteitsbeoordeling van producten met digitale elementen die in deze verordening niet zijn aangemerkt als belangrijke of kritieke producten met digitale elementen, kan door de fabrikant onder eigen verantwoordelijkheid worden uitgevoerd volgens de procedure voor interne controle op basis van module A van Besluit nr. 768/2008/EG overeenkomstig deze verordening. Dat geldt ook voor gevallen waarin een fabrikant ervoor kiest een toepasselijke geharmoniseerde norm, gemeenschappelijke specificatie of Europese cyberbeveiligingscertificeringsregeling geheel of gedeeltelijk niet toe te passen. De fabrikant blijft over de flexibiliteit beschikken om te kiezen voor een strengere conformiteitsbeoordelingsprocedure waarbij een derde partij betrokken is. In het kader van de conformiteitsbeoordelingsprocedure op basis van interne controle garandeert en verklaart de fabrikant op eigen verantwoordelijkheid dat het product met digitale elementen en de processen van de fabrikant aan de toepasselijke essentiële cyberbeveiligingsvereisten van deze verordening voldoen. Indien een belangrijk product met digitale elementen onder klasse I valt, is aanvullende zekerheid vereist om aan te tonen dat het product aan de essentiële cyberbeveiligingsvereisten van deze verordening voldoet. De fabrikant moet geharmoniseerde normen, gemeenschappelijke specificaties of op grond van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregelingen, die door de Commissie bij uitvoeringshandeling zijn vastgesteld, toepassen, indien hij de conformiteitsbeoordeling onder zijn eigen verantwoordelijkheid wil uitvoeren (module A). Als de fabrikant dergelijke geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen niet toepast, moet de fabrikant een conformiteitsbeoordeling ondergaan waarbij een derde partij betrokken is (op basis van de modules B en C of module H). Rekening houdend met de administratieve lasten voor fabrikanten en het feit dat cyberbeveiliging een belangrijke rol speelt in de ontwerp- en ontwikkelingsfase van materiële en immateriële producten met digitale elementen, zijn conformiteitsbeoordelingsprocedures op basis van de modules B en C of module H van Besluit nr. 768/2008/EG gekozen als de meest geschikte voor een evenredige en doeltreffende beoordeling van de conformiteit van belangrijke producten met digitale elementen. De fabrikant die de conformiteitsbeoordeling door derden laat verrichten, kan de procedure kiezen die het best past bij zijn ontwerp- en productieproces. Gezien het nog grotere cyberbeveiligingsrisico in verband met het gebruik van belangrijke producten met digitale elementen die vallen onder klasse II, moet bij de conformiteitsbeoordeling in dat geval altijd een derde partij betrokken zijn, zelfs wanneer het product geheel of gedeeltelijk voldoet aan geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen. Fabrikanten van belangrijke producten met digitale elementen die als vrije en opensourcesoftware worden aangemerkt, moeten de procedure voor interne controle op basis van module A kunnen volgen, op voorwaarde dat zij de technische documentatie openbaar maken.

Top of page

De vervaardiging van materiële producten met digitale elementen vereist doorgaans dat fabrikanten aanzienlijke inspanningen leveren tijdens de ontwerp-, ontwikkelings- en productiefase, maar de vervaardiging van producten met digitale elementen in de vorm van software is bijna uitsluitend gericht op ontwerp en ontwikkeling, waarbij de productiefase een kleine rol speelt. Toch moeten softwareproducten in veel gevallen nog worden samengesteld, gebouwd, verpakt, beschikbaar gesteld voor download of op fysieke dragers worden gekopieerd voordat zij in de handel worden gebracht. Die activiteiten moeten worden beschouwd als productieactiviteiten wanneer met de desbetreffende conformiteitsbeoordelingsmodules wordt nagegaan of het product in de ontwerp-, ontwikkelings- en productiefasen aan de essentiële cyberbeveiligingsvereisten van deze verordening voldoet.

Top of page

Om evenredigheid te waarborgen is het passend dat met betrekking tot micro-ondernemingen en kleine ondernemingen de administratieve kosten worden verlicht, zonder dat afbreuk wordt gedaan aan het niveau van cyberbeveiliging met betrekking tot producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen en zonder dat het gelijke speelveld tussen fabrikanten wordt aangetast. Het is daarom passend dat de Commissie een vereenvoudigd formulier voor technische documentatie vaststelt dat is afgestemd op de behoeften van micro-ondernemingen en kleine ondernemingen. Het door de Commissie vast te stellen vereenvoudigde formulier voor technische documentatie moet alle in deze verordening vastgestelde toepasselijke elementen in verband met technische documentatie omvatten, en nader bepalen hoe een micro-onderneming of een kleine onderneming de gevraagde elementen, zoals de beschrijving van het ontwerp, de ontwikkeling en de productie van het product met digitale elementen, op beknopte wijze kan verstrekken. Op die manier draagt het formulier ertoe bij dat de administratieve lasten in verband met de naleving worden verlicht doordat de betrokken ondernemingen rechtszekerheid wordt geboden over de omvang en de gedetailleerdheid van de te verstrekken informatie. Micro-ondernemingen en kleine ondernemingen moeten ervoor kunnen kiezen de toepasselijke elementen in verband met de technische documentatie in uitgebreide vorm te verstrekken en geen gebruik te maken van het vereenvoudigde technische formulier waarvan zij gebruik mogen maken.

Top of page

Met het oog op de bevordering en bescherming van innovatie is het belangrijk dat in het bijzonder rekening wordt gehouden met de belangen van fabrikanten die micro-ondernemingen of kleine of middelgrote ondernemingen zijn, in het bijzonder micro-ondernemingen en kleine ondernemingen, met inbegrip van start-ups. Daartoe kunnen de lidstaten initiatieven ontwikkelen ten behoeve van fabrikanten die micro- of kleine ondernemingen zijn, waaronder initiatieven op het gebied van opleiding, bewustmaking, gegevensverstrekking, testactiviteiten en conformiteitsbeoordeling door derden en het opzetten van testomgevingen. Vertaalkosten in verband met de op grond van deze verordening te verstrekken documentatie, zoals de technische documentatie en de informatie en instructies voor de gebruiker, en communicatie met de autoriteiten, kunnen voor fabrikanten, met name voor kleinere fabrikanten, een aanzienlijke financiële last vormen. Daarom moeten de lidstaten kunnen bepalen dat een van de door hen vastgestelde en aanvaarde talen voor de relevante documentatie van fabrikanten en voor de communicatie met fabrikanten een taal is die beheerst wordt door een zo groot mogelijk aantal gebruikers.

Top of page

Om een soepele toepassing van deze verordening te waarborgen, moeten de lidstaten ernaar streven ervoor te zorgen dat er vóór de datum van toepassing van deze verordening een voldoende aantal aangemelde instanties is om conformiteitsbeoordelingen door derden uit te voeren. De Commissie moet zich inspannen om de lidstaten en andere relevante partijen daarbij te ondersteunen, om knelpunten en belemmeringen voor de markttoegang van fabrikanten te voorkomen. Gerichte opleidingsactiviteiten onder leiding van de lidstaten, indien passend met steun van de Commissie, kunnen bijdragen tot de beschikbaarheid van gekwalificeerde professionals, onder meer ter ondersteuning van de activiteiten van aangemelde instanties uit hoofde van deze verordening. Gelet op de kosten die gepaard kunnen gaan met conformiteitsbeoordeling door derden, moeten voorts financieringsinitiatieven op Unie- en nationaal niveau ter verlichting van dergelijke kosten voor micro-ondernemingen en kleine ondernemingen in overweging worden genomen.

Top of page

Om evenredigheid te waarborgen, moeten conformiteitsbeoordelingsinstanties bij het vaststellen van de vergoedingen voor conformiteitsbeoordelingsprocedures rekening houden met de specifieke belangen en behoeften van micro-ondernemingen en kleine en middelgrote ondernemingen, met inbegrip van start-ups. Met name dienen conformiteitsbeoordelingsinstanties de relevante onderzoeksprocedure en tests waarin deze verordening voorziet, uitsluitend toe te passen indien dat passend is en dienen zij een risicogebaseerde aanpak te hanteren.

Top of page

De testomgevingen voor regelgeving moeten ten doel hebben innovatie en concurrentievermogen bij bedrijven te bevorderen, door te voorzien in gecontroleerde omgevingen voor het uitvoeren van tests voordat de producten met digitale elementen in de handel worden gebracht. Testomgevingen voor regelgeving moeten de rechtszekerheid vergroten voor alle actoren die binnen het toepassingsgebied van deze verordening vallen en moeten de toegang van producten met digitale elementen tot de markt van de Unie vergemakkelijken en versnellen, met name als zij geleverd worden door micro-ondernemingen en kleine ondernemingen, met inbegrip van start-ups.

Top of page

Met het oog op de uitvoering van een conformiteitsbeoordeling door derden voor producten met digitale elementen, moeten de conformiteitsbeoordelingsinstanties door de nationale aanmeldende autoriteiten bij de Commissie en de andere lidstaten worden aangemeld, op voorwaarde dat zij voldoen aan een reeks vereisten, met name inzake onafhankelijkheid, competenties en afwezigheid van belangenconflicten.

Top of page

Om een consistent kwaliteitsniveau bij de uitvoering van een conformiteitsbeoordeling van producten met digitale elementen te waarborgen, moeten ook vereisten worden vastgesteld voor aanmeldende autoriteiten en andere instanties die betrokken zijn bij de beoordeling, aanmelding en monitoring van aangemelde instanties. Het in deze verordening beschreven systeem moet worden aangevuld met het accreditatiesysteem van Verordening (EG) nr. 765/2008. Aangezien accreditatie een essentieel middel is om de bekwaamheid van conformiteitsbeoordelingsinstanties te verifiëren, moet zij ook worden gebruikt voor doeleinden van aanmelding.

Top of page

Conformiteitsbeoordelingsinstanties die zijn geaccrediteerd en aangemeld uit hoofde van het Unierecht waarin vereisten zijn vastgesteld die vergelijkbaar zijn met die van deze verordening, zoals een conformiteitsbeoordelingsinstantie die is aangemeld voor een Europese cyberbeveiligingscertificeringsregeling die is vastgesteld op grond van Verordening (EU) 2019/881 of is aangemeld uit hoofde van Gedelegeerde Verordening (EU) 2022/30, moeten tevens worden beoordeeld en aangemeld uit hoofde van deze verordening. Om onnodige financiële en administratieve lasten te voorkomen en om een soepel en vlot verlopend aanmeldingsproces te waarborgen, kunnen de relevante autoriteiten echter synergieën vaststellen met betrekking tot overlappende vereisten.

Top of page

Transparante accreditatie zoals bepaald in Verordening (EG) nr. 765/2008, die het nodige vertrouwen in conformiteitscertificaten waarborgt, moet door de nationale overheidsinstanties in de hele Unie worden beschouwd als het middel bij uitstek om de technische bekwaamheid van conformiteitsbeoordelingsinstanties aan te tonen. Nationale autoriteiten kunnen echter van mening zijn dat zij over passende middelen beschikken om die evaluatie zelf uit te voeren. In dergelijke gevallen moeten zij, om het juiste niveau van geloofwaardigheid van door andere nationale autoriteiten verrichte evaluaties te waarborgen, aan de Commissie en de andere lidstaten de nodige documenten overleggen om te staven dat de geëvalueerde conformiteitsbeoordelingsinstanties voldoen aan de toepasselijke regelgevingsvereisten.

Top of page

Conformiteitsbeoordelingsinstanties besteden vaak een deel van hun activiteiten in verband met conformiteitsbeoordelingen uit of doen een beroep op een dochteronderneming. Om het beschermingsniveau te waarborgen dat is vereist voor een product met digitale elementen dat in de handel wordt gebracht, is het essentieel dat de betrokken onderaannemers en dochterondernemingen voor de uitvoering van conformiteitsbeoordelingstaken aan dezelfde vereisten voldoen als de aangemelde instanties.

Top of page

De aanmeldende autoriteit moet de aanmelding van een conformiteitsbeoordelingsinstantie via het Nando-informatiesysteem ( New Approach Notified and Designated Organisations ) aan de Commissie en de andere lidstaten toezenden. Het Nando-informatiesysteem is het door de Commissie ontwikkelde en beheerde elektronische aanmeldingsinstrument dat een lijst van alle aangemelde instanties bevat.

Top of page

Omdat aangemelde instanties hun diensten in de gehele Unie kunnen aanbieden, moeten de andere lidstaten en de Commissie in staat worden gesteld bezwaren in te brengen tegen een aangemelde instantie. Daarom is het belangrijk te voorzien in een periode waarin eventuele twijfels of bedenkingen omtrent de bekwaamheid van conformiteitsbeoordelingsinstanties kunnen worden weggenomen voordat zij als aangemelde instanties gaan functioneren.

Top of page

In het belang van het concurrentievermogen is het cruciaal dat aangemelde instanties de conformiteitsbeoordelingsprocedures toepassen op een wijze die geen onnodige lasten voor de marktdeelnemers met zich meebrengt. Om dezelfde reden, en om een gelijke behandeling van de marktdeelnemers te waarborgen, moet bij de technische uitvoering van de conformiteitsbeoordelingsprocedures worden gezorgd voor consistentie. Dat kan het best worden bereikt door passende coördinatie en samenwerking tussen aangemelde instanties.

Top of page

Markttoezicht is een essentieel instrument om de correcte en uniforme toepassing van het Unierecht te waarborgen. Daarom moet een rechtskader tot stand worden gebracht waarbinnen passend markttoezicht kan worden uitgeoefend. De in Verordening (EU) 2019/1020 vastgestelde voorschriften inzake markttoezicht in de Unie en controle van producten die de markt van de Unie binnenkomen, zijn van toepassing op producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen.

Top of page

Overeenkomstig Verordening (EU) 2019/1020 voert een markttoezichtautoriteit markttoezicht uit op het grondgebied van de lidstaat die haar aanwijst. Deze verordening mag de lidstaten niet beletten te kiezen welke autoriteiten voor de uitvoering van markttoezichttaken bevoegd zijn. Elke lidstaat moet een of meer markttoezichtautoriteiten op zijn grondgebied aanwijzen. De lidstaten moeten ervoor kunnen kiezen een bestaande of nieuwe autoriteit aan te wijzen als markttoezichtautoriteit, met inbegrip van bevoegde autoriteiten die zijn aangewezen of opgericht op grond van artikel 8 van Richtlijn (EU) 2022/2555, nationale cyberbeveiligingscertificeringsautoriteiten die zijn aangewezen op grond van artikel 58 van Verordening (EU) 2019/881 of markttoezichtautoriteiten die zijn aangewezen voor de toepassing van Richtlijn 2014/53/EU. Marktdeelnemers moeten volledig samenwerken met markttoezichtautoriteiten en andere bevoegde autoriteiten. Elke lidstaat moet de Commissie en de andere lidstaten in kennis stellen van zijn markttoezichtautoriteiten en de bevoegdheidsgebieden van elk van die autoriteiten en moet zorgen voor de nodige middelen en vaardigheden voor de uitvoering van de markttoezichttaken in verband met deze verordening. Op grond van artikel 10, leden 2 en 3, van Verordening (EU) 2019/1020 moet elke lidstaat één verbindingsbureau aanwijzen dat onder meer tot taak moet hebben het gecoördineerde standpunt van de markttoezichtautoriteiten te vertegenwoordigen en ondersteuning te bieden bij de samenwerking tussen de markttoezichtautoriteiten in verschillende lidstaten.

Top of page

Voor de uniforme toepassing van deze verordening moet op grond van artikel 30, lid 2, van Verordening (EU) 2019/1020 een speciale ADCO voor de cyberweerbaarheid van producten met digitale elementen worden opgericht. De ADCO moet bestaan uit vertegenwoordigers van de aangewezen markttoezichtautoriteiten en, indien relevant, vertegenwoordigers van de verbindingsbureaus. De Commissie moet ondersteunen en aanmoedigen dat markttoezichtautoriteiten samenwerken via het op grond van artikel 29 van Verordening (EU) 2019/1020 opgerichte Unienetwerk voor productconformiteit, bestaande uit vertegenwoordigers van elke lidstaat, waaronder een vertegenwoordiger van elk verbindingsbureau als bedoeld in artikel 10 van die verordening en eventueel een nationale deskundige, de voorzitters van de ADCO’s en vertegenwoordigers van de Commissie. De Commissie moet deelnemen aan de vergaderingen van het Unienetwerk voor productconformiteit, zijn subgroepen en de ADCO. Zij moet de ADCO ook bijstaan door middel van een uitvoerend secretariaat dat technische en logistieke ondersteuning biedt. De ADCO kan ook onafhankelijke deskundigen uitnodigen om deel te nemen en contacten onderhouden met andere ADCO’s, zoals die welke is opgericht krachtens Richtlijn 2014/53/EU.

Top of page

Markttoezichtautoriteiten moeten via de krachtens deze verordening opgerichte ADCO nauw samenwerken en richtsnoeren kunnen ontwikkelen om de markttoezichtactiviteiten op nationaal niveau te faciliteren, bijvoorbeeld door beste praktijken en indicatoren te ontwikkelen om effectief te controleren of producten met digitale elementen aan deze verordening voldoen.

Top of page

Om te zorgen voor tijdige, evenredige en doeltreffende maatregelen met betrekking tot producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden, moet worden voorzien in een vrijwaringsprocedure van de Unie in het kader waarvan belanghebbende partijen worden geïnformeerd over voorgenomen maatregelen ten aanzien van dergelijke producten. Dat moet de markttoezichtautoriteiten ook in staat stellen om, in samenwerking met de betrokken marktdeelnemers, indien nodig in een vroeger stadium op te treden. Indien de lidstaten en de Commissie het eens zijn dat een maatregel van een lidstaat gerechtvaardigd is, hoeft er geen verdere betrokkenheid van de Commissie vereist te zijn, behalve wanneer de niet-conformiteit kan worden toegeschreven aan tekortkomingen van een geharmoniseerde norm.

Top of page

In bepaalde gevallen kan een product met digitale elementen dat aan deze verordening voldoet, niettemin een significant cyberbeveiligingsrisico vormen of een risico vormen voor de gezondheid of veiligheid van personen, voor de naleving van verplichtingen uit hoofde van het Unierecht of het nationale recht ter bescherming van de grondrechten, voor de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van diensten die via een elektronisch informatiesysteem worden aangeboden door in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten, of voor andere aspecten van de bescherming van het algemeen belang. Daarom moeten regels worden vastgesteld die ervoor zorgen dat die risico’s worden beperkt. Bijgevolg moeten de markttoezichtautoriteiten maatregelen nemen om de marktdeelnemer te verplichten om ervoor te zorgen dat het product dat risico niet langer met zich meebrengt, of om het, afhankelijk van het risico, terug te roepen of uit de handel te nemen. Zodra een markttoezichtautoriteit het vrije verkeer van een product met digitale elementen op die manier beperkt of verbiedt, moet de lidstaat aan de Commissie en aan de andere lidstaten onverwijld melding doen van de voorlopige maatregelen, met opgave van de redenen en motivering van het besluit. Wanneer een markttoezichtautoriteit dergelijke maatregelen neemt tegen producten met digitale elementen die een risico vormen, moet de Commissie onverwijld in overleg treden met de lidstaten en de betrokken marktdeelnemer en de nationale maatregel evalueren. Aan de hand van die evaluatie moet de Commissie besluiten of de maatregel al dan niet gerechtvaardigd is. De Commissie moet haar besluit aan alle lidstaten richten en dat onmiddellijk aan hen en aan de betrokken marktdeelnemers kenbaar maken. Indien de maatregel gerechtvaardigd wordt geacht, moet de Commissie ook overwegen voorstellen tot herziening van het desbetreffende Unierecht vast te stellen.

Top of page

Voor producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden en waarvoor er redenen zijn om aan te nemen dat zij niet aan deze verordening voldoen, of voor producten die in overeenstemming zijn met deze verordening maar andere belangrijke risico’s inhouden, bijvoorbeeld voor de gezondheid of veiligheid van personen, voor de naleving van verplichtingen uit hoofde van Unierecht of nationaal recht ter bescherming van de grondrechten, of voor de beschikbaarheid, de authenticiteit, de integriteit of de vertrouwelijkheid van diensten die via een elektronisch informatiesysteem worden aangeboden door in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten, moet de Commissie Enisa kunnen verzoeken een evaluatie te verrichten. Op basis van die evaluatie moet de Commissie door middel van uitvoeringshandelingen corrigerende of beperkende maatregelen op Unieniveau kunnen vaststellen, onder meer door te gelasten de betrokken producten met digitale elementen binnen een redelijke termijn in verhouding tot de aard van het risico uit de handel te nemen of terug te roepen. De Commissie moet een dergelijke maatregel alleen kunnen toepassen in uitzonderlijke omstandigheden die een onmiddellijk optreden rechtvaardigen om de goede werking van de interne markt te beschermen, en alleen wanneer de markttoezichtautoriteiten geen doeltreffende maatregelen hebben genomen om de situatie te verhelpen. Dergelijke uitzonderlijke omstandigheden kunnen noodsituaties zijn waarin bijvoorbeeld een niet-conform product met digitale elementen door de fabrikant in verschillende lidstaten op grote schaal wordt aangeboden, ook in belangrijke sectoren wordt gebruikt door entiteiten die binnen het toepassingsgebied van Richtlijn (EU) 2022/2555 vallen, en bekende kwetsbaarheden bevat die door kwaadwillige actoren worden uitgebuit en waarvoor de fabrikant geen patches verstrekt. De Commissie moet in dergelijke noodsituaties alleen kunnen optreden voor de duur van de uitzonderlijke omstandigheden en indien de niet-conformiteit met deze verordening of de belangrijke risico’s die zich voordoen, blijven bestaan.

Top of page

Indien er aanwijzingen zijn van niet-conformiteit met deze verordening in verschillende lidstaten, moeten de markttoezichtautoriteiten gezamenlijke activiteiten met andere autoriteiten kunnen uitvoeren om de conformiteit te verifiëren en de cyberbeveiligingsrisico’s van producten met digitale elementen vast te stellen.

Top of page

Gelijktijdig gecoördineerde controleacties (“bezemacties”) zijn specifieke handhavingsmaatregelen van markttoezichtautoriteiten die de productveiligheid verder kunnen verbeteren. Bezemacties moeten met name worden uitgevoerd wanneer markttrends, consumentenklachten of andere aanwijzingen erop duiden dat bepaalde categorieën producten met digitale elementen vaak cyberbeveiligingsrisico’s blijken te vormen. Bovendien moeten de markttoezichtautoriteiten bij het bepalen van de productcategorieën die aan bezemacties moeten worden onderworpen, ook rekening houden met omstandigheden in verband met niet-technische risicofactoren. Daartoe moeten de markttoezichtautoriteiten rekening kunnen houden met de resultaten van de overeenkomstig artikel 22 van Richtlijn (EU) 2022/2555 verrichte, op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens, met inbegrip van omstandigheden in verband met niet-technische risicofactoren. Enisa moet bij de markttoezichtautoriteiten voorstellen indienen voor categorieën producten met digitale elementen waarvoor bezemacties kunnen worden georganiseerd, onder meer op basis van de meldingen van kwetsbaarheden van producten en incidenten die het ontvangt.

Top of page

Enisa moet, in het licht van zijn deskundigheid en zijn mandaat, het proces voor de uitvoering van deze verordening kunnen ondersteunen. Enisa moet met name gezamenlijke activiteiten kunnen voorstellen die door markttoezichtautoriteiten moeten worden uitgevoerd op basis van aanwijzingen of informatie over mogelijke niet-conformiteit met deze verordening van producten met digitale elementen in verschillende lidstaten, of categorieën producten kunnen identificeren waarvoor bezemacties moeten worden georganiseerd. In uitzonderlijke omstandigheden moet Enisa, op verzoek van de Commissie, evaluaties kunnen uitvoeren met betrekking tot specifieke producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden, wanneer onmiddellijk ingrijpen nodig is om de goede werking van de interne markt te beschermen.

Top of page

Bij deze verordening worden bepaalde taken aan Enisa toegewezen waarvoor passende middelen qua deskundigheid en personeel nodig zijn om Enisa in staat te stellen die taken doeltreffend uit te voeren. Bij de opstelling van het ontwerp van algemene begroting van de Unie zal de Commissie volgens de procedure van artikel 29 van Verordening (EU) 2019/881 de nodige begrotingsmiddelen voor de personeelsformatie van Enisa voorstellen. Daarbij zal de Commissie de totale middelen van Enisa in overweging nemen om het in staat te stellen zijn taken te vervullen, met inbegrip van de taken die op grond van deze verordening aan Enisa zijn toegewezen.

Top of page

Teneinde ervoor te zorgen dat het regelgevingskader waar nodig kan worden aangepast, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie (VWEU) handelingen vast te stellen ten aanzien van het actualiseren van een bijlage bij deze verordening met de lijst van belangrijke producten met digitale elementen. Aan de Commissie moet de bevoegdheid worden overgedragen om overeenkomstig dat artikel handelingen vast te stellen om producten met digitale elementen aan te wijzen die onder andere voorschriften van de Unie vallen die hetzelfde beschermingsniveau bieden als deze verordening, waarbij zij moet aangeven of een beperking of uitsluiting van het toepassingsgebied van deze verordening noodzakelijk zou zijn en, in voorkomend geval, het toepassingsgebied van die beperking moet bepalen. Ook moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig dat artikel handelingen vast te stellen met betrekking tot de mogelijke verplichting tot certificering in het kader van een Europese cyberbeveiligingscertificeringsregeling van de kritieke producten met digitale elementen die in een bijlage bij deze verordening zijn opgenomen, alsook voor het actualiseren van de lijst van kritieke producten met digitale elementen op basis van in deze verordening vastgestelde criteria omtrent hun kritieke karakter, en voor het specificeren van de op grond van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregelingen die kunnen worden gebruikt om de conformiteit met de in een bijlage bij deze verordening opgenomen essentiële cyberbeveiligingsvereisten of delen daarvan aan te tonen. Ook moet aan de Commissie de bevoegdheid worden overgedragen om gedelegeerde handelingen vast te stellen om de minimale ondersteuningsperiode voor specifieke productcategorieën te specificeren wanneer uit de markttoezichtgegevens blijkt dat de ondersteuningsperioden ontoereikend zijn, alsook om de voorwaarden te specificeren voor de toepassing van de cyberbeveiligingsgerelateerde redenen voor het uitstellen van de verspreiding van meldingen van actief uitgebuite kwetsbaarheden. Voorts moet aan de Commissie de bevoegdheid worden overgedragen om gedelegeerde handelingen vast te stellen om vrijwillige beveiligingsattestatieprogramma’s op te zetten om te beoordelen of producten met digitale elementen die als vrije en opensourcesoftware kunnen worden aangemerkt, aan alle of bepaalde essentiële cyberbeveiligingsvereisten of andere verplichtingen van deze verordening voldoen, alsook om de minimuminhoud van de EU-conformiteitsverklaring te specificeren en om de elementen die in de technische documentatie moeten worden opgenomen, aan te vullen. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen. De bevoegdheid om op grond van deze verordening gedelegeerde handelingen vast te stellen, moet aan de Commissie worden toegekend voor een periode van vijf jaar vanaf 10 december 2024. De Commissie moet uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag opstellen over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie moet stilzwijgend met termijnen van dezelfde duur worden verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen die verlenging verzet.

Top of page

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om de technische beschrijving van de in een bijlage bij deze verordening opgenomen categorieën belangrijke producten met digitale elementen te specificeren, om de vorm en de procedure van de door fabrikanten ingediende meldingen van actief uitgebuite kwetsbaarheden en ernstige incidenten met gevolgen voor de beveiliging van producten met digitale elementen nader te specificeren, om gemeenschappelijke specificaties vast te stellen inzake technische vereisten die een middel bieden om te voldoen aan de in een bijlage bij deze verordening opgenomen essentiële cyberbeveiligingsvereisten, om technische specificaties vast te stellen voor etiketten, pictogrammen of andere merktekens in verband met de beveiliging van producten met digitale elementen, de ondersteuningsperiode ervan en mechanismen om het gebruik ervan te bevorderen en het publiek beter bewust te maken van de beveiliging van producten met digitale elementen, om het op de behoeften van micro-ondernemingen en kleine ondernemingen afgestemde vereenvoudigde documentatieformulier te specificeren, en om besluiten te nemen over corrigerende of beperkende maatregelen op het niveau van de Unie in uitzonderlijke omstandigheden die een onmiddellijk optreden rechtvaardigen om de goede werking van de interne markt te beschermen. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad .

Top of page

Om een op vertrouwen gebaseerde en constructieve samenwerking van markttoezichtautoriteiten op Unie- en nationaal niveau te waarborgen, moeten alle bij de toepassing van deze verordening betrokken partijen de vertrouwelijkheid eerbiedigen van informatie en data die zij bij de uitvoering van hun taken verkrijgen.

Top of page

Om de doeltreffende handhaving van de verplichtingen van deze verordening te waarborgen, moet elke markttoezichtautoriteit de bevoegdheid hebben om administratieve geldboeten op te leggen of om oplegging daarvan te vragen. Daarom moeten maximumniveaus worden vastgesteld voor administratieve geldboeten waarin het nationale recht moet voorzien voor niet-naleving van de verplichtingen van deze verordening. Bij de vaststelling van het bedrag van de administratieve geldboete per geval moet rekening worden gehouden met alle relevante omstandigheden van de specifieke situatie en ten minste met die welke uitdrukkelijk in deze verordening zijn vastgesteld, met inbegrip van de vraag of de fabrikant een micro-, kleine of middelgrote onderneming, met inbegrip van een start-up, is en of dezelfde of andere markttoezichtautoriteiten reeds administratieve geldboeten hebben opgelegd aan dezelfde marktdeelnemer voor een soortgelijke inbreuk. Dergelijke omstandigheden kunnen ofwel verzwarend zijn indien de inbreuk door dezelfde marktdeelnemer voortduurt op het grondgebied van andere lidstaten dan die waar reeds een administratieve boete is opgelegd, ofwel verzachtend door ervoor te zorgen dat er bij elke andere administratieve geldboete die door een andere markttoezichtautoriteit voor dezelfde marktdeelnemer of hetzelfde type inbreuk in overweging wordt genomen, rekening wordt gehouden met andere relevante specifieke omstandigheden, waaronder de in andere lidstaten opgelegde geldboeten en de hoogte daarvan. In al die gevallen moet bij de cumulatieve administratieve geldboete die markttoezichtautoriteiten van verschillende lidstaten aan dezelfde marktdeelnemer voor dezelfde soort inbreuk kunnen opleggen, het evenredigheidsbeginsel in acht worden genomen. Aangezien administratieve geldboeten niet van toepassing zijn op micro-ondernemingen of kleine ondernemingen bij niet-naleving van de termijn van 24 uur voor de vroegtijdige waarschuwing over actief uitgebuite kwetsbaarheden of ernstige incidenten die gevolgen hebben voor de beveiliging van het product met digitale elementen, noch op opensourcesoftwarestewards bij inbreuken op deze verordening, en met inachtneming van het beginsel dat sancties doeltreffend, evenredig en afschrikkend moeten zijn, mogen de lidstaten die entiteiten geen andere soorten geldelijke sancties opleggen.

Top of page

Wanneer administratieve geldboeten worden opgelegd aan een persoon die geen onderneming is, moet de bevoegde autoriteit bij het bepalen van het passende bedrag van de geldboete rekening houden met het algemene inkomensniveau in de lidstaat en met de economische situatie van de persoon. Het moet aan de lidstaten worden overgelaten om te bepalen of en in welke mate overheidsinstanties aan administratieve boeten moeten worden onderworpen.

Top of page

De lidstaten moeten, rekening houdend met de nationale omstandigheden, de mogelijkheid onderzoeken om de inkomsten uit de sancties waarin deze verordening voorziet, of het financiële equivalent daarvan, te gebruiken om cyberbeveiligingsbeleid te ondersteunen en het cyberbeveiligingsniveau in de Unie te verhogen, door onder meer het aantal gekwalificeerde cyberbeveiligingsprofessionals te vergroten, de capaciteitsopbouw voor micro-ondernemingen en kleine en middelgrote ondernemingen te versterken en het publiek beter bewust te maken van cyberdreigingen.

Top of page

In haar betrekkingen met derde landen streeft de Unie ernaar de internationale handel in gereguleerde producten te bevorderen. Er kan een breed scala aan maatregelen worden toegepast om de handel te vergemakkelijken, waaronder verschillende rechtsinstrumenten, zoals bilaterale (intergouvernementele) overeenkomsten inzake wederzijdse erkenning ( Mutual Recognition Agreements , MRA’s) voor conformiteitsbeoordeling en markering van gereguleerde producten. Overeenkomsten inzake wederzijdse erkenning komen tot stand tussen de Unie en derde landen die een vergelijkbaar niveau van technische ontwikkeling hebben en een verenigbare aanpak op het gebied van conformiteitsbeoordeling hanteren. Die overeenkomsten zijn gebaseerd op de wederzijdse aanvaarding van certificaten, conformiteitsmarkering en testverslagen die door de conformiteitsbeoordelingsinstanties van een van beide partijen worden afgegeven in overeenstemming met de wetgeving van de andere partij. Er bestaan momenteel overeenkomsten inzake wederzijdse erkenning met verschillende derde landen. Die overeenkomsten inzake wederzijdse erkenning worden gesloten in een aantal specifieke sectoren, die van derde land tot derde land kunnen verschillen. Om de handel verder te vergemakkelijken, en in het besef dat toeleveringsketens van producten met digitale elementen mondiaal zijn, kan de Unie overeenkomstig artikel 218 VWEU overeenkomsten inzake wederzijdse erkenning met betrekking tot conformiteitsbeoordeling sluiten voor producten die onder deze verordening vallen. Samenwerking met derde partnerlanden is ook belangrijk om de cyberweerbaarheid wereldwijd te versterken, aangezien dat op lange termijn zal bijdragen tot een versterkt cyberbeveiligingskader, zowel binnen als buiten de Unie.

Top of page

Consumenten moeten hun rechten met betrekking tot de verplichtingen die uit hoofde van deze verordening aan marktdeelnemers worden opgelegd, kunnen afdwingen door middel van representatieve vorderingen op grond van Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad . Daartoe moet in deze verordening worden bepaald dat Richtlijn (EU) 2020/1828 van toepassing is op de representatieve vorderingen met betrekking tot inbreuken op deze verordening die de collectieve belangen van consumenten schaden of kunnen schaden. Bijlage I bij die richtlijn moet daarom dienovereenkomstig worden gewijzigd. Het is aan de lidstaten om ervoor te zorgen dat die wijzigingen worden weergegeven in de op grond van die richtlijn vastgestelde omzettingsmaatregelen, hoewel de vaststelling van nationale omzettingsmaatregelen in dat verband geen voorwaarde is voor de toepasselijkheid van die richtlijn op die representatieve vorderingen. Die richtlijn moet vanaf 11 december 2027 van toepassing zijn op representatieve vorderingen die worden ingesteld wegens inbreuken op bepalingen van deze verordening door marktdeelnemers die de collectieve belangen van consumenten schaden of zouden kunnen schaden.

Top of page

De Commissie moet deze verordening in overleg met relevante belanghebbenden op gezette tijden evalueren en toetsen, met name om na te gaan of zij in het licht van de veranderende maatschappelijke, politieke, technologische of marktomstandigheden moet worden gewijzigd. Deze verordening zal het voor entiteiten die onder het toepassingsgebied van Verordening (EU) 2022/2554 en Richtlijn (EU) 2022/2555 vallen en die producten met digitale elementen gebruiken, gemakkelijker maken om hun verplichtingen inzake de beveiliging van de toeleveringsketen na te leven. De Commissie moet in het kader van die periodieke toetsing de gecombineerde effecten van het cyberbeveiligingskader van de Unie evalueren.

Top of page

De marktdeelnemers moeten voldoende tijd krijgen om zich aan de vereisten van deze verordening aan te passen. Deze verordening moet vanaf 11 december 2027 van toepassing zijn, met uitzondering van de meldingsplicht met betrekking tot actief uitgebuite kwetsbaarheden en ernstige incidenten die gevolgen hebben voor de beveiliging van producten met digitale elementen, die vanaf 11 september 2026 van toepassing moet zijn, en van de bepalingen betreffende de aanmelding van conformiteitsbeoordelingsinstanties, die vanaf 11 juni 2026 van toepassing moeten zijn.

Top of page

Het is belangrijk om micro-ondernemingen en kleine en middelgrote ondernemingen, met inbegrip van start-ups, te ondersteunen bij de uitvoering van deze verordening en de risico’s voor de uitvoering als gevolg van een gebrek aan kennis en deskundigheid op de markt tot een minimum te beperken, alsook om het voor fabrikanten gemakkelijker te maken hun verplichtingen uit hoofde van deze verordening na te leven. Het programma Digitaal Europa en andere relevante programma’s van de Unie bieden financiële en technische ondersteuning die die ondernemingen in staat stelt bij te dragen tot de groei van de economie van de Unie en de versterking van het gemeenschappelijke cyberbeveiligingsniveau in de Unie. Ook het Europees Kenniscentrum voor cyberbeveiliging, de nationale coördinatiecentra en de Europese digitale-innovatiehubs die door de Commissie en de lidstaten op Unie- of nationaal niveau zijn opgericht, kunnen ondernemingen en overheidsorganisaties ondersteunen en bijdragen tot de uitvoering van deze verordening. Binnen hun respectieve taken en bevoegdheidsgebieden zouden zij micro-ondernemingen en kleine en middelgrote ondernemingen technische en wetenschappelijke ondersteuning kunnen bieden, bijvoorbeeld voor testactiviteiten en conformiteitsbeoordelingen door derden. Ook zouden zij de uitrol van instrumenten om de uitvoering van deze verordening te vergemakkelijken, kunnen bevorderen.

Top of page

Voorts moeten de lidstaten overwegen aanvullende maatregelen te nemen om micro-ondernemingen en kleine en middelgrote ondernemingen begeleiding en ondersteuning te bieden, bijvoorbeeld door testomgevingen voor regelgeving en speciale communicatiekanalen op te zetten. Om het cyberbeveiligingsniveau in de Unie te verhogen, kunnen de lidstaten ook overwegen steun te verlenen voor het ontwikkelen van capaciteit en vaardigheden op het gebied van cyberbeveiliging van producten met digitale elementen, het verbeteren van de cyberveerkracht van marktdeelnemers, in het bijzonder micro-ondernemingen en kleine en middelgrote ondernemingen, en bewustmaking van het publiek over de cyberbeveiliging van producten met digitale elementen.

Top of page

Daar de doelstelling van deze verordening niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de gevolgen van het optreden beter door de Unie kan worden verwezenlijkt kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

Top of page

Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 9 november 2022 heeft hij een advies uitgebracht,

Top of page