Załącznik VIII

Procedury oceny zgodności

Część I Procedura oceny zgodności opierająca się na kontroli wewnętrznej (zgodnie z modułem A)

  • 1. Kontrola wewnętrzna jest procedurą oceny zgodności, w której producent wypełnia obowiązki określone w pkt 2, 3 i 4 niniejszej części oraz zapewnia i deklaruje na swoją wyłączną odpowiedzialność, że produkt z elementami cyfrowymi spełnia wszystkie zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część I, a producent spełnia zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część II.
  • 2. Producent sporządza dokumentację techniczną określoną w załączniku VII.
  • 3. Projektowanie, opracowywanie i produkcja produktów z elementami cyfrowymi oraz postępowanie w przypadku wykrycia podatności

Producent stosuje wszelkie środki niezbędne, aby projektowanie, opracowywanie, produkcja i procedury postępowania w przypadku wykrycia podatności i ich monitoring zapewniały zgodność produkowanych lub opracowywanych produktów z elementami cyfrowymi i wprowadzonych przez producenta procedur z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I i II.

  • 4. Oznakowanie zgodności i deklaracja zgodności
    • 4.1. Producent umieszcza oznakowanie CE na każdym produkcie z elementami cyfrowymi spełniającym mające zastosowanie wymagania określone w niniejszym rozporządzeniu.
    • 4.2. Producent sporządza pisemną deklarację zgodności UE dla każdego produktu z elementami cyfrowymi zgodnie z art. 28 i przechowuje ją wraz z dokumentacją techniczną do dyspozycji organów krajowych przez okres 10 lat po wprowadzeniu do obrotu danego produktu z elementami cyfrowymi lub przez przewidywany okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy. W deklaracji zgodności UE należy wskazać produkt z elementami cyfrowymi, dla którego ją sporządzono. Kopię deklaracji zgodności UE udostępnia się na żądanie właściwym organom.
  • 5. Upoważnieni przedstawiciele

Obowiązki producenta określone w pkt 4 mogą być, w jego imieniu i na jego odpowiedzialność, wypełniane przez upoważnionego przedstawiciela, pod warunkiem że zostały dane obowiązki określone w pełnomocnictwie.

Część II Badanie typu UE (zgodnie z modułem B)

  • 1. Badanie typu UE jest elementem procedury oceny zgodności, w której jednostka notyfikowana bada projektowanie i opracowywanie techniczne produktu z elementami cyfrowymi oraz wprowadzone przez producenta procedury postępowania w przypadku wykrycia podatności, a także poświadcza, że produkt z elementami cyfrowymi spełnia zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część I, a producent spełnia zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część II.
  • 2. Badanie typu UE polega na ocenie adekwatności projektowania i opracowywania technicznego produktu z elementami cyfrowymi przez zbadanie dokumentacji technicznej i dowodów potwierdzających, o których mowa w pkt 3, oraz zbadanie próbek co najmniej jednej z istotnych części produktu (połączenie typu produkcji i typu projektu).
  • 3. Producent składa wniosek o badanie typu UE w jednej wybranej przez siebie jednostce notyfikowanej.

Wniosek taki zawiera:

  • 3.1. nazwę lub imię i nazwisko oraz adres producenta, a jeżeli wniosek składa upoważniony przedstawiciel – również nazwę lub imię i nazwisko oraz adres tego upoważnionego przedstawiciela;
  • 3.2. pisemną deklarację, że tego samego wniosku nie złożono w żadnej innej jednostce notyfikowanej;
  • 3.3. dokumentację techniczną, która musi umożliwiać przeprowadzenie oceny zgodności produktu z elementami cyfrowymi z mającymi zastosowanie zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I oraz oceny wprowadzonych przez producenta procedur postępowania w przypadku wykrycia podatności określonych w załączniku I część II, a także zawiera odpowiednią analizę i ocenę ryzyka; w dokumentacji technicznej należy określić mające zastosowanie wymagania i ująć, w stopniu właściwym dla oceny, projektowanie, produkcję i działanie produktu z elementami cyfrowymi; w stosownych przypadkach dokumentacja techniczna musi zawierać co najmniej elementy określone w załączniku VII;
  • 3.4. dowody potwierdzające adekwatność projektowania technicznego i rozwiązań dotyczących opracowywania oraz procedur postępowania w przypadku wykrycia podatności; w dowodach tych należy wymienić wszelkie wykorzystane dokumenty, zwłaszcza jeśli nie zastosowano w pełni odpowiednich norm zharmonizowanych lub specyfikacji technicznych; w razie potrzeby dowody potwierdzające muszą obejmować wyniki testów przeprowadzonych przez odpowiednie laboratorium producenta lub przez inne laboratorium badawcze w jego imieniu i na jego odpowiedzialność.
  • 4. Jednostka notyfikowana:
    • 4.1. bada dokumentację techniczną i dowody potwierdzające, aby ocenić adekwatność projektowania i opracowywania technicznego produktu z elementami cyfrowymi w odniesieniu do zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część I oraz wprowadzonych przez producenta procedur postępowania w przypadku wykrycia podatności w odniesieniu do zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część II;
    • 4.2. sprawdza czy egzemplarze opracowano lub wyprodukowano zgodnie z dokumentacją techniczną, i wskazuje elementy, które zaprojektowano i opracowano zgodnie z mającymi zastosowanie przepisami odpowiednich norm zharmonizowanych lub specyfikacji technicznych, jak również tych elementów, które zaprojektowano i opracowano bez stosowania odpowiednich przepisów tych norm;
    • 4.3. prowadzi odpowiednie badania i testy lub zleca ich przeprowadzenia, aby – w przypadku gdy producent zdecydował się na zastosowanie rozwiązań określonych w odpowiednich normach zharmonizowanych lub specyfikacjach technicznych odnoszących się do wymagań przewidzianych w załączniku I – sprawdzić, czy zastosowano je prawidłowo;
    • 4.4. prowadzi odpowiednie badania i testy lub zleca ich przeprowadzenia, aby – w przypadku gdy nie zastosowano rozwiązań określonych w odpowiednich normach zharmonizowanych lub specyfikacjach technicznych odnoszących się do wymagań przedstawionych w załączniku I – sprawdzić, czy rozwiązania przyjęte przez producenta spełniają odpowiednie zasadnicze wymagania w zakresie cyberbezpieczeństwa;
    • 4.5. uzgadnia z producentem miejsca, w którym zostaną przeprowadzone badania i testy.
  • 5. Jednostka notyfikowana sporządza sprawozdanie z oceny, w którym odnotowuje działania podjęte zgodnie z pkt 4 i ich rezultaty. Bez uszczerbku dla swoich obowiązków wobec organów notyfikujących jednostka notyfikowana udostępnia treść takiego sprawozdania, w całości lub w części, wyłącznie za zgodą producenta.
  • 6. Jeżeli typ oraz procedury postępowania w przypadku wykrycia podatności spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I, jednostka notyfikowana wydaje producentowi certyfikat badania typu UE. Certyfikat musi zawierać imię i nazwisko lub nazwę i adres producenta, wnioski z badań, (ewentualne) warunki jego ważności oraz dane niezbędne do identyfikacji zatwierdzonego typu i procedur postępowania w przypadku wykrycia podatności. Do certyfikatu można dołączyć załącznik lub załączniki.

Certyfikat i załączniki do niego zawierają wszystkie istotne informacje umożliwiające ocenę zgodności wyprodukowanych lub opracowanych produktów z elementami cyfrowymi w odniesieniu do badanego typu i procedur postępowania w przypadku wykrycia podatności oraz kontrolę w trakcie eksploatacji.

Jeżeli typ oraz procedury postępowania w przypadku wykrycia podatności nie spełniają mających zastosowanie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I, jednostka notyfikowana odmawia wydania certyfikatu badania typu UE oraz informuje o tym wnioskodawcę, przedstawiając szczegółowe uzasadnienie odmowy.

  • 7. Jednostka notyfikowana śledzi wszelkie zmiany w powszechnie uznanym stanie wiedzy technicznej wskazujące, że zatwierdzony typ oraz zatwierdzone procedury postępowania w przypadku wykrycia podatności mogą nie spełniać już mających zastosowanie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I, oraz musi ustalić, czy zmiany takie wymagają dalszego badania. Jeżeli tak jest, jednostka notyfikowana musi poinformować o tym producenta.

Producent informuje jednostkę notyfikowaną, która przechowuje dokumentację techniczną dotyczącą certyfikatu badania typu UE, o wszystkich modyfikacjach zatwierdzonego typu i zatwierdzonych procedur postępowania w przypadku wykrycia podatności mogących wpływać na zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I lub warunkami ważności certyfikatu. Takie modyfikacje wymagają dodatkowego zatwierdzenia w formie dodatku do pierwotnego certyfikatu badania typu UE.

  • 8. Jednostka notyfikowana prowadzi audyty okresowe, by zapewnić odpowiednie wdrażanie procesów postępowania w przypadku wykrycia podatności określonych w załączniku I część II.
  • 9. Każda jednostka notyfikowana informuje właściwy organ notyfikujący o certyfikatach badania typu UE i wszelkich dodatkach do nich, które wydała lub cofnęła, oraz, okresowo lub na żądanie, udostępniać właściwemu organowi notyfikującemu wykaz tych certyfikatów i wszelkich dodatków do nich, których wydania odmówiła, które zawiesiła lub objęła innymi ograniczeniami.

Każda jednostka notyfikowana informuje pozostałe jednostki notyfikowane o certyfikatach badania typu UE i wszelkich dodatkach do nich, których wydania odmówiła, które cofnęła, zawiesiła lub objęła innymi ograniczeniami oraz, na żądanie, o certyfikatach i wszelkich dodatkach do nich, które wydała.

Komisja, państwa członkowskie i pozostałe jednostki notyfikowane mogą na żądanie otrzymać kopie certyfikatów badania typu UE lub dodatków do nich. Komisja i państwa członkowskie mogą otrzymać na żądanie kopię dokumentacji technicznej oraz wyniki badań przeprowadzonych przez jednostkę notyfikowaną. Jednostka notyfikowana przechowuje kopie certyfikatu badania typu UE, załączników i dodatków do niego, a także dokumentów technicznych, w tym dokumentacji przedłożonej przez producenta, do czasu wygaśnięcia ważności certyfikatu.

  • 10. Producent przechowuje kopie certyfikatu badania typu UE, załączników i dodatków do niego wraz z dokumentacją techniczną do dyspozycji organów krajowych przez okres 10 lat po wprowadzeniu produktu z elementami cyfrowymi do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy.
  • 11. Upoważniony przedstawiciel producenta może złożyć wniosek, o którym mowa w pkt 3, oraz wypełniać obowiązki określone w pkt 7 i 10, pod warunkiem że dane obowiązki zostały określone w upoważnieniu.

Część III Zgodność z typem w oparciu o wewnętrzną kontrolę produkcji (zgodnie z modułem C)

  • 1. Zgodność z typem w oparciu o wewnętrzną kontrolę produkcji to element procedury oceny zgodności, w której producent wypełnia obowiązki określone w pkt 2 i 3 niniejszej części oraz zapewnia i deklaruje, że dane produkty z elementami cyfrowymi są zgodne z typem opisanym w certyfikacie badania typu UE i spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa przewidziane w załączniku I część I, a producent spełnia zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część II.
  • 2. Produkcja

Producent stosuje wszelkie niezbędne środki, aby proces produkcji i jego monitorowanie zapewniały zgodność wyprodukowanych produktów z elementami cyfrowymi z zatwierdzonym typem opisanym w certyfikacie badania typu UE i z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa przewidzianymi w załączniku I część I, oraz zapewnia spełnianie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część II.

  • 3. Oznakowanie zgodności i deklaracja zgodności
    • 3.1. Producent umieszcza oznakowania CE na każdym egzemplarzu produktu z elementami cyfrowymi zgodnym z typem opisanym w certyfikacie badania typu UE i spełniającym mające zastosowanie wymagania określone w niniejszym rozporządzeniu.
    • 3.2. Producent sporządza pisemną deklarację zgodności dla modelu produktu z elementami cyfrowymi i przechowuje ją do dyspozycji organów krajowych przez okres 10 lat po wprowadzeniu produktu do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy. W deklaracji zgodności należy wskazać produkt, dla którego została ona sporządzona. Kopię deklaracji zgodności należy na żądanie udostępnić właściwym organom.
  • 4. Upoważniony przedstawiciel

Obowiązki producenta określone w pkt 3 mogą być, w jego imieniu i na jego odpowiedzialność, wypełniane przez upoważnionego przedstawiciela, pod warunkiem że dane obowiązki zostały określone w pełnomocnictwie.

Część IV Zgodność oparta na pełnym zapewnieniu jakości (zgodnie z modułem H)

  • 1. Zgodność oparta na pełnym zapewnieniu jakości jest procedurą oceny zgodności, w której producent wypełnia obowiązki określone w pkt 2 i 5 niniejszej części oraz zapewnia i deklaruje na swoją wyłączną odpowiedzialność, że dane produkty lub kategorie produktów z elementami cyfrowymi spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część I, a wprowadzone przez producenta procedury postępowania w przypadku wykrycia podatności spełniają zasadnicze wymagania określone w załączniku I część II.
  • 2. Projektowanie, opracowywanie, produkcja i postępowanie w przypadku wykrycia podatności w odniesieniu do produktów z elementami cyfrowymi

Producent ma zatwierdzony system jakości określony w pkt 3 w odniesieniu do projektowania i opracowywania danych produktów z elementami cyfrowymi, inspekcji i testowania produktów końcowych, postępowania w przypadku wykrycia podatności oraz utrzymania wydajności tych produktów przez cały okres wsparcia, a także podlega nadzorowi zgodnie z pkt 4.

  • 3. System jakości

    • 3.1. Producent składa w wybranej przez siebie jednostce notyfikowanej wniosek o ocenę jego systemu jakości dla danych produktów z elementami cyfrowymi.

      Wniosek taki zawiera:

      • a) nazwę lub imię i nazwisko oraz adres producenta, a jeżeli wniosek składa upoważniony przedstawiciel – również nazwę lub imię i nazwisko oraz adres tego upoważnionego przedstawiciela;
      • b) dokumentację techniczną dla jednego modelu każdej kategorii produktów z elementami cyfrowymi, które mają być produkowane lub opracowywane; w stosownych przypadkach dokumentacja techniczna musi zawierać co najmniej elementy określone w załączniku VII;
      • c) dokumentację dotyczącą systemu jakości; oraz
      • d) pisemną deklarację, że tego samego wniosku nie złożono w żadnej innej jednostce notyfikowanej.

    • 3.2. System jakości musi zapewniać zgodność produktów z elementami cyfrowymi z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I oraz zgodność wprowadzonych przez producenta procedur postępowania w przypadku wykrycia podatności z wymaganiami określonymi w załączniku I część II.

      Wszystkie elementy, wymagania i środki przyjęte przez producenta muszą być w systematyczny i uporządkowany sposób udokumentowane w formie pisemnych zaleceń, procedur i instrukcji. Dokumentacja systemu jakości musi umożliwiać spójną interpretację programów, planów, ksiąg i zapisów dotyczących jakości.

      Dokumentacja ta zawiera w szczególności stosowny opis:

      • a) celów jakości i struktury organizacyjnej, obowiązków oraz uprawnień kierownictwa w odniesieniu do projektowania, opracowywania, jakości produktu i postępowania w przypadku wykrycia podatności;
      • b) specyfikacji technicznych projektowania i opracowywania, w tym norm, które będą stosowane, oraz – jeżeli dane normy zharmonizowane lub specyfikacje techniczne nie będą stosowane w pełni – środków, które zostaną wprowadzone, by zapewnić spełnienie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część I mających zastosowanie do produktów z elementami cyfrowymi;
      • c) specyfikacji procedur, w tym norm, które będą stosowane, oraz – jeżeli dane normy zharmonizowane lub specyfikacje techniczne nie będą stosowane w pełni – środków, które zostaną wprowadzone, by zapewnić spełnienie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część II mających zastosowanie do producenta;
      • d) kontroli projektowania i opracowywania oraz technik weryfikacji projektowania i opracowywania, procesów i systematycznych działań, które będą podejmowane podczas projektowania i opracowywania produktów z elementami cyfrowymi należących do danej kategorii produktów;
      • e) odpowiednich technik produkcji, kontroli jakości i zapewnienia jakości, procesów i systematycznych działań, które będą podejmowane;
      • f) badań i testów, które będą wykonywane przed rozpoczęciem, w trakcie i po zakończeniu produkcji oraz ich częstotliwości;
      • g) zapisów dotyczących jakości, takich jak sprawozdania z kontroli i dane z badań, dane dotyczące wzorcowania oraz sprawozdania dotyczące kwalifikacji odpowiedniego personelu;
      • h) środków monitorowania osiągania wymaganej jakości projektowania i produktu oraz skutecznego działania systemu jakości.

    • 3.3. Jednostka notyfikowana ocenia systemu jakości w celu stwierdzenia, czy spełnia on wymagania, o których mowa w pkt 3.2.

      Zakłada ona zgodność z tymi wymaganiami w odniesieniu do elementów systemu jakości zgodnych z odpowiednimi specyfikacjami normy krajowej wdrażającej odnośną normę zharmonizowaną lub specyfikację techniczną.

      Oprócz doświadczenia w zakresie systemów zarządzania jakością co najmniej jeden członek zespołu audytowego musi mieć doświadczenie z zakresu oceny w dziedzinie danego produktu i danej technologii, a także znać mające zastosowanie wymagania określone w niniejszym rozporządzeniu. Audyt musi obejmować wizytę oceniającą w zakładzie producenta, jeżeli taki zakład istnieje. Zespół audytowy wykonuje przegląd dokumentacji technicznej, o której mowa w pkt 3.1 lit b), by zweryfikować zdolność producenta do identyfikowania mających zastosowanie wymagań określonych w niniejszym rozporządzeniu oraz do prowadzenia badań koniecznych do zapewnienia zgodności produktu z elementami cyfrowymi z tymi wymaganiami.

      O decyzji powiadamia się producenta lub jego upoważnionego przedstawiciela.

      Powiadomienie takie zawiera wnioski z audytu oraz uzasadnioną decyzję dotyczącą oceny.

    • 3.4. Producent podejmuje się wypełnienia zobowiązań wynikających z zatwierdzonego systemu jakości oraz utrzymania go w taki sposób, aby pozostawał odpowiedni oraz wydajny.

    • 3.5. Producent na bieżąco informuje jednostkę notyfikowaną, która zatwierdziła system jakości, o wszelkich zamierzonych modyfikacjach systemu jakości.

      Jednostka notyfikowana ocenia proponowane zmiany oraz decyduje, czy zmodyfikowany system jakości nadal będzie spełniał wymagania, o których mowa w pkt 3.2, lub czy konieczna jest ponowna jego ocena.

      Powiadamia ona producenta o swojej decyzji. Powiadomienie takie musi zawierać wnioski z badania oraz uzasadnioną decyzję dotyczącą oceny.

  • 4. Nadzór, za który odpowiedzialna jest jednostka notyfikowana
    • 4.1. Celem nadzoru jest sprawdzenie, czy producent należycie wypełnia obowiązki wynikające z zatwierdzonego systemu jakości.
    • 4.2. Do celów oceny producent umożliwia jednostce notyfikowanej dostęp do miejsc projektowania, opracowywania, produkcji, kontroli, badań i magazynowania oraz przedstawia wszelkie niezbędne informacje, a w szczególności:
      • a) dokumentację systemu jakości;
      • b) zapisy dotyczące jakości przewidziane w projektowej części systemu jakości, takie jak wyniki analiz, obliczeń i badań;
      • c) zapisy dotyczące jakości przewidziane w produkcyjnej części systemu jakości, takie jak sprawozdania z inspekcji, dane uzyskane podczas badań, dane dotyczące wzorcowania i dane dotyczące kwalifikacji odpowiednich pracowników.
    • 4.3. Jednostka notyfikowana ma przeprowadza okresowe audyty, by sprawdzić, czy producent utrzymuje i stosuje system jakości, oraz przekazuje producentowi sprawozdania z audytu.
  • 5. Oznakowanie zgodności i deklaracja zgodności

    • 5.1. Producent umieszcza oznakowania CE oraz, na odpowiedzialność jednostki notyfikowanej, o której mowa w pkt 3.1, jej numer identyfikacyjny na każdym egzemplarzu produktu z elementami cyfrowymi spełniającym wymagania określone w załączniku I część I.

    • 5.2. Producent sporządza pisemną deklarację zgodności dla każdego modelu produktu i przechowuje ją do dyspozycji organów krajowych przez okres 10 lat po wprowadzeniu produktu z elementami cyfrowymi do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy. W deklaracji zgodności należy wskazać produkt, dla którego została ona sporządzona.

      Kopię deklaracji zgodności udostępnia się na żądanie właściwym organom.

  • 6. Producent przechowuje do dyspozycji organów krajowych, przez co najmniej 10 lat od wprowadzenia do obrotu produktu z elementami cyfrowymi lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy, następujące dokumenty:
    • a) dokumentację techniczną, o której mowa w pkt 3.1;
    • b) dokumentację dotyczącą systemu jakości, o której mowa w pkt 3.1;
    • c) zatwierdzoną zmianę, o której mowa w pkt 3.5;
    • d) decyzje i sprawozdania jednostki notyfikowanej, o których mowa w pkt 3.5 i 4.3.
  • 7. Każda jednostka notyfikowana informuje odpowiednia organy notyfikujące o wydanych lub cofniętych zatwierdzeniach systemów jakości oraz, okresowo lub na żądanie, udostępnia odpowiednim organom notyfikującym wykaz zatwierdzeń systemów jakości, których wydania odmówiono, które zawieszono lub poddano innym ograniczeniom.

Każda jednostka notyfikowana informuje pozostałe jednostki notyfikowane o zatwierdzeniach systemów jakości, których wydania odmówiła, które cofnęła lub zawiesiła oraz, na żądanie, o zatwierdzeniach systemów jakości, które wydała.

  • 8. Upoważniony przedstawiciel

Obowiązki producenta określone w pkt 3.1, 3.5, 5 i 6 może w jego imieniu i na jego odpowiedzialność wypełniać jego upoważniony przedstawiciel, o ile dane obowiązki zostały określone w pełnomocnictwie.

W odniesieniu do niniejszego aktu złożone zostało oświadczenie, które jest dostępne w Dz.U. C, 2024/6786, 20.11.2024, ELI: http://data.europa.eu/eli/C/2024/6786/oj.