Artykuł 13

1. Wprowadzając produkt z elementami cyfrowymi do obrotu, producenci zapewniają, aby został on zaprojektowany, opracowany i wyprodukowany zgodnie z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I.

2. W celu zapewnienia zgodności z ust. 1, producenci przeprowadzają ocenę ryzyka w cyberprzestrzeni związanego z produktem z elementami cyfrowymi i uwzględniają wynik tej oceny na etapie planowania, projektowania, opracowywania, produkcji, dostarczania i utrzymania produktu z elementami cyfrowymi w celu zminimalizowania ryzyka w cyberprzestrzeni, zapobiegania incydentom i zminimalizowania ich skutków, w tym w odniesieniu do zdrowia i bezpieczeństwa użytkowników.

3. Ocena ryzyka w cyberprzestrzeni jest odpowiednio dokumentowana i aktualizowana w okresie wsparcia, który zostanie określony zgodnie z ust. 8 niniejszego artykułu. Ta ocena ryzyka w cyberprzestrzeni obejmuje co najmniej analizę ryzyka w cyberprzestrzeni w oparciu o przeznaczenie i racjonalnie przewidywalne wykorzystanie, a także warunki użytkowania produktu z elementami cyfrowymi, takie jak środowisko operacyjne lub aktywa, które mają być chronione, z uwzględnieniem oczekiwanego czasu użytkowania produktu. W ocenie ryzyka w cyberprzestrzeni wskazuje się, czy i w jaki sposób wymogi bezpieczeństwa określone w załączniku I część I pkt 2 stosują się do danego produktu z elementami cyfrowymi oraz w jaki sposób wymagania te są wdrażane zgodnie z oceną ryzyka w cyberprzestrzeni. Wskazuje się w niej również to, w jaki sposób producent ma stosować załącznik I część I pkt 1, oraz wymagania dotyczące postępowania w przypadku wykrycia podatności określone w załączniku I część II.

4. Wprowadzając produkt z elementami cyfrowymi do obrotu, producent włącza ocenę ryzyka w cyberprzestrzeni, o której mowa w ust. 3 niniejszego artykułu, do dokumentacji technicznej wymaganej na mocy art. 31 i załącznika VII. W przypadku produktów z elementami cyfrowymi, o których mowa w art. 12, podlegających również innym aktom prawnym Unii, ocena ryzyka w cyberprzestrzeni może być częścią oceny ryzyka wymaganej na podstawie tych odpowiednich aktów prawnych Unii. Jeżeli niektóre zasadnicze wymagania w zakresie cyberbezpieczeństwa nie mają zastosowania do produktu z elementami cyfrowymi, producent zamieszcza w tej dokumentacji technicznej wyraźne uzasadnienie.

5. W celu wypełnienia obowiązku określonego w ust. 1 producenci dokładają należytej staranności przy integrowaniu z produktami z elementami cyfrowymi komponentów pochodzących od stron trzecich, aby komponenty takie nie naruszały cyberbezpieczeństwa produktu z elementami cyfrowymi, w tym w przypadku zintegrowania komponentów wolnego i otwartego oprogramowania, które nie zostały udostępnione na rynku w ramach działalności komercyjnej.

6. Producenci, po zidentyfikowaniu podatności w komponencie, w tym w komponencie otwartego oprogramowania, który jest zintegrowany z produktem z elementami cyfrowymi, zgłaszają podatność osobie lub podmiotowi produkującemu lub utrzymującemu komponent oraz usuwają i naprawiają podatność zgodnie z wymogami dotyczącymi postępowania w przypadku wykrycia podatności określonymi w załączniku I część II. W przypadku gdy producenci opracowali modyfikację oprogramowania lub sprzętu komputerowego w celu wyeliminowania podatności w komponencie, udostępniają oni odpowiedni kod lub dokumentację osobie lub podmiotowi produkującemu lub utrzymującemu komponent, w stosownych przypadkach w formacie nadającym się do odczytu maszynowego.

7. Producenci systematycznie dokumentują, w sposób proporcjonalny do charakteru i ryzyka w cyberprzestrzeni, istotne aspekty cyberbezpieczeństwa dotyczące produktu z elementami cyfrowymi, w tym podatności, o których się dowiedzieli, oraz wszelkie istotne informacje przekazane przez strony trzecie, a także, w stosownych przypadkach, aktualizują ocenę ryzyka w cyberprzestrzeni produktów.

8. Przy wprowadzaniu produktu z elementami cyfrowymi do obrotu oraz przez okres wsparcia, producenci zapewniają skuteczne i zgodne z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część II postępowanie w przypadku wykrycia podatności tego produktu lub jego komponentów.

Producenci określają okres wsparcia w taki sposób, aby odzwierciedlał on długość okresu, w którym produkt ma być użytkowany, biorąc pod uwagę w szczególności uzasadnione oczekiwania użytkowników, charakter produktu, w tym jego przeznaczenie, a także odpowiednie prawo Unii określające cykl życia produktów z elementami cyfrowymi. Przy określaniu okresu wsparcia producenci mogą również uwzględnić okresy wsparcia produktów z elementami cyfrowymi oferujących podobną funkcjonalność i wprowadzanych do obrotu przez innych producentów, dostępność środowiska operacyjnego, okresy wsparcia zintegrowanych komponentów, które zapewniają podstawowe funkcje i są pozyskiwane od stron trzecich, a także odpowiednie wytyczne przedstawione przez specjalną grupę współpracy administracyjnej (grupę ADCO) ustanowioną na mocy art. 52 ust. 15 i Komisję. Kwestie, które należy uwzględnić w celu określenia długości okresu wsparcia, rozpatruje się w sposób zapewniający proporcjonalność.

Bez uszczerbku dla akapitu drugiego okres wsparcia wynosi co najmniej pięć lat. Jeżeli oczekuje się, że produkt z elementami cyfrowymi będzie użytkowany krócej niż pięć lat, okres wsparcia odpowiada przewidywanemu czasowi użytkowania.

Uwzględniając zalecenia grupy ADCO, o których mowa w art. 52 ust. 16, Komisja może przyjmować akty delegowane zgodnie z art. 61 w celu uzupełnienia niniejszego rozporządzenia poprzez wyznaczenie minimalnego okresu wsparcia dla określonych kategorii produktów, w przypadku gdy dane z nadzoru rynku sugerują nieodpowiednie okresy wsparcia.

Producenci przedstawiają informacje, które uwzględniono przy określaniu okresu wsparcia produktu z elementami cyfrowymi, w dokumentacji technicznej określonej w załączniku VII.

Producenci muszą posiadać odpowiednią politykę i stosowne procedury, w tym politykę regulującą skoordynowane ujawnianie podatności, o której mowa w załączniku I część II pkt 5, do celów przetwarzania i eliminowania potencjalnych podatności produktu z elementami cyfrowymi, zgłoszonych przez źródła wewnętrzne lub zewnętrzne.

9. Producenci zapewniają, by każda aktualizacja zabezpieczeń, o której mowa w załączniku I część II pkt 8 i która została udostępniona użytkownikom w okresie wsparcia, była nadal dostępna po jej wydaniu przez okres co najmniej 10 lat lub przez pozostałą część okresu wsparcia, w zależności od tego, który z tych okresów jest dłuższy.

10. W przypadku gdy producent wprowadził do obrotu kolejne istotnie zmodyfikowane wersje oprogramowania, może zapewnić zgodność z zasadniczym wymaganiem w zakresie cyberbezpieczeństwa określonym w załączniku I część II pkt 2 wyłącznie w odniesieniu do wersji ostatnio wprowadzonej przez siebie do obrotu, pod warunkiem że użytkownicy wersji uprzednio wprowadzonych do obrotu mają bezpłatny dostęp do wersji ostatnio wprowadzonej do obrotu i nie ponoszą dodatkowych kosztów związanych z dostosowaniem sprzętu i oprogramowania, dzięki którym korzystają z pierwotnej wersji tego produktu.

11. Producenci mogą prowadzić publiczne archiwa oprogramowania usprawniające dostęp użytkowników do wersji historycznych. W takich przypadkach użytkownicy są wyraźnie i w łatwo dostępny sposób informowani o ryzyku związanym ze stosowaniem niewspieranego oprogramowania.

12. Przed wprowadzeniem produktu z elementami cyfrowymi do obrotu producenci sporządzają dokumentację techniczną, o której mowa w art. 31.

Producenci przeprowadzają wybrane procedury oceny zgodności, o których mowa w art. 32, lub zlecają ich przeprowadzenie.

W przypadku wykazania zgodności produktu z elementami cyfrowymi z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I oraz zgodności procedur wprowadzonych przez producenta z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część II w wyniku przeprowadzenia takiej procedury oceny zgodności producenci sporządzają deklarację zgodności UE zgodnie z art. 28 i umieszczają oznakowanie zgodności CE zgodnie z art. 30.

13. Producenci przechowują dokumentację techniczną i deklarację zgodności UE do dyspozycji organów nadzoru rynku przez okres co najmniej 10 lat po wprowadzeniu produktu z elementami cyfrowymi do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy.

14. Producenci zapewniają wprowadzenie procedur mających na celu utrzymanie zgodności z niniejszym rozporządzeniem produktów z elementami cyfrowymi, które są częścią serii produkcyjnej. Producenci odpowiednio uwzględniają zmiany w procesie rozwoju i produkcji lub w projekcie lub właściwościach produktu z elementami cyfrowymi oraz zmiany w normach zharmonizowanych, europejskich programach certyfikacji cyberbezpieczeństwa lub wspólnych specyfikacjach, o których mowa w art. 27, w odniesieniu do których deklaruje się zgodność produktu z elementami cyfrowymi lub przez stosowanie których weryfikuje się jego zgodność.

15. Producenci zapewniają, by ich produkty z elementami cyfrowymi były opatrzone numerem typu, partii lub numerem seryjnym bądź innym elementem umożliwiającym ich identyfikację, a w przypadku gdy nie jest to możliwe, by informacje te były umieszczone na ich opakowaniu lub w dokumencie dołączonym do produktu z elementami cyfrowymi.

16. Na produkcie z elementami cyfrowymi, na jego opakowaniu lub w dokumencie dołączonym do produktu z elementami cyfrowymi producenci podają nazwę, zarejestrowaną nazwę handlową lub zarejestrowany znak towarowy producenta oraz adres pocztowy, adres e-mail lub inne cyfrowe dane kontaktowe, a także, w stosownych przypadkach, stronę internetową, dzięki którym można skontaktować się z producentem. Informacje te należy również zawrzeć w informacjach i instrukcjach dla użytkowników określonych w załączniku II. Dane kontaktowe podaje się w języku łatwo zrozumiałym dla użytkowników i organów nadzoru rynku.

17. Do celów niniejszego rozporządzenia producenci wyznaczają pojedynczy punkt kontaktowy, aby umożliwić użytkownikom bezpośrednią i szybką komunikację z nimi, w tym w celu ułatwienia zgłaszania podatności produktu z elementami cyfrowymi.

Producenci zapewniają, aby pojedynczy punkt kontaktowy był łatwo rozpoznawalny dla użytkowników. Umieszczają oni również pojedynczy punkt kontaktowy w informacjach i instrukcjach dla użytkowników określonych w załączniku II.

Pojedynczy punkt kontaktowy umożliwia użytkownikom wybór preferowanych środków komunikacji i nie ogranicza tych środków do narzędzi zautomatyzowanych.

18. Producenci zapewniają, aby do produktów z elementami cyfrowymi dołączano informacje i instrukcje dla użytkowników określone w załączniku II, w postaci elektronicznej lub papierowej. Takie informacje i instrukcje podaje się w języku łatwo zrozumiałym dla użytkowników i organów nadzoru rynku. Muszą być one jasne, zrozumiałe, przystępne i czytelne. Umożliwiają one bezpieczną instalację, obsługę i bezpieczne użytkowanie produktów z elementami cyfrowymi. Producenci przechowują informacje i instrukcje dla użytkowników określone w załączniku II do dyspozycji użytkowników i organów nadzoru rynku przez okres co najmniej 10 lat po wprowadzeniu produktu z elementami cyfrowymi do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy. W przypadku gdy takie informacje i instrukcje są udostępniane online, producenci zapewniają, by były one dostępne, przyjazne dla użytkownika i udostępniane w internecie przez okres co najmniej 10 lat od wprowadzenia produktu z elementami cyfrowymi do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy.

19. Producenci zapewniają, by w momencie zakupu data zakończenia okresu wsparcia, o którym mowa w ust. 8, obejmująca co najmniej miesiąc i rok, była jasno i zrozumiale określona w łatwo dostępny sposób oraz, w stosownych przypadkach, na produkcie z elementami cyfrowymi, na jego opakowaniu lub za pomocą środków cyfrowych.

Jeżeli jest to technicznie wykonalne ze względu na charakter produktu z elementami cyfrowymi, producenci wyświetlają użytkownikom powiadomienie informujące ich, że zakończył się okres wsparcia ich produktu z elementami cyfrowymi.

20. Producenci dołączają do produktu z elementami cyfrowymi albo deklarację zgodności UE, albo uproszczoną deklarację zgodności UE. Jeżeli dostarcza się uproszczoną deklarację zgodności UE, musi ona zawierać dokładny adres strony internetowej, na której jest dostępna pełna deklaracja zgodności UE.

21. Od chwili wprowadzenia do obrotu i przez okres wsparcia producenci, którzy wiedzą lub mają powody, by sądzić, że produkt z elementami cyfrowymi lub procedury wprowadzone przez producenta nie są zgodne z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I, niezwłocznie wprowadzają środki naprawcze niezbędne do zapewnienia zgodności tego produktu z elementami cyfrowymi lub procedur producenta lub do wycofania produktu z obrotu lub odzyskania go, w stosownych przypadkach.

22. Na uzasadniony wniosek organu nadzoru rynku producenci przekazują temu organowi, w łatwo zrozumiałym dla tego organu języku, wszelkie informacje i dokumentację – w formie papierowej lub elektronicznej – niezbędne do wykazania zgodności produktu z elementami cyfrowymi i procedur wprowadzonych przez producenta z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I. Na żądanie tego organu producenci współpracują z nim w zakresie wszelkich środków wprowadzonych w celu wyeliminowania ryzyka w cyberprzestrzeni, jakie stwarza produkt z elementami cyfrowymi wprowadzony przez nich do obrotu.

23. Producent, który zaprzestaje działalności i w rezultacie nie jest w stanie zapewnić zgodności z niniejszym rozporządzeniem, informuje o nieuchronnym zaprzestaniu działalności przed zaprzestaniem tej działalności odpowiednie organy nadzoru rynku, a także, za pomocą wszelkich dostępnych środków i w możliwie jak najszerszym zakresie, użytkowników odpowiednich produktów z elementami cyfrowymi wprowadzonych do obrotu.

24. Komisja może – w drodze aktów wykonawczych uwzględniających europejskie lub międzynarodowe normy i najlepsze praktyki – określić format i elementy zestawienia podstawowych materiałów do produkcji oprogramowania, o którym mowa w załączniku I część II pkt 1. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 62 ust. 2.

25. Aby ocenić zależność państw członkowskich i całej Unii od komponentów oprogramowania, a w szczególności od komponentów kwalifikujących się jako wolne i otwarte oprogramowanie, grupa ADCO może podjąć decyzję o przeprowadzeniu ogólnounijnej oceny zależności w odniesieniu do określonych kategorii produktów z elementami cyfrowymi. W tym celu organy nadzoru rynku mogą zwrócić się do producentów takich kategorii produktów z elementami cyfrowymi o udostępnienie odpowiednich zestawień podstawowych materiałów do produkcji oprogramowania, o których mowa w załączniku I część II pkt 1. Na podstawie takich informacji organy nadzoru rynku mogą przekazywać grupie ADCO zanonimizowane i zagregowane informacje na temat zależności od oprogramowania. Grupa ADCO przedkłada Grupie Współpracy, ustanowionej na mocy art. 14 dyrektywy (UE) 2022/2555, sprawozdanie z wyników tej oceny zależności.