Artykuł 27

1. W przypadku produktów z elementami cyfrowymi i procedur wprowadzonych przez producenta spełniających normy zharmonizowane lub części norm zharmonizowanych, do których odniesienie opublikowano w Dzienniku Urzędowym Unii Europejskiej, domniemywa się, że spełniają one zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I objęte tymi normami lub ich częściami.

Komisja, zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012, zwraca się do jednej lub kilku europejskich organizacji normalizacyjnych z wnioskiem o przygotowanie norm zharmonizowanych dotyczących zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I do niniejszego rozporządzenia. Sporządzając wnioski o normalizację na potrzeby niniejszego rozporządzenia, Komisja stara się uwzględnić istniejące europejskie i międzynarodowe normy w dziedzinie cyberbezpieczeństwa, które są już dostępne lub w trakcie opracowywania, aby uprościć opracowanie norm zharmonizowanych zgodnie z rozporządzeniem (UE) nr 1025/2012.

2. Komisja może przyjmować akty wykonawcze ustanawiające wspólne specyfikacje obejmujące wymogi techniczne, które zapewniają środki umożliwiające spełnienie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I w odniesieniu do produktów z elementami cyfrowymi objętych zakresem stosowania niniejszego rozporządzenia.

Te akty wykonawcze przyjmuje się wyłącznie wtedy, jeżeli spełnione są następujące warunki:

• a) zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012 Komisja zwróciła się do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie zharmonizowanej normy dotyczącej zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I oraz:
  • (i) wniosek ten nie został zaakceptowany;
  • (ii) normy zharmonizowane stanowiące odpowiedź na ten wniosek nie zostały dostarczone w terminie określonym zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012; lub
  • (iii) normy zharmonizowane nie są zgodne z wnioskiem; oraz
• b) w Dzienniku Urzędowym Unii Europejskiej nie opublikowano żadnego odniesienia do zharmonizowanych norm obejmujących odnośne zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I do niniejszego rozporządzenia zgodnie z rozporządzeniem (UE) nr 1025/2012 i nie przewiduje się opublikowania takiego odniesienia w rozsądnym terminie.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 62 ust. 2.

3. Przed przygotowaniem projektu aktu wykonawczego określonego w ust. 2 niniejszego artykułu Komisja informuje komitet, o którym mowa w art. 22 rozporządzenia (UE) nr 1025/2012, że uznaje warunki określone w ust. 2 niniejszego artykułu za spełnione.

4. Przygotowując projekt aktu wykonawczego, o którym mowa w ust. 2, Komisja uwzględnia opinie odpowiednich organów i należycie konsultuje się ze wszystkimi odpowiednimi zainteresowanymi stronami.

5. Produkty z elementami cyfrowymi i procedury wprowadzone przez producenta, zgodne ze wspólnymi specyfikacjami ustanowionymi aktami wykonawczymi, o których mowa w ust. 2 niniejszego artykułu, lub ich częściami, uznaje się za spełniające zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I objęte tymi wspólnymi specyfikacjami lub ich częściami.

6. W przypadku gdy norma zharmonizowana zostaje przyjęta przez europejską organizację normalizacyjną i zaproponowana Komisji w celu opublikowania odniesienia do niej w Dzienniku Urzędowym Unii Europejskiej, Komisja ocenia normę zharmonizowaną zgodnie z rozporządzeniem (UE) nr 1025/2012. W przypadku opublikowania odniesienia do normy zharmonizowanej w Dzienniku Urzędowym Unii Europejskiej Komisja uchyla akty wykonawcze, o których mowa w ust. 2 niniejszego artykułu, lub ich części, które obejmują zasadnicze wymagania w zakresie cyberbezpieczeństwa takie same jak objęte tą normą zharmonizowaną.

7. Jeżeli państwo członkowskie uzna, że wspólna specyfikacja nie spełnia całkowicie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I, informuje o tym Komisję, przedstawiając szczegółowe wyjaśnienie. Komisja ocenia to szczegółowe wyjaśnienie i w stosownych przypadkach może zmienić akt wykonawczy ustanawiający daną wspólną specyfikację.

8. Domniemywa się, że produkty z elementami cyfrowymi i procedury wprowadzone przez producenta, w odniesieniu do których wydano unijną deklarację zgodności lub certyfikat w ramach europejskiego programu certyfikacji cyberbezpieczeństwa przyjętego zgodnie z rozporządzeniem (UE) 2019/881, są zgodne z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I w zakresie, w jakim unijna deklaracja zgodności lub europejski certyfikat cyberbezpieczeństwa, lub ich części, obejmują te wymogi.

9. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 61 niniejszego rozporządzenia w celu uzupełnienia niniejszego rozporządzenia poprzez określenie europejskich programów certyfikacji cyberbezpieczeństwa przyjętych na podstawie rozporządzenia (UE) 2019/881, które mogą być stosowane do wykazania zgodności produktów z elementami cyfrowymi z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa lub ich częściami określonymi w załączniku I do niniejszego rozporządzenia. Ponadto wydanie europejskiego certyfikatu cyberbezpieczeństwa wydanego w ramach takich programów, przynajmniej na „istotnym” poziomie uzasadnienia zaufania, zwalnia producenta z obowiązku przeprowadzenia oceny zgodności przez stronę trzecią w odniesieniu do odpowiednich wymogów, jak określono w art. 32 ust. 2 lit. a) i b) oraz art. 32 ust. 3 lit. a) i b) niniejszego rozporządzenia.