Artykuł 32

1. Producent dokonuje oceny zgodności produktu z elementami cyfrowymi i procedur wprowadzonych przez producenta w celu ustalenia, czy spełniono zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I. Producent wykazuje zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa, stosując dowolną z następujących procedur:

• a) procedurę kontroli wewnętrznej (zgodnie z modułem A) określoną w załączniku VIII;
• b) procedurę badania typu UE (zgodnie z modułem B) określoną w załączniku VIII, po której następuje badanie zgodności z typem UE w oparciu o wewnętrzną kontrolę produkcji (zgodnie z modułem C) określoną w załączniku VIII;
• c) ocenę zgodności opartą na pełnym zapewnieniu jakości (zgodnie z modułem H) określoną w załączniku VIII; lub
• d) o ile jest dostępny i ma zastosowanie – europejski program certyfikacji cyberbezpieczeństwa zgodnie z art. 27 ust. 9.

2. Jeżeli przy ocenie zgodności ważnego produktu z elementami cyfrowymi należącego do klasy I, jak określono w załączniku III, oraz procedur wprowadzonych przez jego producenta z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I producent nie zastosował norm zharmonizowanych, wspólnych specyfikacji lub europejskich programów certyfikacji cyberbezpieczeństwa przynajmniej na „istotnym” poziomie uzasadnienia zaufania, o których mowa w art. 27, lub zastosował je tylko częściowo, bądź jeżeli takie normy zharmonizowane, wspólne specyfikacje lub europejskie programy certyfikacji cyberbezpieczeństwa nie istnieją, dany produkt z elementami cyfrowymi i procedury wprowadzone przez producenta podlegają w odniesieniu do tych zasadniczych wymagań w zakresie cyberbezpieczeństwa jednej z następujących procedur:

• a) procedurze badania typu UE (zgodnie z modułem B) określonej w załączniku VIII, po której następuje badanie zgodności z typem UE w oparciu o wewnętrzną kontrolę produkcji (zgodnie z modułem C) określoną w załączniku VIII; lub
• b) ocenie zgodności opartej na pełnym zapewnieniu jakości (zgodnie z modułem H) określonej w załączniku VIII.

3. Jeżeli produkt jest ważnym produktem z elementami cyfrowymi należącym do klasy II, jak określono w załączniku III, producent wykazuje zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I, stosując dowolną z następujących procedur:

• a) procedurę badania typu UE (zgodnie z modułem B) określoną w załączniku VIII, po której następuje badanie zgodności z typem UE w oparciu o wewnętrzną kontrolę produkcji (zgodnie z modułem C) określoną w załączniku VIII;
• b) ocenę zgodności opartą na pełnym zapewnieniu jakości (zgodnie z modułem H) określoną w załączniku VIII; lub
• c) jeżeli jest dostępny i ma zastosowanie – europejski program certyfikacji cyberbezpieczeństwa zgodnie z art. 27 ust. 9 niniejszego rozporządzenia przynajmniej na „istotnym” poziomie uzasadnienia zaufania zgodnie z rozporządzeniem (UE) 2019/881.

4. Produkty krytyczne z elementami cyfrowymi wymienione w załączniku IV wykazują zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I za pomocą jednej z następujących procedur:

• a) europejski program certyfikacji cyberbezpieczeństwa zgodnie z art. 8 ust. 1; lub
• b) w przypadku gdy warunki określone w art. 8 ust. 1 nie są spełnione, którejkolwiek z procedur, o których mowa w ust. 3 niniejszego artykułu.

5. Producenci produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie, które należą do kategorii określonych w załączniku III, są zdolni do wykazania zgodności z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I za pomocą jednej z procedur, o których mowa w ust. 1 niniejszego artykułu, pod warunkiem że dokumentacja techniczna, o której mowa w art. 31, jest publicznie dostępna w momencie wprowadzania tych produktów do obrotu.

6. Przy ustalaniu opłat za procedury oceny zgodności uwzględnia się szczególne interesy i potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, w tym przedsiębiorstw typu start-up, i obniża się te opłaty proporcjonalnie do ich szczególnych interesów i potrzeb.