Artykuł 7

1. Produkty z elementami cyfrowymi, które posiadają podstawową funkcjonalność kategorii produktów określonej w załączniku III, uznaje się za ważne produkty z elementami cyfrowymi i podlegają one procedurom oceny zgodności, o których mowa w art. 32 ust. 2 i 3. Włączenie produktu z elementami cyfrowymi, który posiada podstawową funkcjonalność kategorii produktów określonej w załączniku III, samo w sobie nie powoduje, że produkt, z którym jest on zintegrowany, podlega procedurom oceny zgodności, o których mowa w art. 32 ust. 2 i 3.

2. Kategorie produktów z elementami cyfrowymi, o których mowa w ust. 1 niniejszego artykułu, podzielone na klasy I i II określone w załączniku III spełniają co najmniej jedno z następujących kryteriów:

• a) produkt z elementami cyfrowymi pełni przede wszystkim funkcje kluczowe dla cyberbezpieczeństwa innych produktów, sieci lub usług, takie jak zabezpieczanie uwierzytelniania i dostępu, zapobieganie włamaniom i ich wykrywanie, ochrona punktów końcowych lub ochrona sieci;
• b) produkt z elementami cyfrowymi pełni funkcję, taką jak funkcja systemu centralnego, w tym zarządzanie siecią, kontrola konfiguracji, wirtualizacja lub przetwarzanie danych osobowych, która wiąże się ze znacznym ryzykiem wystąpienia niekorzystnych skutków pod względem intensywności i zdolności do zakłócenia, kontrolowania lub spowodowania szkód w dużej liczbie innych produktów lub może zaszkodzić zdrowiu, bezpieczeństwu lub ochronie użytkowników poprzez bezpośrednią manipulację.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 61 w celu zmiany załącznika III przez uwzględnienie w wykazie nowej kategorii w każdej klasie kategorii produktów z elementami cyfrowymi i określenie ich definicji, przeniesienie kategorii produktów z jednej klasy do drugiej lub usunięcie z tego wykazu istniejącej kategorii. Przy ocenianiu potrzeby zmiany wykazu zawartego w załączniku III Komisja bierze pod uwagę funkcjonalności związane z cyberbezpieczeństwem lub funkcję oraz poziom ryzyka w cyberprzestrzeni, który stwarzają produkty z elementami cyfrowymi, jak określono w kryteriach, o których mowa w ust. 2 niniejszego artykułu.

Akty delegowane, o których mowa w akapicie pierwszym niniejszego ustępu, przewidują w stosownych przypadkach minimalny okres przejściowy wynoszący 12 miesięcy, w szczególności gdy do klasy I lub II dodaje się nową kategorię ważnych produktów z elementami cyfrowymi lub przenosi z klasy I do II, jak określono w załączniku III, przed rozpoczęciem stosowania odpowiednich procedur oceny zgodności, o których mowa w art. 32 ust. 2 i 3, chyba że szczególnie pilna potrzeba uzasadnia skrócenie okresu przejściowego.

4. Do dnia 11 grudnia 2025 r. Komisja przyjmuje akt wykonawczy zawierający techniczny opis kategorii produktów z elementami cyfrowymi w klasach I i II określonych w załączniku III oraz opis techniczny kategorii produktów z elementami cyfrowymi określonych w załączniku IV. Ten akt wykonawczy przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 62 ust. 2.