Artykuł 8

1. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 61 w celu uzupełnienia niniejszego rozporządzenia i określenia, które produkty z elementami cyfrowymi posiadające podstawową funkcjonalność kategorii produktu określonej w załączniku IV do niniejszego rozporządzenia mają być zobowiązane do uzyskania europejskiego certyfikatu cyberbezpieczeństwa co najmniej na „istotnym” poziomie uzasadnienia zaufania w ramach europejskiego programu certyfikacji cyberbezpieczeństwa przyjętego na podstawie rozporządzenia (UE) 2019/881 w celu wykazania zgodności z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I do niniejszego rozporządzenia lub jego częściach, pod warunkiem że europejski program certyfikacji cyberbezpieczeństwa obejmujący te kategorie produktów z elementami cyfrowymi został przyjęty na podstawie rozporządzenia (UE) 2019/881 i jest on dostępny producentom. W aktach delegowanych określa się wymagany poziom zaufania, który jest proporcjonalny do poziomu ryzyka w cyberprzestrzeni związanego z produktami z elementami cyfrowymi i uwzględnia ich przeznaczenie, w tym krytyczną zależność od nich podmiotów kluczowych, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555.

Przed przyjęciem aktów delegowanych Komisja ocenia potencjalny wpływ planowanych środków na rynek i przeprowadza konsultacje z odpowiednimi interesariuszami, w tym z Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa, ustanowionej na mocy rozporządzenia (UE) 2019/881. W ocenie uwzględnia się gotowość i zdolność państw członkowskich do wdrożenia odpowiedniego europejskiego programu certyfikacji cyberbezpieczeństwa. Jeżeli nie przyjęto aktów delegowanych, o których mowa w akapicie pierwszym niniejszego ustępu, produkty z elementami cyfrowymi, które posiadają podstawową funkcjonalność kategorii produktu określonej w załączniku IV, podlegają procedurom oceny zgodności, o których mowa w art. 32 ust. 3.

Akty delegowane, o których mowa w akapicie pierwszym, przewidują co najmniej sześciomiesięczny okres przejściowy, chyba że szczególnie pilna potrzeba uzasadnia jego skrócenie.

2. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 61 oraz do wprowadzania zmian w załączniku IV przez dodanie lub usunięcie kategorii produktów krytycznych z elementami cyfrowymi. Określając takie kategorie produktów krytycznych z elementami cyfrowymi i wymagany poziom zaufania, zgodnie z ust. 1 niniejszego artykułu, Komisja bierze pod uwagę kryteria, o których mowa w art. 7 ust. 2, oraz zapewnia, aby kategorie produktów z elementami cyfrowymi spełniały co najmniej jedno z następujących kryteriów:

• a) krytyczną zależność podmiotów kluczowych, o których mowa w art. 3 dyrektywy (UE) 2022/2555 od kategorii produktów z elementami cyfrowymi;
• b) incydenty i wykorzystane podatności dotyczące kategorii produktów z elementami cyfrowymi, które mogą prowadzić do poważnych zakłóceń w krytycznych łańcuchach dostaw na całym rynku wewnętrznym.

Przed przyjęciem aktów delegowanych Komisja przeprowadza ocenę, o której mowa w ust. 1.

Akty delegowane, o których mowa w akapicie pierwszym, przewidują co najmniej sześciomiesięczny okres przejściowy, chyba że szczególnie pilna potrzeba uzasadnia jego skrócenie.