Source: OJ L 2024/2847, 20.11.2024Current language: SV
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Artikel 12 AI-system med hög risk
Summary What does Article 12 of the CRA regulation say?
This article serves as a critical bridging provision between the Cyber Resilience Act and the EU AI Act (Regulation (EU) 2024/1689).
It establishes how products with digital elements that are also classified as high-risk AI systems are treated across both regulatory frameworks, primarily by creating a mechanism where compliance with this Regulation's cybersecurity requirements can satisfy the equivalent cybersecurity obligations under the AI Act.
It also resolves potential conflicts between the two regimes on conformity assessment procedures, setting out which rules take precedence depending on how the product is classified.
Important points:
- Manufacturers of products with digital elements that are also high-risk AI systems can satisfy the AI Act's cybersecurity requirements by demonstrating compliance with Annex I of this Regulation and reflecting that in the EU declaration of conformity.
- For important and critical products with digital elements that are also high-risk AI systems, the conformity assessment procedures of this Regulation take precedence over the AI Act's internal control procedure for cybersecurity requirements.
- Manufacturers of the products covered by this article may participate in the AI regulatory sandboxes established under the AI Act.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Utan att det påverkar tillämpningen av kraven på noggrannhet och robusthet som fastställs i artikel 15 i förordning (EU) 2024/1689 ska produkter med digitala element vilka omfattas av denna förordning och klassificeras som AI-system med hög risk enligt artikel 6 i den förordningen anses överensstämma med de cybersäkerhetskrav som fastställs i artikel 15 i den förordningen om
dessa produkter uppfyller de väsentliga cybersäkerhetskrav som fastställs i bilaga I del I,
de processer som tillverkaren infört uppfyller de väsentliga cybersäkerhetskrav som fastställs i bilaga I del II, och
uppnåendet av den nivå av cybersäkerhetsskydd som krävs enligt artikel 15 i förordning (EU) 2024/1689 visas genom en EU-försäkran om överensstämmelse som utfärdats enligt denna förordning.
För de produkter med digitala element och cybersäkerhetskrav som avses i punkt 1 i denna artikel ska det relevanta förfarande för bedömning av överensstämmelse som föreskrivs i artikel 43 i förordning (EU) 2024/1689 tillämpas. Vid denna bedömning ska anmälda organ som är behöriga att kontrollera överensstämmelsen för AI-system med hög risk inom ramen för förordning (EU) 2024/1689 också vara behöriga att kontrollera överensstämmelsen med kraven i bilaga I till denna förordning för AI-system med hög risk inom ramen för denna förordning, förutsatt att dessa anmälda organs uppfyllande av kraven i artikel 39 i denna förordning har bedömts i samband med anmälningsförfarandet inom ramen för förordning (EU) 2024/1689.
Genom avvikelse från punkt 2 i denna artikel ska viktiga produkter med digitala element som förtecknas i bilaga III till denna förordning, vilka omfattas av de förfaranden för bedömning av överensstämmelse som avses i artikel 32.2 a och b och 32.3 i denna förordning, och kritiska produkter med digitala element som förtecknas i bilaga IV till denna förordning, vilka måste få ett europeiskt cybersäkerhetscertifikat enligt artikel 8.1 i denna förordning, eller i avsaknad av det, vilka omfattas av de förfaranden för bedömning av överensstämmelse som avses i artikel 32.3 i denna förordning, och vilka klassificeras som AI-system med hög risk enligt artikel 6 i förordning (EU) 2024/1689 och omfattas av förfarandet för bedömning av överensstämmelse som grundar sig på intern kontroll enligt bilaga VI till förordning (EU) 2024/1689, genomgå de förfaranden för bedömning av överensstämmelse som föreskrivs i den här förordningen i den mån som de väsentliga cybersäkerhetskrav som anges i den här förordningen berörs.
Tillverkare av produkter med digitala element som avses i punkt 1 i denna artikel får delta i de regulatoriska sandlådor för AI som avses i artikel 57 i förordning (EU) 2024/1689.
Relevant recitals
Skäl 51 High-risk AI systems
Produkter med digitala element som klassificeras som AI-system med hög risk enligt definitionen i artikel 6 i Europaparlamentets och rådets förordning (EU) 2024/1689(22) och som omfattas av den här förordningen bör uppfylla de väsentliga cybersäkerhetskrav som fastställs i den här förordningen. När sådana AI-system med hög risk uppfyller de väsentliga cybersäkerhetskrav som anges i den här förordningen bör de anses uppfylla de cybersäkerhetskrav som fastställs i artikel 15 i förordning (EU) 2024/1689 i den mån som dessa krav omfattas av en EU-försäkran om överensstämmelse som utfärdats enligt den här förordningen, eller delar av denna. För detta ändamål bör vid bedömningen av cybersäkerhetsriskerna i samband med en produkt med digitala element som klassificeras som ett AI-system med hög risk enligt förordning (EU) 2024/1689 under planerings-, utformnings-, utvecklings-, produktions-, leverans- och underhållsfaserna för en sådan produkt, i enlighet med den här förordningen, risker för ett AI-systems cyberresiliens beaktas när det gäller obehöriga tredje parters försök att ändra dess användning, beteende eller prestanda, inbegripet AI-specifika sårbarheter såsom dataförgiftning eller kontradiktoriska angrepp, samt, i relevanta fall, risker för grundläggande rättigheter, i enlighet med förordning (EU) 2024/1689. När det gäller de förfaranden för bedömning av överensstämmelse avseende väsentliga cybersäkerhetskrav för en produkt med digitala element som omfattas av den här förordningen och klassificeras som ett AI-system med hög risk, bör artikel 43 i förordning (EU) 2024/1689 tillämpas som regel i stället för relevanta bestämmelser i den här förordningen. Denna regel bör dock inte leda till att den nödvändiga assuransnivån sänks för viktiga eller kritiska produkter med digitala element enligt den här förordningen. Med avvikelse från den regeln bör därför också AI-system med hög risk som omfattas av förordning (EU) 2024/1689 och som också kategoriseras som viktiga eller kritiska produkter med digitala element enligt den här förordningen, och på vilka förfarandet för bedömning av överensstämmelse baserat på intern kontroll enligt bilaga VI i förordning (EU) 2024/1689 är tillämpligt, omfattas av den här förordningens bestämmelser om förfarandena för bedömning av överensstämmelse i den mån som de väsentliga cybersäkerhetskrav som anges i den här förordningen berörs. När det gäller alla andra aspekter som omfattas av förordning (EU) 2024/1689, bör i sådana fall relevanta bestämmelser om bedömning av överensstämmelse baserad på intern kontroll vilka fastställs i bilaga VI till den förordningen tillämpas.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cyberhot
(En. cyber threat)
Definition
tillverkare
(En. manufacturer)
Definition
sårbarhet
(En. vulnerability)
Definition
produkt med digitala element
(En. product with digital elements)
Definition
fjärrbehandling av data
(En. remote data processing)
Definition
bedömning av överensstämmelse
(En. conformity assessment)
Footnote 22