Artikel 32 Förfaranden för bedömning av överensstämmelse för produkter med digitala element

Summary What does Article 32 of the CRA regulation say?

This article is the central mechanism for how manufacturers prove their products with digital elements meet the regulation's essential cybersecurity requirements.

It sets out a tiered system of conformity assessment procedures, where the route a manufacturer must take depends on the risk classification of their product.

Standard products have the most flexibility, while products categorised as important (split into class I and class II under Annex III) and critical (listed in Annex IV) face progressively stricter requirements, with critical products being directed primarily toward European cybersecurity certification schemes.

The article connects directly to Article 7 and Article 8, which define those product classifications, and to Article 27, which governs the role of harmonised standards and certification schemes in establishing a presumption of conformity.

Important points:

Manufacturers must select a conformity assessment procedure appropriate to their product's risk classification — the higher the classification, the more rigorous the required procedure, with self-assessment only available for standard products.
Manufacturers of free and open-source software falling under Annex III categories may use the standard procedures from paragraph 1, provided the technical documentation is made publicly available at the time of placing the product on the market.
Conformity assessment fees must be reduced to take into account the specific interests and needs of microenterprises and small and medium-sized enterprises, including start-ups.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Tillverkaren ska genomföra en bedömning av överensstämmelse avseende produkten med digitala element och de processer som införts av tillverkaren, där det ska fastställas om de väsentliga cybersäkerhetskraven i bilaga I uppfylls. Tillverkaren ska visa överensstämmelse med de väsentliga cybersäkerhetskraven genom att använda
  1. förfarandet för intern kontroll (baserat på modul A) enligt bilaga VIII,
  2. EU-typkontroll (baserat på modul B) enligt bilaga VIII, följd av förfarandet för överensstämmelse med EU-typ grundat på intern tillverkningskontroll (baserat på modul C) enligt bilaga VIII,
  3. överensstämmelse som grundar sig på fullständig kvalitetssäkring (baserat på modul H) enligt bilaga VIII, eller
  4. en europeisk ordning för cybersäkerhetscertifiering enligt artikel 27.9, om sådan finns och i tillämpliga fall.
1. Vid bedömningen av om en viktig produkt med digitala element som omfattas av klass I som anges i bilaga III och de processer som införts av dess tillverkare överensstämmer med de väsentliga cybersäkerhetskraven i bilaga I gäller att om tillverkaren inte har tillämpat – eller endast delvis har tillämpat – harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering på minst assuransnivå ”betydande” enligt artikel 27, eller om sådana harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering saknas, ska den berörda produkten med digitala element och de processer som införts av tillverkaren genomgå något av följande förfaranden med avseende på något av dessa väsentliga cybersäkerhetskrav:
  1. EU-typkontroll (baserat på modul B) som anges i bilaga VIII, följd av förfarandet för överensstämmelse med EU-typ grundat på intern tillverkningskontroll (baserat på modul C) enligt bilaga VIII, eller
  2. bedömning av överensstämmelse som grundar sig på fullständig kvalitetssäkring (baserat på modul H) enligt bilaga VIII.
1. Om produkten är en viktig produkt med digitala element som omfattas av klass II enligt bilaga III ska tillverkaren visa överensstämmelsen med de väsentliga cybersäkerhetskraven i bilaga I genom att använda något av följande förfaranden:
  1. EU-typkontroll (baserat på modul B) enligt bilaga VIII, följd av förfarandet för överensstämmelse med EU-typ grundat på intern tillverkningskontroll (baserat på modul C) enligt bilaga VIII,
  2. överensstämmelse som grundar sig på fullständig kvalitetssäkring (baserat på modul H) enligt bilaga VIII, eller
  3. en europeisk ordning för cybersäkerhetscertifiering enligt artikel 27.9 i denna förordning på minst assuransnivån ”betydande” enligt förordning (EU) 2019/881, om sådan finns och i tillämpliga fall.
1. Kritiska produkter med digitala element som förtecknas i bilaga IV ska visa överensstämmelsen med de väsentliga cybersäkerhetskraven i bilaga I genom att använda
  1. en europeisk ordning för cybersäkerhetscertifiering i enlighet med artikel 8.1, eller
  2. om villkoren i artikel 8.1 inte är uppfyllda, något av de förfaranden som avses i punkt 3 i denna artikel.
1. Tillverkare av produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som omfattas av de kategorier som anges i bilaga III ska kunna visa överensstämmelse med de väsentliga cybersäkerhetskraven i bilaga I genom att använda ett av de förfaranden som avses i punkt 1 i denna artikel, förutsatt att den tekniska dokumentation som avses i artikel 31 görs tillgänglig för allmänheten när dessa produkter släpps ut på marknaden.
1. Mikroföretags och små och medelstora företags, inklusive uppstartsföretags, särskilda intressen och behov ska beaktas när avgifterna för bedömning av överensstämmelse fastställs, och dessa avgifter ska minskas i proportion till företagens särskilda intressen och behov.

Relevant recitals

Skäl 81 Voluntary European cybersecurity certification framework

Genom förordning (EU) 2019/881 inrättas en frivillig europeisk ram för cybersäkerhetscertifiering av IKT-produkter, IKT-processer och IKT-tjänster. De europeiska ordningarna för cybersäkerhetscertifiering förser användarna med en gemensam tillförlitlig ram för användning av produkter med digitala element vilka omfattas av den här förordningens tillämpningsområde. Den här förordningen bör följaktligen skapa synergier med förordning (EU) 2019/881. För att underlätta bedömningen av överensstämmelse med kraven i den här förordningen, när det gäller produkter med digitala element som är certifierade eller för vilka en försäkran om överensstämmelse har utfärdats inom en europeisk ordning för cybersäkerhet enligt förordning (EU) 2019/881 som har identifierats av kommissionen i en genomförandeakt, bör det finnas en presumtion om överensstämmelse med de väsentliga cybersäkerhetskraven i den här förordningen i den mån som det europeiska cybersäkerhetscertifikatet eller försäkran om överensstämmelse – eller delar av dessa – täcker dessa krav. Behovet av nya europeiska ordningar för cybersäkerhetscertifiering av produkter med digitala element bör bedömas i ljuset av den här förordningen, inbegripet när unionens löpande arbetsprogram utarbetas i enlighet med förordning (EU) 2019/881. Om det behövs ett nytt system som omfattar produkter med digitala element, bland annat för att underlätta efterlevnaden av den här förordningen, kan kommissionen begära att Enisa utarbetar förslag till certifieringsordning i enlighet med artikel 48 i förordning (EU) 2019/881. Sådana framtida europeiska ordningar för cybersäkerhet som omfattar produkter med digitala element bör beakta de väsentliga cybersäkerhetskrav och förfaranden för bedömning av överensstämmelse som fastställs i den här förordningen och främja efterlevnaden av den här förordningen. För europeiska ordningar för cybersäkerhetscertifiering som träder i kraft innan den här förordningen träder i kraft kan ytterligare specifikationer behövas om detaljerade aspekter av hur en presumtion om överensstämmelse kan tillämpas. Kommissionen bör, genom delegerade akter, ha befogenhet att specificera på vilka villkor de europeiska ordningarna för cybersäkerhetscertifiering kan användas för att visa överensstämmelse med de väsentliga cybersäkerhetskrav som fastställs i den här förordningen. För att undvika onödiga administrativa bördor bör det inte finnas någon skyldighet för tillverkarna att genomföra en tredjepartsbedömning av överensstämmelse i enlighet med den här förordningen för motsvarande krav om ett europeiskt cybersäkerhetscertifikat har utfärdats enligt sådana europeiska ordningar för cybersäkerhetscertifiering, på åtminstone assuransnivån ”betydande”.

Skäl 90 Conformity assessment procedures

Det är nödvändigt att föreskriva förfaranden för bedömning av överensstämmelse, för att de ekonomiska aktörerna ska kunna visa överensstämmelse med de väsentliga cybersäkerhetskrav som anges i denna förordning och marknadskontrollmyndigheterna ska kunna säkerställa att de produkter med digitala element som tillhandahålls på marknaden uppfyller dessa krav. Genom Europaparlamentets och rådets beslut nr 768/2008/EG(³⁰) fastställs moduler för bedömning av överensstämmelse som står i proportion till risknivån och den säkerhetsnivå som krävs. För att säkerställa enhetlighet mellan olika sektorer och undvika ad hoc-varianter bör förfarandena för bedömning av överensstämmelse för att kontrollera överensstämmelse med de väsentliga cybersäkerhetskraven i denna förordning för produkter med digitala element baseras på dessa moduler. Förfarandena för bedömning av överensstämmelse bör omfatta granskning och kontroll av både produkten och processrelaterade krav som omfattar hela livscykeln för produkter med digitala element, inbegripet planering, utformning, utveckling eller produktion, testning och underhåll av produkten med digitala element.

Skäl 91 Conformity assessment procedure modules

Bedömningen av överensstämmelse för produkter med digitala element som inte förtecknas som viktiga eller kritiska produkter med digitala element i denna förordning kan utföras av tillverkaren på eget ansvar i enlighet med förfarandet för intern kontroll baserat på modul A i beslut nr 768/2008/EG i enlighet med denna förordning. Detta är också tillämpligt i fall där en tillverkare väljer att delvis eller inte alls tillämpa en tillämplig harmoniserad standard, gemensam specifikation eller en tillämplig europeisk ordning för cybersäkerhetscertifiering. Tillverkaren har även fortsättningsvis flexibilitet att välja ett striktare förfarande för bedömning av överensstämmelse som involverar tredje part. Inom ramen för det interna kontrollförfarandet för bedömning av överensstämmelse säkerställer och försäkrar tillverkaren på eget ansvar att produkten med digitala element och tillverkarens processer uppfyller de tillämpliga väsentliga cybersäkerhetskrav som fastställs i denna förordning. Om en viktig produkt med digitala element omfattas av klass I bör ytterligare kvalitetssäkring krävas för att visa överensstämmelsen med de väsentliga cybersäkerhetskraven i denna förordning. Tillverkaren bör tillämpa harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering antagna enligt förordning (EU) 2019/881 vilka har identifierats av kommissionen i en genomförandeakt, om den vill utföra bedömningen av överensstämmelse på eget ansvar (modul A). Om tillverkaren inte använder sådana harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering bör tillverkaren genomgå bedömning av överensstämmelse med deltagande av tredje part (baserat på modul B och C eller H). Med beaktande av den administrativa bördan för tillverkare och det faktum att cybersäkerheten har stor betydelse i utformnings- och utvecklingsfaserna för materiella och immateriella produkter med digitala element, har förfaranden för bedömning av överensstämmelse som baseras på modul B och C eller modul H i beslut nr 768/2008/EG valts som mest lämpliga för en proportionell och ändamålsenlig bedömning av överensstämmelse för viktiga produkter med digitala element. Tillverkare som genomför en tredjepartsbedömning av överensstämmelse kan välja det förförande som bäst passar den egna utformnings- och produktionsprocessen. Med tanke på de allt större cybersäkerhetsrisker som är förbundna med användningen av viktiga produkter med digitala element som omfattas av klass II bör bedömningen av överensstämmelse alltid involvera en tredje part, även om produkten helt eller delvis överensstämmer med harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering. Tillverkare av viktiga produkter med digitala element, vilka kategoriseras som programvara med fri och öppen källkod, bör kunna följa förfarandet för intern kontroll baserat på modul A, förutsatt att de gör den tekniska dokumentationen tillgänglig för allmänheten.

Skäl 92 Definition of 'production' for software (or non-tangible) products

Medan skapandet av materiella produkter med digitala element vanligtvis innebär att tillverkaren måste göra stora ansträngningar under hela utformnings-, utvecklings- och produktionsfaserna, fokuserar skapandet av produkter med digitala element i form av programvara nästan uteslutande på utformning och utveckling, medan produktionsfasen är mindre framträdande. I många fall måste dock programvaruprodukter ändå kompileras, byggas, förpackas, göras tillgängliga för nedladdning eller kopieras till fysiska medier innan de släpps ut på marknaden. Dessa aktiviteter bör anses vara aktiviteter som motsvarar produktion vid tillämpningen av relevanta moduler för bedömning av överensstämmelse för att kontrollera överensstämmelsen med de väsentliga cybersäkerhetskrav som anges i denna förordning under hela utformnings-, utvecklings- och produktionsfaserna för produkter med digitala element.

Skäl 96 Reasonable fees for conformity assessments

För att säkerställa proportionalitet bör organ för bedömning av överensstämmelse, när de fastställer avgifterna för bedömning av överensstämmelse, ta hänsyn till mikroföretags och små och medelstora företags, inbegripet uppstartsföretags, särskilda intressen och behov. I synnerhet bör organ för bedömning av överensstämmelse tillämpa det relevanta granskningsförfarande och den testning som föreskrivs i denna förordning endast när så är lämpligt och enligt en riskbaserad metod.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.