Artikel 6 Krav för produkter med digitala element

För att höja den allmänna cybersäkerhetsnivån för alla produkter med digitala element som släpps ut på den inre marknaden är det nödvändigt att införa målinriktade och teknikneutrala väsentliga cybersäkerhetskrav för dessa produkter vilka ska tillämpas övergripande.

I linje med målet för denna förordning, som är att avlägsna hinder för den fria rörligheten för produkter med digitala element, får medlemsstaterna inte, med hänvisning till aspekter som omfattas av denna förordning, hindra att produkter med digitala element som uppfyller kraven i denna förordning tillhandahålls på marknaden. I frågor som harmoniseras genom denna förordning kan medlemsstaterna därför inte införa ytterligare cybersäkerhetskrav för tillhandahållande på marknaden av produkter med digitala element. Varje entitet, offentlig eller privat, kan dock fastställa ytterligare krav utöver dem som fastställs i denna förordning för upphandling eller användning av produkter med digitala element för sina specifika ändamål, och kan därför välja att använda produkter med digitala element som uppfyller strängare eller mer specifika cybersäkerhetskrav än de som är tillämpliga för tillhandahållande på marknaden enligt denna förordning. Utan att det påverkar tillämpningen av Europaparlamentets och rådets direktiv 2014/24/EU(⁷) och 2014/25/EU(⁸) bör medlemsstaterna, vid upphandling av produkter med digitala element som måste uppfylla de väsentliga cybersäkerhetskrav som fastställs i denna förordning, inbegripet de som rör sårbarhetshantering, säkerställa att sådana krav beaktas i upphandlingsprocessen och att tillverkarnas förmåga att effektivt tillämpa cybersäkerhetsåtgärder och hantera cyberhot också beaktas. I direktiv (EU) 2022/2555 fastställs dessutom riskhanteringsåtgärder för cybersäkerhet för de väsentliga och viktiga entiteter som avses i artikel 3 i det direktivet som kan medföra säkerhetsåtgärder i leveranskedjan som kräver att sådana entiteter använder produkter med digitala element som uppfyller strängare cybersäkerhetskrav än de som fastställs i denna förordning. I enlighet med direktiv (EU) 2022/2555 och i linje med dess princip om minimiharmonisering kan medlemsstaterna därför införa ytterligare cybersäkerhetskrav för väsentliga eller viktiga entiteters användning av produkter för informations- och kommunikationsteknik (IKT) enligt det direktivet för att säkerställa en högre cybersäkerhetsnivå, förutsatt att sådana krav är förenliga med medlemsstaternas skyldigheter enligt unionsrätten. Frågor som inte omfattas av denna förordning kan omfatta icke-tekniska faktorer som rör produkter med digitala element och deras tillverkare. Medlemsstaterna kan därför fastställa nationella åtgärder, inbegripet begränsningar för produkter med digitala element eller leverantörer av sådana produkter, som tar hänsyn till icke-tekniska faktorer. Nationella åtgärder som rör sådana faktorer måste vara förenliga med unionsrätten.

Med tanke på programvaruutvecklingens upprepande karaktär bör tillverkare som har släppt ut efterföljande versioner av en programvaruprodukt på marknaden till följd av en senare betydande ändring av den produkten kunna tillhandahålla säkerhetsuppdateringar under stödperioden endast för den version av programvaruprodukten som de senast har släppt ut på marknaden. De bör endast kunna göra detta om användarna av de relevanta tidigare produktversionerna har kostnadsfri tillgång till den produktversion som senast släpptes ut på marknaden och inte ådrar sig ytterligare kostnader för att anpassa den maskin- eller programvarumiljö där de använder produkten. Detta kan till exempel vara fallet när en uppgradering av ett stationärt operativsystem inte kräver ny hårdvara, såsom en snabbare centralenhet eller mer minne. Tillverkaren bör dock under stödperioden fortsätta att uppfylla andra krav på hantering av sårbarheter, såsom att ha en policy för samordnad delgivning av information om sårbarheter eller åtgärder för att underlätta utbytet av information om potentiella sårbarheter för alla efterföljande väsentligt ändrade versioner av den programvara som släpps ut på marknaden. Tillverkarna bör kunna tillhandahålla mindre säkerhets- eller funktionsuppdateringar som inte utgör en väsentlig ändring endast av den senaste versionen eller underversionen av en programvaruprodukt som inte har ändrats väsentligt. Om en hårdvaruprodukt, till exempel en smarttelefon, inte är kompatibel med den senaste versionen av det operativsystem som den ursprungligen levererades med, bör tillverkaren samtidigt fortsätta att tillhandahålla säkerhetsuppdateringar åtminstone för den senaste kompatibla versionen av operativsystemet under stödperioden.

Tillverkare av produkter som omfattas av Europaparlamentets och rådets förordning (EU) 2023/1230(²⁴) och som också är produkter med digitala element enligt definitionen i den här förordningen bör uppfylla både de väsentliga cybersäkerhetskrav som fastställs i den här förordningen och de grundläggande hälso- och säkerhetskraven i förordning (EU) 2023/1230. De väsentliga cybersäkerhetskrav som anges i den här förordningen och vissa väsentliga krav som anges i förordning (EU) 2023/1230 skulle kunna hantera liknande cybersäkerhetsrisker. Överensstämmelse med de väsentliga cybersäkerhetskrav som anges i den här förordningen skulle därför kunna underlätta efterlevnaden av de grundläggande krav som även omfattar vissa cybersäkerhetsrisker enligt förordning (EU) 2023/1230, särskilt de som rör skydd mot korruption samt säkerhet och tillförlitlighet hos de kontrollsystem som anges i avsnitten 1.1.9 och 1.2.1 i bilaga III till den förordningen. Sådana synergier måste påvisas av tillverkaren, till exempel genom att i förekommande fall tillämpa harmoniserade standarder eller andra tekniska specifikationer som omfattar relevanta väsentliga cybersäkerhetskrav efter en riskbedömning som omfattar dessa cybersäkerhetsrisker. Tillverkaren bör också följa de tillämpliga förfaranden för bedömning av överensstämmelse som anges i den här förordningen och i förordning (EU) 2023/1230. Kommissionen och de europeiska standardiseringsorganisationerna bör i det förberedande arbetet för genomförandet av den här förordningen och förordning (EU) 2023/1230 och de därmed sammanhängande standardiseringsprocesserna främja enhetlighet i hur cybersäkerhetsriskerna ska bedömas och hur dessa risker ska omfattas av harmoniserade standarder med avseende på de relevanta väsentliga kraven. Kommissionen och de europeiska standardiseringsorganisationerna bör särskilt beakta den här förordningen vid förberedelserna och utarbetandet av harmoniserade standarder för att underlätta genomförandet av förordning (EU) 2023/1230, särskilt när det gäller cybersäkerhetsaspekter i samband med skydd mot förvanskning samt säkerhet och tillförlitlighet i kontrollsystemen som anges i avsnitten 1.1.9 och 1.2.1 i bilaga III till den förordningen. Kommissionen bör tillhandahålla vägledning för att stödja tillverkare som omfattas av den här förordningen och som också omfattas av förordning (EU) 2023/1230, särskilt för att underlätta påvisandet av överensstämmelse med relevanta grundläggande krav som fastställs i den här förordningen och förordning (EU) 2023/1230.

I de fall då vissa väsentliga cybersäkerhetskrav inte är tillämpliga på en produkt med digitala element ska tillverkaren inkludera en tydlig motivering till detta i bedömningen av cybersäkerhetsrisker inbegripet i den tekniska dokumentationen. Detta kan vara fallet om ett väsentligt cybersäkerhetskrav är oförenligt med beskaffenheten hos en produkt med digitala element. Till exempel kan det avsedda ändamålet med en produkt med digitala element kräva att tillverkaren följer allmänt erkända interoperabilitetsstandarder även om dess säkerhetsdetaljer inte längre anses vara den senaste tekniken. På samma sätt kräver annan unionsrätt att tillverkarna tillämpar särskilda interoperabilitetskrav. Om ett väsentligt cybersäkerhetskrav inte är tillämpligt på en produkt med digitala element, men tillverkaren har identifierat cybersäkerhetsrisker i samband med det väsentliga cybersäkerhetskravet, bör tillverkaren vidta åtgärder för att hantera dessa risker på andra sätt, till exempel genom att begränsa produktens avsedda ändamål till tillförlitliga miljöer eller genom att informera användarna om dessa risker.