BILAGA I

BILAGA I

VÄSENTLIGA CYBERSÄKERHETSKRAV

1. Säkerhetskrav avseende egenskaper hos produkter med digitala element

1. Produkter med digitala element ska utformas, utvecklas och produceras på ett sådant sätt att de säkerställer en lämplig cybersäkerhetsnivå baserat på riskerna.

1. Produkter med digitala element ska levereras utan några kända sårbarheter som kan utnyttjas.

2. På grundval av den riskbedömning som avses i artikel 10.2, och i tillämpliga fall, ska produkter med digitala element

   1. levereras med en säker standardkonfiguration, inbegripet möjlighet att återställa produkten till dess ursprungliga skick,

   2. säkerställa skydd mot obehörig åtkomst genom lämpliga kontrollmekanismer, inbegripet men inte begränsat till system för autentisering, identitet eller åtkomsthantering,

   3. skydda konfidentialiteten för lagrade, överförda eller på annat sätt behandlade uppgifter, personuppgifter eller andra uppgifter, t.ex. genom kryptering av relevanta data i vila eller i transit med hjälp av de senaste metoderna,

   4. skydda integriteten hos lagrade, överförda eller på annat sätt behandlade uppgifter, personuppgifter eller andra uppgifter, kommandon, program och konfigurationer mot manipulation eller ändringar som inte godkänts av användaren, samt rapporter om datadistorsion,

   5. endast behandla personuppgifter eller andra uppgifter som är adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till produktens avsedda användning (”minimering av data”),

   6. skydda tillgången till väsentliga funktioner, inbegripet resiliens mot och begränsning av överbelastningsattacker,

   7. minimera sina egna negativa effekter på tillgången till tjänster som tillhandahålls av andra enheter eller nätverk,

   8. utformas, utvecklas och produceras för att begränsa attackytor, inbegripet externa gränssnitt,

   9. utformas, utvecklas och produceras för att minska effekterna av en incident med hjälp av lämpliga mekanismer och tekniker för att begränsa utnyttjandet,

   10. tillhandahålla säkerhetsrelaterad information genom att registrera och/eller övervaka relevant intern verksamhet, inbegripet tillgång till eller ändring av data, tjänster eller funktioner,

   11. säkerställa att sårbarheter kan åtgärdas genom säkerhetsuppdateringar, inbegripet, i tillämpliga fall, genom automatiska uppdateringar och meddelande till användarna om tillgängliga uppdateringar.

2.Krav på sårbarhetshantering

Tillverkare av produkter med digitala element ska

1. identifiera och dokumentera sårbarheter och komponenter i produkten, bland annat genom att upprätta en programvaruförteckning för material i ett allmänt använt och maskinläsbart format som åtminstone täcker produktens viktigaste (top-level) beroenden,

2. när det gäller riskerna för produkter med digitala element, utan dröjsmål åtgärda och avhjälpa sårbarheter, bland annat genom att tillhandahålla säkerhetsuppdateringar,

3. tillämpa effektiva och regelbundna provningar och granskningar av säkerheten hos produkten med digitala element,

4. när en uppdatering av säkerheten har gjorts tillgänglig, offentligt redovisa information om åtgärdade sårbarheter, inbegripet en beskrivning av sårbarheterna, information som gör det möjligt för användarna att identifiera den produkt med digitala element som påverkas, sårbarheternas konsekvenser, deras allvarlighetsgrad och information som underlättar för användarna att avhjälpa sårbarheterna,

5. införa och verkställa en policy för samordnad redovisning av sårbarheter,

6. vidta åtgärder för att underlätta utbyte av information om potentiella sårbarheter i sin produkt med digitala element och i tredjepartskomponenter som ingår i produkten, bland annat genom att tillhandahålla en kontaktadress för rapportering av de sårbarheter som upptäckts i produkten med digitala element,

7. tillhandahålla mekanismer för säker distribution av uppdateringar av produkter med digitala element för att säkerställa att exploaterbara sårbarheter åtgärdas eller begränsas i tid,

8. säkerställa att, i de fall då programfixar eller uppdateringar finns tillgängliga för att hantera identifierade säkerhetsproblem, de sprids utan dröjsmål och kostnadsfritt, åtföljda av rådgivande meddelanden som ger användarna relevant information, inbegripet om eventuella åtgärder som ska vidtas.

BILAGA II

INFORMATION OCH INSTRUKTIONER TILL ANVÄNDAREN

Produkten med digitala element ska åtminstone åtföljas av

1. tillverkarens namn, registrerade firmanamn eller registrerade varumärke samt den postadress och e-postadress där tillverkaren kan kontaktas, på produkten eller, om detta inte är möjligt, på förpackningen eller i ett medföljande dokument,

2. den kontaktpunkt där information om produktens sårbarheter i fråga om cybersäkerhet kan rapporteras och tas emot,

3. korrekt identifiering av typ-, parti-, versions- eller serienummer eller annan uppgift som gör det möjligt att identifiera produkten, och motsvarande bruksanvisning och användarinformation,

4. den avsedda användningen, inbegripet den säkerhetsmiljö som tillhandahålls av tillverkaren, samt produktens väsentliga funktioner och information om säkerhetsegenskaperna,

5. varje känd eller förutsebar omständighet, som har samband med användningen av produkten med digitala element i enlighet med dess avsedda ändamål eller under förhållanden där det kan förekomma rimligen förutsebar felaktig användning, som kan leda till betydande cybersäkerhetsrisker,

6. om och, i tillämpliga fall, var programvaruförteckningen finns tillgänglig,

7. i tillämpliga fall, den internetadress där EU-försäkran om överensstämmelse finns tillgänglig,

8. den typ av tekniskt säkerhetsstöd som erbjuds av tillverkaren och hur länge det kommer att tillhandahållas, åtminstone fram till dess att användarna kan förvänta sig att få säkerhetsuppdateringar,

9. detaljerade instruktioner eller en internetadress som hänvisar till sådana detaljerade instruktioner och information om

1. nödvändiga åtgärder under den inledande idrifttagningen och under hela produktens livslängd för att säkerställa en säker användning,

2. hur ändringar av produkten kan påverka datasäkerheten,

3. hur säkerhetsrelevanta uppdateringar kan installeras,

4. säker avveckling av produkten, inklusive information om hur användardata kan avlägsnas på ett säkert sätt.

BILAGA III

KRITISKA PRODUKTER MED DIGITALA ELEMENT

Klass I

1. Programvara för identitetshanteringssystem och programvara för hantering av privilegierad åtkomst.

2. Fristående och inbyggda webbläsare.

3. Lösenordshanterare.

4. Programvara som söker efter och avlägsnar skadlig programvara eller sätter den i karantän.

5. Produkter med digitala element som fungerar som virtuella privata nätverk (VPN).

6. System för nätverksförvaltning.

7. Verktyg för hantering av nätverkskonfigurationer.

8. System för övervakning av nättrafik.

9. Förvaltning av nätverksresurser

10. System för säkerhetsinformation och händelsehantering (SIEM).

11. Hantering av uppdateringar/programfixar, inklusive starthanterare.

12. System för hantering av tillämpningskonfigurationer.

13. Programvara för fjärråtkomst/fjärrdelning.

14. Programvara för hantering av mobila enheter.

15. Fysiska nätverksgränssnitt.

16. Operativsystem som inte omfattas av klass II.

17. Brandväggar, intrångsdetektions- och/eller intrångsskyddssystem som inte omfattas av klass II.

18. Routrar, modem avsedda för anslutning till internet och dataväxlar som inte omfattas av klass II.

19. Mikroprocessorer som inte omfattas av klass II.

20. Mikrokontroller.

21. Applikationsspecifika integrerade kretsar (ASIC) och fältprogrammerbara grindmatriser (FPGA) avsedda att användas av väsentliga entiteter av den typ som avses i [bilaga I till direktiv XXX/XXXX (NIS2)].

22. Industriella automatiserings- och kontrollsystem (IACS) som inte omfattas av klass II, t.ex. programmerbara styrsystem (PLC), distribuerade kontrollsystem (DCS), datoriserade numeriska styrenheter för verktygsmaskiner (CNC) och system för övervakning och datainsamling (SCADA).

23. Sakernas internet för industrin som inte omfattas av klass II.

Klass II

1. Operativsystem för servrar, stationära datorer och mobila enheter.

2. Hypervisorer och system för körning av programbehållare som stöder virtualiserad exekvering av operativsystem och liknande miljöer.

3. Infrastruktur för kryptering med öppen nyckel (PKI) och utfärdare av digitala certifikat.

4. Brandväggar, intrångsdetektions- och/eller intrångsskyddssystem avsedda för industriellt bruk.

5. Mikroprocessorer för allmänna ändamål.

6. Mikroprocessorer avsedda för integrering i programmerbara styrenheter och säkra element.

7. Routrar, modem avsedda för anslutning till internet och dataväxlar avsedda för industriellt bruk.

8. Säkra element.

9. Säkerhetsmoduler för hårdvara (HSM).

10. Säkra kryptoprocessorer.

11. Smartkort, smartkortläsare och informationsbärare.

12. Industriella automatiserings- och kontrollsystem (IACS) avsedda att användas av väsentliga entiteter av den typ som avses i [bilaga I till direktiv XXX/XXXX (NIS2)], såsom programmerbara styrsystem (PLC), distribuerade kontrollsystem (DCS), datoriserade numeriska styrenheter för verktygsmaskiner (CNC) och system för övervakning och datainsamling (SCADA).

13. Anordningar för sakernas internet för industrin avsedda att användas av väsentliga entiteter av den typ som avses i [bilaga I till direktiv XXX/XXXX (NIS2)].

14. Komponenter för robotavkänning och robotmanövrering samt robotstyrenheter.

15. Smarta mätare.

BILAGA IV

EU-FÖRSÄKRAN OM ÖVERENSSTÄMMELSE

Den EU-försäkran om överensstämmelse som avses i artikel 20 ska innehålla samtliga uppgifter som anges nedan:

1. Namn och typ samt eventuell ytterligare information som möjliggör unik identifiering av produkten med digitala element.

2. Namn på och adress till tillverkaren eller dennes representant.

3. En förklaring om att EU-försäkran om överensstämmelse utfärdas på leverantörens eget ansvar.

4. Föremål för försäkran (identifiering av produkten så att den kan spåras; vid behov kan ett fotografi bifogas).

5. En förklaring om att det föremål för försäkran som beskrivs ovan överensstämmer med den relevanta harmoniserade unionslagstiftningen.

6. Hänvisningar till relevanta harmoniserade standarder som använts eller andra gemensamma specifikationer eller system för cybersäkerhetscertifiering enligt vilka överensstämmelsen försäkras.

7. I tillämpliga fall, det anmälda organets namn och nummer, en beskrivning av det använda förfarandet för bedömning av överensstämmelse och uppgifter om det utfärdade intyget.

8. Ytterligare information:

Undertecknad för: …………………………………

(ort och datum):

(namn, befattning) (namnteckning):

BILAGA V

DEN TEKNISKA DOKUMENTATIONENS INNEHÅLL

Den tekniska dokumentation som avses i artikel 23 ska åtminstone innehålla följande information, beroende på vad som är tillämpligt för den relevanta produkten med digitala element:

1. En allmän beskrivning av produkten med digitala element, inbegripet

1. dess avsedda ändamål,

1. versioner av programvara som påverkar överensstämmelsen med de väsentliga kraven,

2. om produkten med digitala element är en hårdvaruprodukt, fotografier eller illustrationer som visar yttre egenskaper, märkning och inre layout,

3. användarinformation och bruksanvisning enligt xxxxxx XX.

2. En beskrivning av produktens utformning, utveckling och produktion samt processer för sårbarhetshantering, inbegripet

1. fullständig information om utformning och utveckling av produkten med digitala element, i tillämpliga fall inbegripet ritningar och scheman och/eller en beskrivning av systemarkitekturen som förklarar hur programvarukomponenter bygger på eller matas in i varandra och integreras i den övergripande behandlingen,

1. fullständig information om och specifikationer av de processer för sårbarhetshantering som tillverkaren infört, inbegripet programvaruförteckningen, den samordnade policyn för offentliggörande av sårbarheter, bevis på tillhandahållandet av en kontaktadress för rapportering av sårbarheter och en beskrivning av de tekniska lösningar som valts för säker distribution av uppdateringar,

2. fullständig information om och specifikationer av produktions- och övervakningsprocesser för produkten med digitala element och validering av dessa processer.

3. En bedömning av de cybersäkerhetsrisker mot vilka produkten med digitala element utformas, utvecklas, produceras, levereras och underhålls i enlighet med artikel 10 i denna förordning.

4. En förteckning över de harmoniserade standarder som helt eller delvis har följts och till vilka hänvisningar har offentliggjorts i Europeiska unionens officiella tidning, gemensamma specifikationer enligt artikel 19 i denna förordning eller system för cybersäkerhetscertifiering enligt förordning (EU) 2019/881 i enlighet med artikel 18.3, och, om dessa harmoniserade standarder, gemensamma specifikationer eller system för cybersäkerhetscertifiering inte har tillämpats, beskrivningar av de lösningar som valts för att uppfylla de väsentliga kraven i avsnitten 1 och 2 i bilaga I, inbegripet en förteckning över andra relevanta tekniska specifikationer som tillämpats. När det gäller delvis tillämpade harmoniserade standarder, gemensamma specifikationer eller system för cybersäkerhetscertifiering ska det i den tekniska dokumentationen specificeras vilka delar som har tillämpats.

5. Rapporter om de provningar som utförts för att kontrollera att produkten och processerna för sårbarhetshantering överensstämmer med de tillämpliga väsentliga kraven i avsnitten 1 och 2 i bilaga I.

6. Kopia av EU-försäkran om överensstämmelse.

7. I tillämpliga fall, programvaruförteckningen enligt definitionen i artikel 3.36, efter en motiverad begäran från en marknadskontrollmyndighet, förutsatt att det är nödvändigt för att denna myndighet ska kunna kontrollera överensstämmelsen med de väsentliga kraven i bilaga I.

BILAGA VI

FÖRFARANDEN FÖR BEDÖMNING AV ÖVERENSSTÄMMELSE

Förfarande för bedömning av överensstämmelse som grundar sig på intern kontroll (baserat på modul A)

1. Intern kontroll är det förfarande för bedömning av överensstämmelse genom vilket tillverkaren fullgör skyldigheterna i punkterna 2, 3 och 4 samt säkerställer och försäkrar på eget ansvar att produkter med digitala element uppfyller alla de väsentliga kraven i avsnitt 1 i bilaga I och att tillverkaren uppfyller de väsentliga kraven i avsnitt 2 i bilaga I.

2. Tillverkaren ska upprätta den tekniska dokumentation som beskrivs i bilaga V.

3. Utformning, utveckling, produktion och sårbarhetshantering av produkter med digitala element

Tillverkaren ska vidta alla åtgärder som krävs för att säkerställa att utformningen, utvecklingen, produktionen samt processerna för sårbarhetshantering och övervakningen av dessa ska leder till att de tillverkade eller utvecklade produkterna med digitala element och de processer som tillverkaren infört överensstämmer med de väsentliga kraven i avsnitten 1 och 2 i bilaga I.

4. Märkning om överensstämmelse och försäkran om överensstämmelse

1. Tillverkaren ska anbringa CE-märkningen på varje enskild produkt med digitala element som uppfyller de tillämpliga kraven i denna förordning.

2. Tillverkaren ska upprätta en skriftlig EU-försäkran om överensstämmelse för varje produkt med digitala element i enlighet med artikel 20 och ska kunna uppvisa den tillsammans med den tekniska dokumentationen för de nationella myndigheterna under en period på 10 år efter det att produkten med digitala element har släppts ut på marknaden. I EU-försäkran om överensstämmelse ska det anges för vilken produkt med digitala element den har upprättats. En kopia av EU-försäkran om överensstämmelse ska på begäran göras tillgänglig för de relevanta myndigheterna.

5. Tillverkarens representanter

Tillverkarens skyldigheter enligt punkt 4 får fullgöras, för dennes räkning och på dennes ansvar, av tillverkarens representant, förutsatt att dessa skyldigheter specificeras i fullmakten.

EU-typkontroll (baserat på modul B)

1. EU-typkontroll är den del av ett förfarande för bedömning av överensstämmelse genom vilken ett anmält organ undersöker en produkts tekniska utformning och utveckling och de processer för sårbarhetshantering som tillverkaren infört och intygar att en produkt med digitala element uppfyller de väsentliga kraven i avsnitt 1 i bilaga I och att tillverkaren uppfyller de väsentliga kraven i avsnitt 2 i bilaga I.

• EU-typkontroll ska göras genom bedömning av lämpligheten hos den tekniska utformningen och utvecklingen av produkten genom granskning av den tekniska dokumentation och de underlag som avses i punkt 3 samt undersökning av provexemplar av en eller flera kritiska delar av produkten (kombination av produktionstyp och utformningstyp).

2. Tillverkaren ska lämna in ansökan om EU-typkontroll till ett valfritt anmält organ.

Ansökan ska innehålla följande:

• Tillverkarens namn och adress och, om ansökan lämnas in av tillverkarens representant, även dennes namn och adress.

• En skriftlig försäkran om att samma ansökan inte har lämnats in till något annat anmält organ.

• Den tekniska dokumentationen, vilken ska göra det möjligt att bedöma produktens överensstämmelse med de tillämpliga väsentliga kraven i avsnitt 1 i bilaga I och tillverkarens processer för sårbarhetshantering enligt avsnitt 2 i bilaga I, och ska innehålla en tillfredsställande analys och bedömning av riskerna. Den tekniska dokumentationen ska innehålla de tillämpliga kraven och, i den mån det krävs för bedömningen, även en beskrivning av produktens utformning, tillverkning och funktion. Den tekniska dokumentationen ska, i tillämpliga fall, innehålla minst de uppgifter som anges i bilaga V.

• Underlag som visar att de lösningarna för teknisk utformning och utveckling samt processerna för sårbarhetshantering är lämpliga. I underlaget ska anges alla dokument som har använts, särskilt när de relevanta harmoniserade standarderna och/eller de tekniska specifikationerna inte har tillämpats fullt ut. Underlaget ska vid behov innehålla resultaten av provningar som utförts i tillverkarens därtill ägnade laboratorium eller i något annat provningslaboratorium för dennes räkning och under dennes ansvar.

3. Det anmälda organet ska göra följande:

1. Granska den tekniska dokumentationen och underlaget för att bedöma om den tekniska utformningen och utvecklingen av produkten uppfyller de väsentliga kraven i avsnitt 1 i bilaga I och om de processer för sårbarhetshantering som tillverkaren infört uppfyller de väsentliga kraven i avsnitt 2 i bilaga I.

2. Kontrollera att provexemplaret/-aren har utvecklats eller tillverkats i enlighet med den tekniska dokumentationen och identifiera de delar som har utformats och utvecklats i enlighet med de tillämpliga bestämmelserna i de relevanta harmoniserade standarderna och/eller de tekniska specifikationerna, liksom de delar som har utformats och utvecklats utan att de tillämpliga bestämmelserna i dessa standarder har följts.

3. Utföra eller låta utföra lämpliga undersökningar och provningar för att, i de fall där tillverkaren har valt att tillämpa lösningarna i de relevanta harmoniserade standarderna och/eller de tekniska specifikationerna för de krav som anges i bilaga I, kontrollera att dessa lösningar har tillämpats på rätt sätt.

4. Utföra eller låta utföra lämpliga undersökningar och provningar för att, i de fall där lösningarna i relevanta harmoniserade standarder och/eller tekniska specifikationer för de krav som anges i bilaga I inte har tillämpats, kontrollera om de lösningar som tillverkaren använt uppfyller de väsentliga kraven.

5. Komma överens med tillverkaren om var undersökningarna och provningarna ska utföras.

4. Det anmälda organet ska utarbeta en bedömningsrapport i vilken de åtgärder som utförts i enlighet med punkt 4 och resultatet av dem redovisas. Utan att det påverkar det anmälda organets skyldigheter gentemot de anmälande myndigheterna får organet endast offentliggöra hela eller delar av innehållet i rapporten med tillverkarens samtycke.

5. Om typen och processerna för sårbarhetshantering uppfyller de väsentliga kraven i bilaga I ska det anmälda organet utfärda ett EU-typintyg till tillverkaren. Intyget ska innehålla tillverkarens namn och adress, slutsatserna av undersökningen, eventuella giltighetsvillkor och de uppgifter som krävs för identifiering av den godkända typen och processerna för sårbarhetshantering. Intyget kan ha en eller flera bilagor.

Intyget och bilagorna ska innehålla all information som behövs för att bedöma om de tillverkade eller utvecklade produkterna överensstämmer med den undersökta typen och processerna för sårbarhetshantering och för att kontrollera produkter i bruk.

Om typen och processerna för sårbarhetshantering inte uppfyller de tillämpliga väsentliga kraven i bilaga I ska det anmälda organet avslå ansökan om EU-typintyg och informera sökanden om detta samt utförligt motivera avslaget.

6. Det anmälda organet ska följa med i den tekniska utvecklingen, och om denna tyder på att den godkända typen och processerna för sårbarhetshantering inte längre uppfyller de tillämpliga väsentliga kraven i bilaga I ska organet fastställa om det krävs ytterligare undersökningar. Om så är fallet ska det anmälda organet underrätta tillverkaren om detta.

Tillverkaren ska underrätta det anmälda organ som innehar den tekniska dokumentationen för EU-typintyget om alla ändringar av den godkända typen och processerna för sårbarhetshantering som kan påverka överensstämmelsen med de väsentliga kraven i bilaga I eller villkoren för intygets giltighet. För sådana ändringar krävs ytterligare godkännande i form av ett tillägg till det ursprungliga EU-typintyget.

7. Varje anmält organ ska underrätta sina anmälande myndigheter om de EU-typintyg och/eller tillägg till dessa som det har utfärdat eller återkallat, och det ska periodiskt återkommande eller på begäran ge de anmälande myndigheterna tillgång till förteckningen över de intyg och/eller eventuella tillägg till dessa som det har avslagit, tillfälligt återkallat eller på annat sätt belagt med restriktioner.

Varje anmält organ ska underrätta de övriga anmälda organen om de EU-typintyg och/eller eventuella tillägg till dessa som det har vägrat utfärda, slutgiltigt eller tillfälligt återkallat eller på annat sätt belagt med restriktioner och, på begäran, om de intyg och/eller tillägg till dessa som det har utfärdat.

Kommissionen, medlemsstaterna och de övriga anmälda organen har rätt att på begäran få en kopia av EU-typkontrollintyget och/eller tillägg till det. Kommissionen och medlemsstaterna har rätt att på begäran få en kopia av den tekniska dokumentationen och av resultaten från de undersökningar som utförts av det anmälda organet. Det anmälda organet ska spara en kopia av EU-typintyget med bilagor och tillägg samt av den tekniska dokumentationen, inklusive dokumentation från tillverkaren, så länge som intyget är giltigt.

8. Tillverkaren ska för de nationella myndigheterna kunna uppvisa en kopia av EU-typintyget med bilagor och tillägg tillsammans med den tekniska dokumentationen under tio år efter det att produkten släpptes ut på marknaden.

9. Tillverkarens representant får lämna in den ansökan som avses i punkt 3 och fullgöra skyldigheterna enligt punkterna 7 och 9, förutsatt att skyldigheterna specificeras i fullmakten.

Överensstämmelse med typ som grundar sig på intern tillverkningskontroll (baserat på modul C)

1. Överensstämmelse med typ som grundar sig på intern tillverkningskontroll är den del av ett förfarande för bedömning av överensstämmelse genom vilken tillverkaren fullgör skyldigheterna i punkterna 2 och 3 samt säkerställer och försäkrar att de berörda produkterna överensstämmer med typen enligt beskrivningen i EU-typintyget och uppfyller de väsentliga kraven i avsnitt 1 i bilaga I.

2. Produktion

   1. Tillverkaren ska vidta alla nödvändiga åtgärder för att produktionen och övervakningen av den ska leda till att de tillverkade produkterna överensstämmer med den godkända typen enligt beskrivningen i EU-typintyget och med de väsentliga kraven i avsnitt 1 i bilaga I.

3. Märkning om överensstämmelse och försäkran om överensstämmelse

   1. Tillverkaren ska anbringa CE-märkningen på varje enskild produkt som överensstämmer med typen enligt beskrivningen i EU-typintyget och uppfyller de tillämpliga kraven i lagstiftningsintrumentet.

   2. Tillverkaren ska upprätta en skriftlig försäkran om överensstämmelse för en produktmodell och kunna uppvisa den för de nationella myndigheterna under en period på tio år efter det att produkten har släppts ut på marknaden. I försäkran om överensstämmelse ska det anges för vilken produktmodell den har upprättats. En kopia av försäkran om överensstämmelse ska på begäran göras tillgänglig för de behöriga myndigheterna.

4. Tillverkarens representant

Tillverkarens skyldigheter enligt punkt 3 får fullgöras, för dennes räkning och på dennes ansvar, av tillverkarens representant, förutsatt att skyldigheterna anges i fullmakten.

Överensstämmelse som grundar sig på fullständig kvalitetssäkring (baserat på modul H)

1. Överensstämmelse som grundar sig på fullständig kvalitetssäkring är det förfarande för bedömning av överensstämmelse genom vilket tillverkaren fullgör skyldigheterna i punkterna 2 och 5 samt säkerställer och försäkrar på eget ansvar att de berörda produkterna (eller produktkategorierna) uppfyller de väsentliga kraven i avsnitt 1 i bilaga I och att de processer för sårbarhetshantering som tillverkaren infört uppfyller kraven i avsnitt 2 i bilaga I.

2. Utformning, utveckling, produktion och sårbarhetshantering av produkter med digitala element

Tillverkaren ska tillämpa ett godkänt kvalitetssystem enligt punkt 3 för utformning, utveckling och produktion av de berörda produkterna och för hantering av sårbarheter, upprätthålla dess effektivitet under de berörda produkternas hela livscykel och ska stå under övervakning i enlighet med punkt 4.

3. Kvalitetssystem

   1. Tillverkaren ska hos ett valfritt anmält organ ansöka om att få sitt kvalitetssystem för de berörda produkterna bedömt.

Ansökan ska innehålla följande:

• Tillverkarens namn och adress och, om ansökan lämnas in av tillverkarens representant, även dennes namn och adress.

• Den tekniska dokumentationen för en modell av varje kategori av produkter som är tänkt att tillverkas eller utvecklas. Den tekniska dokumentationen ska, i tillämpliga fall, innehålla de uppgifter som anges i bilaga V.

• Dokumentation av kvalitetssystemet.

• En skriftlig försäkran om att samma ansökan inte har lämnats till något annat anmält organ.

2. Kvalitetssystemet ska säkerställa att produkterna uppfyller de väsentliga kraven i avsnitt 1 i bilaga I och att de processer för sårbarhetshantering som tillverkaren infört uppfyller kraven i avsnitt 2 i bilaga I.

Alla de faktorer, krav och bestämmelser som tillverkaren tagit hänsyn till ska dokumenteras på ett systematiskt och överskådligt sätt i form av skriftliga riktlinjer, förfaranden och anvisningar. Denna dokumentation av kvalitetssystemet ska möjliggöra en enhetlig tolkning av rutiner och kvalitetsåtgärder, såsom program, planer, manualer och protokoll.

Den ska framför allt innehålla en fullgod beskrivning av

• kvalitetsmålen och organisationsstruktur samt ledningens ansvar och befogenheter när det gäller utformning, utveckling, produktkvalitet och sårbarhetshantering,

• de tekniska specifikationer för utformning och utveckling, inklusive standarder, som ska tillämpas och, när de relevanta harmoniserade standarderna eller de tekniska föreskrifterna inte tillämpas fullt ut, de medel som används för att säkerställa att de väsentliga kraven i avsnitt 1 i bilaga I som gäller för produkterna uppfylls,

• de tekniska specifikationer för förfaranden, inklusive standarder, som ska tillämpas och, när de relevanta harmoniserade standarderna eller de tekniska föreskrifterna inte tillämpas fullt ut, de medel som används för att säkerställa att de väsentliga kraven i avsnitt 2 i bilaga I som gäller för tillverkaren uppfylls,

• kontrollen av utformning och utveckling, samt de metoder, processer och systematiska förfaranden för verifikation av utformning och utveckling som ska användas vid utformning och utveckling av produkter inom den berörda kategorin,

• de motsvarande metoder, processer och systematiska åtgärder för produktion, kvalitetskontroll och kvalitetssäkring som ska användas,

• de undersökningar och provningar som kommer att utföras före, under och efter produktionen, och hur ofta de kommer att utföras,

• kvalitetsdokumenten, t.ex. kontrollrapporter och provningsresultat, kalibreringsresultat och redogörelser för den berörda personalens kvalifikationer,

• metoderna för övervakning av att den erforderliga utformnings- och produktkvaliteten uppnås och att kvalitetssystemet fungerar effektivt.

3. Det anmälda organet ska bedöma kvalitetssystemet för att avgöra det uppfyller kraven i punkt 3.2.

Det ska förutsätta att kraven är uppfyllda i fråga om de delar av kvalitetssäkringssystemet som uppfyller motsvarande specifikationer i den nationella standard genom vilken den relevanta harmoniserade standarden och/eller de tekniska specifikationerna genomförs.

Utöver erfarenhet av kvalitetsledningssystem ska minst en av revisionsgruppens deltagare ha erfarenhet av bedömning av det aktuella produktområdet och den berörda produkttekniken, och känna till de tillämpliga kraven i denna förordning. Revisionen ska även omfatta ett bedömningsbesök i tillverkarens anläggning, om en sådan anläggning finns. Revisionsgruppen ska granska den tekniska dokumentation som avses i punkt 3.1 andra strecksatsen för att kontrollera att tillverkaren känner till de tillämpliga kraven i denna förordning och kan utföra de undersökningar som krävs för att säkerställa att produkten överensstämmer med kraven.

Tillverkaren eller dennes representant ska meddelas beslutet.

Meddelandet ska innehålla slutsatserna från revisionen och det motiverade bedömningsbeslutet.

4. Tillverkaren ska åta sig att fullgöra de skyldigheter som är förenade med det godkända kvalitetssystemet och att upprätthålla det så att det förblir ändamålsenligt och effektivt.

5. Tillverkaren ska informera det anmälda organ som har godkänt kvalitetssystemet om alla planerade ändringar av systemet.

Det anmälda organet ska bedöma de föreslagna ändringarna och avgöra om ett ändrat kvalitetssystem fortfarande uppfyller de krav som avses i punkt 3.2 eller om en ny bedömning är nödvändig.

Det ska meddela tillverkaren sitt beslut. Meddelandet ska innehålla slutsatserna från undersökningen och det motiverade bedömningsbeslutet.

4. Övervakning under det anmälda organets ansvar

   1. Syftet med övervakningen är att säkerställa att tillverkaren fullgör de skyldigheter som är förenade med det godkända kvalitetssystemet.

   2. För att möjliggöra en bedömning ska tillverkaren ge det anmälda organet tillträde till lokaler för utformning, utveckling, produktion, kontroll, provning och lagring och tillhandahålla all nödvändig information, särskilt i fråga om

• dokumentationen av kvalitetssystemet,

• de dokument som anges i kvalitetssystemets utformningsdel, t.ex. resultat från analyser, beräkningar och provningar,

• de dokument som anges i kvalitetssystemets tillverkningsdel, t.ex. kontrollrapporter, provningsresultat, kalibreringsresultat och redogörelser för den berörda personalens kvalifikationer.

1. Det anmälda organet ska regelbundet genomföra revisioner för att säkerställa att tillverkaren vidmakthåller och tillämpar kvalitetssystemet, samt överlämna en revisionsrapport till tillverkaren.

1. Märkning om överensstämmelse och försäkran om överensstämmelse

   1. Tillverkaren ska anbringa CE-märkningen och, under ansvar av det anmälda organ som avses i punkt 3.1, organets identifikationsnummer på varje enskild produkt som uppfyller kraven i avsnitt 1 i bilaga I till denna förordning.

   2. Tillverkaren ska upprätta en skriftlig försäkran om överensstämmelse för en produktmodell och kunna uppvisa den för de nationella myndigheterna under en period på tio år efter det att produkten har släppts ut på marknaden. I försäkran om överensstämmelse ska det anges för vilken produktmodell den har upprättats.

En kopia av försäkran om överensstämmelse ska på begäran göras tillgänglig för de behöriga myndigheterna.

6. Tillverkaren ska under en period på minst tio år efter det att produkten har släppts ut på marknaden kunna uppvisa följande för de nationella myndigheterna:

• Den tekniska dokumentation som avses i punkt 3.1.

• Sådan dokumentation av kvalitetssystemet som avses i punkt 3.1.

• Godkända ändringar som avses i punkt 3.5.

• De beslut och rapporter från det anmälda organet som avses i punkterna 3.5, 4.3 och 4.4.

7. Varje anmält organ ska underrätta sina anmälande myndigheter om de godkännanden av kvalitetssystem som det har utfärdat eller återkallat och ska regelbundet eller på begäran ge de anmälande myndigheterna tillgång till förteckningen över godkännanden som det har vägrat att utfärda, tillfälligt återkallat eller på annat sätt belagt med restriktioner.

Varje anmält organ ska underrätta de övriga anmälda organen om de godkännanden av kvalitetssystem som det har vägrat utfärda eller tillfälligt eller slutgiltigt återkallat och, på begäran, om de godkännanden av kvalitetssystem som det har utfärdat.

8. Tillverkarens representant

Tillverkarens skyldigheter enligt punkterna 3.1, 3.5, 5 och 6 får fullgöras, för dennes räkning och på dennes ansvar, av tillverkarens representant, förutsatt att dessa skyldigheter specificeras i fullmakten.

SV SV