BIJLAGE VIII
CONFORMITEITSBEOORDELINGSPROCEDURES
Deel I Conformiteitsbeoordelingsprocedure op basis van interne controle (op basis van module A)
1. Met “interne controle” wordt de conformiteitsbeoordelingsprocedure bedoeld waarbij de fabrikant de verplichtingen van de punten 2, 3 en 4 van dit deel nakomt en op eigen verantwoordelijkheid garandeert en verklaart dat de producten met digitale elementen aan alle essentiële cyberbeveiligingsvereisten van deel I van bijlage I voldoen en dat de fabrikant aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I voldoet.
2. De fabrikant stelt de in bijlage VII beschreven technische documentatie op.
3. Ontwerp, ontwikkeling, productie en respons op kwetsbaarheden van producten met digitale elementen
De fabrikant neemt alle nodige maatregelen om ervoor te zorgen dat het ontwerp, de ontwikkeling, de productie en de procedures inzake de respons op kwetsbaarheden en de monitoring daarvan waarborgen dat de vervaardigde of ontwikkelde producten met digitale elementen en de door de fabrikant ingestelde processen in overeenstemming zijn met de essentiële cyberbeveiligingsvereisten van de delen I en II van bijlage I.
4. Conformiteitsmarkering en conformiteitsverklaring
4.1. De fabrikant brengt de CE-markering aan op elk afzonderlijk product met digitale elementen dat aan de toepasselijke vereisten van deze verordening voldoet.
4.2. De fabrikant stelt overeenkomstig artikel 28 voor elk product met digitale elementen een schriftelijke EU-conformiteitsverklaring op en houdt die verklaring, samen met de technische documentatie, tot tien jaar na het in de handel brengen van het product met digitale elementen of gedurende de ondersteuningsperiode, indien die langer is, ter beschikking van de nationale autoriteiten. In de EU-conformiteitsverklaring wordt het product met digitale elementen geïdentificeerd waarvoor de verklaring is opgesteld. Een kopie van de EU-conformiteitsverklaring wordt op verzoek aan de relevante autoriteiten verstrekt.
5. Gemachtigde vertegenwoordigers
De in punt 4 vervatte verplichtingen van de fabrikant kunnen namens en onder de verantwoordelijkheid van de fabrikant worden vervuld door de gemachtigde vertegenwoordiger van de fabrikant, op voorwaarde dat de relevante verplichtingen in het mandaat gespecificeerd zijn.
Deel II EU-typeonderzoek (op basis van module B)
1. Met “EU-typeonderzoek” wordt dat gedeelte van een conformiteitsbeoordelingsprocedure bedoeld waarin een aangemelde instantie het technisch ontwerp en de ontwikkeling van een product met digitale elementen en de door de fabrikant ingestelde procedures inzake de respons op kwetsbaarheden onderzoekt en verklaart dat een product met digitale elementen aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I voldoet en dat de fabrikant aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I voldoet.
2. Het EU-typeonderzoek wordt uitgevoerd door beoordeling van de geschiktheid van het technisch ontwerp en ontwikkeling van het product met digitale elementen door middel van het onderzoek van de technische documentatie en het bewijsmateriaal die zijn bedoeld in punt 3, en het onderzoek van monsters van een of meer kritieke delen van het product (combinatie van productietype en ontwerptype).
3. De fabrikant dient een aanvraag voor het EU-typeonderzoek in bij een aangemelde instantie van zijn keuze.
De aanvraag omvat:
naam en adres van de fabrikant en, indien de aanvraag wordt ingediend door de gemachtigde vertegenwoordiger van de fabrikant, de naam en het adres van die gemachtigde vertegenwoordiger;
een schriftelijke verklaring dat dezelfde aanvraag niet is ingediend bij een andere aangemelde instantie;
de technische documentatie aan de hand waarvan kan worden beoordeeld of het product met digitale elementen voldoet aan de toepasselijke essentiële cyberbeveiligingsvereisten van deel I van bijlage I en de procedures inzake de respons op kwetsbaarheden van de fabrikant van deel II van bijlage I, en die een adequate analyse en beoordeling van de risico’s omvat. In de technische documentatie worden de toepasselijke vereisten vermeld en de documentatie heeft, voor zover relevant voor de beoordeling, betrekking op het ontwerp, de vervaardiging en de werking van het product met digitale elementen. De technische documentatie bevat, indien van toepassing, ten minste de in bijlage VII vermelde elementen;
het bewijsmateriaal voor de adequaatheid van de technische ontwerp- en ontwikkelingsoplossingen en de procedures inzake de respons op kwetsbaarheden. In het bewijsmateriaal worden alle gebruikte documenten vermeld, met name wanneer de desbetreffende geharmoniseerde normen of technische specificaties niet volledig zijn toegepast. Zo nodig worden ook de resultaten vermeld van tests die door een geschikt laboratorium van de fabrikant of namens en onder de verantwoordelijkheid van de fabrikant door een ander laboratorium zijn verricht.
4. De aangemelde instantie:
onderzoekt de technische documentatie en het bewijsmateriaal om te beoordelen of het technisch ontwerp en de ontwikkeling van het product met digitale elementen voldoen aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I en of de door de fabrikant ingestelde procedures inzake de respons op kwetsbaarheden voldoen aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I;
controleert of de monsters overeenkomstig de technische documentatie zijn ontwikkeld of vervaardigd, en stelt vast welke elementen zijn ontworpen en ontwikkeld overeenkomstig de toepasselijke bepalingen van de desbetreffende geharmoniseerde normen of technische specificaties, alsook welke elementen zijn ontworpen en ontwikkeld zonder de desbetreffende bepalingen van die normen toe te passen;
verricht de nodige onderzoeken en tests, of laat die verrichten om, wanneer de fabrikant ervoor heeft gekozen de oplossingen uit de desbetreffende geharmoniseerde normen of technische specificaties voor de vereisten van bijlage I toe te passen, te controleren of die op de juiste wijze zijn toegepast;
verricht de nodige onderzoeken en tests, of laat die verrichten om, ingeval de oplossingen in de desbetreffende geharmoniseerde normen of technische specificaties voor de cyberbeveiligingsvereisten van bijlage I niet zijn toegepast, te controleren of de door de fabrikant gekozen oplossingen aan de desbetreffende essentiële cyberbeveiligingsvereisten voldoen;
stelt in overleg met de fabrikant de plaats vast waar de onderzoeken en tests zullen worden uitgevoerd.
5. De aangemelde instantie stelt een evaluatieverslag op over de overeenkomstig punt 4 verrichte activiteiten en de resultaten daarvan. Onverminderd haar verplichtingen jegens de aanmeldende autoriteiten, maakt de aangemelde instantie de inhoud van dat verslag uitsluitend met instemming van de fabrikant geheel of gedeeltelijk openbaar.
6. Wanneer het type en de procedures inzake de respons op kwetsbaarheden aan de essentiële cyberbeveiligingsvereisten van bijlage I voldoen, verstrekt de aangemelde instantie de fabrikant een certificaat van EU-typeonderzoek. Het certificaat bevat de naam en het adres van de fabrikant, de conclusies van het onderzoek, de eventuele voorwaarden voor de geldigheid ervan en de nodige gegevens voor de identificatie van het goedgekeurde type en de goedgekeurde procedures inzake de respons op kwetsbaarheden. Bij het certificaat kunnen één of meerdere bijlagen worden gevoegd.
Het certificaat en de bijlagen bevatten alle relevante informatie om de conformiteit van de vervaardigde of ontwikkelde producten met digitale elementen met het onderzochte type en de onderzochte procedures inzake de respons op kwetsbaarheden te kunnen evalueren en controle tijdens het gebruik mogelijk te maken.
Wanneer het type en de procedures inzake de respons op kwetsbaarheden niet voldoen aan de toepasselijke essentiële cyberbeveiligingsvereisten van bijlage I, weigert de aangemelde instantie een certificaat van EU-typeonderzoek af te geven en stelt zij de aanvrager daarvan in kennis, met vermelding van de gedetailleerde redenen voor haar weigering.
7. De aangemelde instantie houdt zich op de hoogte van alle veranderingen in de algemeen erkende stand van de techniek die erop wijzen dat het goedgekeurde type en de goedgekeurde procedures inzake de respons op kwetsbaarheden mogelijk niet langer voldoen aan de toepasselijke essentiële cyberbeveiligingsvereisten van bijlage I, en bepaalt of dergelijke wijzigingen nader onderzoek vereisen. Als dat het geval is, stelt de aangemelde instantie de fabrikant daarvan in kennis.
De fabrikant brengt de aangemelde instantie die de technische documentatie betreffende het certificaat van EU-typeonderzoek bewaart op de hoogte van alle wijzigingen van het goedgekeurde type en de goedgekeurde procedures inzake de respons op kwetsbaarheden die van invloed kunnen zijn op de conformiteit met de essentiële cyberbeveiligingsvereisten van bijlage I of de voorwaarden voor de geldigheid van het certificaat. Dergelijke wijzigingen vereisen een aanvullende goedkeuring in de vorm van een bijvoegsel bij het oorspronkelijke certificaat van EU-typeonderzoek.
8. De aangemelde instantie verricht periodieke audits om ervoor te zorgen dat de in deel II van bijlage I beschreven procedures inzake de respons op kwetsbaarheden adequaat worden uitgevoerd.
9. Elke aangemelde instantie brengt haar aanmeldende autoriteiten op de hoogte van de door haar verstrekte of ingetrokken certificaten van EU-typeonderzoek en eventuele bijvoegsels daarbij, en verstrekt haar aanmeldende autoriteiten op gezette tijden of op verzoek een lijst van geweigerde, geschorste of anderszins beperkte certificaten en eventuele bijvoegsels daarbij.
Elke aangemelde instantie brengt de andere aangemelde instanties op de hoogte van de door haar geweigerde, ingetrokken, geschorste of anderszins beperkte certificaten van EU-typeonderzoek en eventuele bijvoegsels daarbij, alsook, op verzoek, van de door haar verstrekte certificaten en bijvoegsels daarbij.
De Commissie, de lidstaten en de andere aangemelde instanties kunnen op verzoek een kopie van de certificaten van EU-typeonderzoek en eventuele bijvoegsels ontvangen. De Commissie en de lidstaten kunnen op verzoek een kopie van de technische documentatie en de resultaten van het door de aangemelde instantie verrichte onderzoek ontvangen. De aangemelde instantie bewaart een kopie van het certificaat van EU-typeonderzoek, de bijlagen en bijvoegsels daarbij, alsook het technisch dossier, met inbegrip van de door de fabrikant verstrekte documentatie, tot het einde van de geldigheidsduur van het certificaat.
10. De fabrikant houdt tot tien jaar na het in de handel brengen van het product met digitale elementen of gedurende de ondersteuningsperiode, indien die langer is, een kopie van het certificaat van EU-typeonderzoek en de bijlagen en bijvoegsels daarbij, samen met de technische documentatie, ter beschikking van de nationale autoriteiten.
11. De gemachtigde vertegenwoordiger van de fabrikant kan de in punt 3 bedoelde aanvraag indienen en de in de punten 7 en 10 vermelde verplichtingen vervullen, op voorwaarde dat de relevante verplichtingen in het mandaat gespecificeerd zijn.
Deel III Conformiteit met het type op basis van interne productiecontrole (op basis van module C)
1. Met “conformiteit met het type op basis van interne productiecontrole” wordt het gedeelte van een conformiteitsbeoordelingsprocedure bedoeld waarin de fabrikant de verplichtingen van de punten 2 en 3 nakomt en garandeert en verklaart dat de betrokken producten met digitale elementen in overeenstemming zijn met het type dat is beschreven in het certificaat van EU-typeonderzoek en aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I voldoen, en dat de fabrikant aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I voldoet.
2. Productie
De fabrikant neemt alle nodige maatregelen om ervoor te zorgen dat de productie en de monitoring daarvan garanderen dat de vervaardigde producten met digitale elementen in overeenstemming zijn met het goedgekeurde type dat is beschreven in het certificaat van EU-typeonderzoek en met de essentiële cyberbeveiligingsvereisten van deel I van bijlage I, en garandeert dat de fabrikant aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I voldoet.
3. Conformiteitsmarkering en conformiteitsverklaring
De fabrikant brengt de CE-markering aan op elk afzonderlijk product met digitale elementen dat in overeenstemming is met het type dat is beschreven in het certificaat van EU-typeonderzoek en voldoet aan de toepasselijke vereisten van deze verordening.
De fabrikant stelt voor elk productmodel een schriftelijke conformiteitsverklaring op en houdt die verklaring tot tien jaar na het in de handel brengen van het product met digitale elementen of gedurende de ondersteuningsperiode, indien die langer is, ter beschikking van de nationale autoriteiten. In de conformiteitsverklaring wordt het productmodel geïdentificeerd waarvoor de verklaring is opgesteld. Een kopie van de conformiteitsverklaring wordt op verzoek aan de relevante autoriteiten verstrekt.
4. Gemachtigde vertegenwoordiger
De in punt 3 vervatte verplichtingen van de fabrikant kunnen namens en onder de verantwoordelijkheid van de fabrikant worden vervuld door de gemachtigde vertegenwoordiger van de fabrikant, op voorwaarde dat de relevante verplichtingen in het mandaat gespecificeerd zijn.
Deel IV Conformiteit op basis van volledige kwaliteitsborging (op basis van module H)
1. Met “conformiteit op basis van volledige kwaliteitsborging” wordt de conformiteitsbeoordelingsprocedure bedoeld waarbij de fabrikant de verplichtingen van de punten 2 en 5 van dit deel nakomt en op eigen verantwoordelijkheid garandeert en verklaart dat de betrokken producten met digitale elementen of productcategorieën aan alle essentiële cyberbeveiligingsvereisten van deel I van bijlage I voldoen en dat de door de fabrikant ingestelde procedures inzake de respons op kwetsbaarheden aan de vereisten van deel II van bijlage I voldoen.
2. Ontwerp, ontwikkeling, productie en respons op kwetsbaarheden van producten met digitale elementen
De fabrikant past een goedgekeurd kwaliteitssysteem als bedoeld in punt 3 toe op het ontwerp, de ontwikkeling en de eindproductcontrole en producttests van de betrokken producten met digitale elementen en op de respons op kwetsbaarheden, handhaaft de doeltreffendheid ervan gedurende de ondersteuningsperiode en is onderworpen aan toezicht als omschreven in punt 4.
3. Kwaliteitssysteem
De fabrikant dient voor de betrokken producten met digitale elementen bij een aangemelde instantie van zijn keuze een aanvraag tot beoordeling van zijn kwaliteitssysteem in.
De aanvraag omvat:
de naam en het adres van de fabrikant en, indien de aanvraag wordt ingediend door de gemachtigde vertegenwoordiger van de fabrikant, de naam en het adres van die gemachtigde vertegenwoordiger;
de technische documentatie voor één model van elke categorie producten met digitale elementen die bestemd is om te worden vervaardigd of ontwikkeld. De technische documentatie bevat, indien van toepassing, ten minste de in bijlage VII vermelde elementen;
de documentatie over het kwaliteitssysteem, en
een schriftelijke verklaring dat dezelfde aanvraag niet is ingediend bij een andere aangemelde instantie.
Het kwaliteitssysteem waarborgt dat de producten met digitale elementen voldoen aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I en dat de door de fabrikant ingestelde procedures inzake de respons op kwetsbaarheden voldoen aan de cyberbeveiligingsvereisten van deel II van bijlage I.
Alle door de fabrikant vastgestelde elementen, vereisten en bepalingen worden systematisch en geordend gedocumenteerd in de vorm van schriftelijk vastgelegde beleidsmaatregelen, procedures en instructies. Aan de hand van die documentatie van het kwaliteitssysteem moeten de kwaliteitsprogramma’s, -plannen, -handboeken en -dossiers eenduidig kunnen worden geïnterpreteerd.
Zij bevat met name een behoorlijke beschrijving van:
de kwaliteitsdoelstellingen en het organisatieschema, de verantwoordelijkheden en bevoegdheden van het management met betrekking tot ontwerp, ontwikkeling, productkwaliteit en respons op kwetsbaarheden;
de technische ontwerp- en ontwikkelingsspecificaties, met inbegrip van normen, die zullen worden toegepast en, indien de relevante geharmoniseerde normen of technische specificaties niet volledig zullen worden toegepast, de middelen die zullen worden gebruikt om ervoor te zorgen dat aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I die op de producten met digitale elementen van toepassing zijn, wordt voldaan;
de procedurele specificaties, met inbegrip van normen, die zullen worden toegepast en, indien de relevante geharmoniseerde normen of technische specificaties niet volledig zullen worden toegepast, de middelen die zullen worden gebruikt om ervoor te zorgen dat aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I die op de fabrikant van toepassing zijn, wordt voldaan;
de controle op het ontwerp en de ontwikkeling, alsook verificatietechnieken, processen en systematische maatregelen voor ontwerp en ontwikkeling die zullen worden gebruikt bij het ontwerpen en ontwikkelen van de producten met digitale elementen in de betrokken productcategorie;
de bijbehorende productie-, kwaliteitscontrole- en kwaliteitsborgingstechnieken, -processen en systematische maatregelen die zullen worden gebruikt;
de onderzoeken en tests die voor, tijdens en na de productie zullen worden verricht, en de frequentie daarvan;
de kwaliteitsdossiers, zoals inspectieverslagen, test- en kalibratiegegevens en rapporten betreffende de kwalificaties van het betrokken personeel;
de middelen om het bereiken van de vereiste ontwerp- en productkwaliteit en de doeltreffende werking van het kwaliteitssysteem te monitoren.
De aangemelde instantie beoordeelt het kwaliteitssysteem om te controleren of het aan de in punt 3.2 bedoelde vereisten voldoet.
Zij veronderstelt dat aan die vereisten wordt voldaan voor elementen van het kwaliteitssysteem die voldoen aan de desbetreffende specificaties van de nationale norm ter uitvoering van de desbetreffende geharmoniseerde norm of technische specificatie.
Het auditteam heeft ervaring met kwaliteitsmanagementsystemen. Bovendien heeft ten minste één lid van het team ervaring met beoordelingen in het betrokken productgebied en de betrokken producttechnologie en is op de hoogte van de toepasselijke vereisten van deze verordening. De audit omvat een beoordelingsbezoek aan de bedrijfsruimten van de fabrikant, indien dergelijke bedrijfsruimten bestaan. Het auditteam evalueert de in punt 3.1, b), bedoelde technische documentatie om te controleren of de fabrikant zich bewust is van de toepasselijke vereisten van deze verordening en in staat is het vereiste onderzoek te verrichten om te waarborgen dat het product met digitale elementen aan die vereisten voldoet.
De fabrikant of de gemachtigde vertegenwoordiger van de fabrikant wordt van de beslissing in kennis gesteld.
In die kennisgeving moeten de conclusies van de audit worden opgenomen, evenals de met redenen omklede beoordelingsbeslissing.
De fabrikant verbindt zich ertoe de verplichtingen die voortvloeien uit het goedgekeurde kwaliteitssysteem na te komen en ervoor te zorgen dat het systeem passend en doeltreffend blijft.
De fabrikant brengt de aangemelde instantie die het kwaliteitssysteem heeft goedgekeurd op de hoogte van elke voorgenomen wijziging van het kwaliteitssysteem.
De aangemelde instantie evalueert de voorgestelde wijzigingen en beslist of het gewijzigde kwaliteitssysteem blijft voldoen aan de in punt 3.2 bedoelde vereisten dan wel of een nieuwe beoordeling noodzakelijk is.
Zij stelt de fabrikant van haar besluit in kennis. In die kennisgeving moeten de conclusies van het onderzoek worden opgenomen, evenals de met redenen omklede beoordelingsbeslissing.
4. Toezicht onder de verantwoordelijkheid van de aangemelde instantie
Het toezicht heeft tot doel te controleren of de fabrikant naar behoren voldoet aan de verplichtingen die voortvloeien uit het goedgekeurde kwaliteitssysteem.
De fabrikant verleent de aangemelde instantie voor beoordelingsdoeleinden toegang tot de ontwerp-, ontwikkelings-, productie-, inspectie-, test- en opslaglocaties en verstrekt haar alle nodige informatie, met name:
de documentatie over het kwaliteitssysteem;
de kwaliteitsdossiers als bedoeld in het deel van het kwaliteitssysteem dat betrekking heeft op het ontwerp, zoals resultaten van analyses, berekeningen en tests;
de kwaliteitsdossiers als bedoeld in het deel van het kwaliteitssysteem dat betrekking heeft op de vervaardiging, zoals inspectieverslagen, test- en kalibratiegegevens en rapporten betreffende de kwalificaties van het betrokken personeel.
De aangemelde instantie verricht periodieke audits om te controleren of de fabrikant het kwaliteitssysteem onderhoudt en toepast en verstrekt de fabrikant een auditverslag.
5. Conformiteitsmarkering en conformiteitsverklaring
De fabrikant brengt de CE-markering en, onder de verantwoordelijkheid van de in punt 3.1 bedoelde aangemelde instantie, het identificatienummer van die instantie aan op elk afzonderlijk product met digitale elementen dat aan de vereisten van deel I van bijlage I voldoet.
De fabrikant stelt voor elk productmodel een schriftelijke conformiteitsverklaring op en houdt die verklaring tot tien jaar na het in de handel brengen van het product met digitale elementen of gedurende de ondersteuningsperiode, indien die langer is, ter beschikking van de nationale autoriteiten. In de conformiteitsverklaring wordt het productmodel geïdentificeerd waarvoor de verklaring is opgesteld.
Een kopie van de conformiteitsverklaring wordt op verzoek aan de relevante autoriteiten verstrekt.
6. De fabrikant houdt gedurende een periode van ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode, indien die langer is, het volgende ter beschikking van de nationale autoriteiten:
de in punt 3.1 bedoelde technische documentatie;
de in punt 3.1 bedoelde documentatie over het kwaliteitssysteem;
de in punt 3.5 bedoelde wijzigingen zoals die zijn goedgekeurd;
de in de punten 3.5 en 4.3 bedoelde beslissingen en verslagen van de aangemelde instantie.
7. Elke aangemelde instantie brengt haar aanmeldende autoriteiten op de hoogte van de door haar verstrekte of ingetrokken goedkeuringen van kwaliteitssystemen en verstrekt haar aanmeldende autoriteiten op gezette tijden of op verzoek een lijst van geweigerde, geschorste of anderszins beperkte goedkeuringen voor kwaliteitssystemen.
Elke aangemelde instantie brengt de andere aangemelde instanties op de hoogte van de door haar geweigerde, geschorste of ingetrokken goedkeuringen voor kwaliteitssystemen alsook, op verzoek, van de door haar verleende goedkeuringen voor kwaliteitssystemen.
8. Gemachtigde vertegenwoordiger
De in de punten 3.1, 3.5, 5 en 6 vervatte verplichtingen van de fabrikant kunnen namens en onder de verantwoordelijkheid van de fabrikant worden vervuld door de gemachtigde vertegenwoordiger van de fabrikant, op voorwaarde dat de relevante verplichtingen in het mandaat gespecificeerd zijn.
Met betrekking tot deze verordening werd een verklaring afgelegd; die verklaring kan geraadpleegd worden in PB C, 2024/6786, 20.11.2024 en via de volgende link: ELI: http://data.europa.eu/eli/C/2024/6786/oj.
