Artículo 32 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

1. El fabricante llevará a cabo una evaluación de la conformidad del producto con elementos digitales y de los procesos establecidos por el fabricante para determinar si se cumplen los requisitos esenciales de ciberseguridad establecidos en el anexo I. El fabricante demostrará la conformidad con los requisitos esenciales de ciberseguridad mediante cualquiera de los procedimientos siguientes:

a) el procedimiento de control interno (basado en el módulo A) que se establece en el anexo VIII;

b) el procedimiento de examen de tipo UE (basado en el módulo B) que se establece en el anexo VIII, seguido de la conformidad de tipo UE basada en el control interno de la producción (basada en el módulo C) que se establece en el anexo VIII;

c) la evaluación de la conformidad basada en el aseguramiento de calidad total (basada en el módulo H) que se establece en el anexo VIII, o

d) cuando exista y sea aplicable, un esquema europeo de certificación de la ciberseguridad, en virtud del artículo 27, apartado 9.

2. Cuando, al evaluar la conformidad del producto importante con elementos digitales de la clase I según lo establecido en el anexo III y de los procesos establecidos por su fabricante con los requisitos esenciales de ciberseguridad establecidos en el anexo I, el fabricante no haya aplicado o solo haya aplicado parcialmente las normas armonizadas, las especificaciones comunes o los esquemas europeos de certificación de la ciberseguridad a un nivel de garantía como mínimo «sustancial» a que se refiere el artículo 27, o bien cuando no existan tales normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad, la conformidad del producto con elementos digitales de que se trate y de los procesos establecidos por el fabricante respecto de dichos requisitos esenciales de ciberseguridad se evaluará con arreglo a uno de los procedimientos siguientes:

a) procedimiento de examen de tipo UE (basado en el módulo B) que se establece en el anexo VIII, seguido de la conformidad de tipo UE basada en el control interno de la producción (basada en el módulo C) que se establece en el anexo VIII, o

b) evaluación de la conformidad basada en el aseguramiento de calidad total (basada en el módulo H) que se establece en el anexo VIII.

3. Cuando el producto sea un producto importante con elementos digitales perteneciente a la clase II según lo establecido en el anexo III, el fabricante demostrará la conformidad con los requisitos esenciales de ciberseguridad establecidos en el anexo I mediante cualquiera de los procedimientos siguientes:

a) procedimiento de examen de tipo UE (basado en el módulo B) que se establece en el anexo VIII, seguido de la conformidad de tipo UE basada en el control interno de la producción (basada en el módulo C) que se establece en el anexo VIII;

b) evaluación de la conformidad basada en el aseguramiento de calidad total (basada en el módulo H) que se establece en el anexo VIII, o

c) cuando esté disponible y sea aplicable, un esquema europeo de certificación de la ciberseguridad con arreglo al artículo 27, apartado 9, del presente Reglamento a un nivel de garantía como mínimo «sustancial» con arreglo al Reglamento (UE) 2019/881.

4. Los productos críticos con elementos digitales que figuran en el anexo IV demostrarán la conformidad con los requisitos esenciales de ciberseguridad establecidos en el anexo I mediante uno de los procedimientos siguientes:

a) un esquema europeo de certificación de la ciberseguridad de conformidad con el artículo 8, apartado 1, o

b) cuando no se cumplan las condiciones del artículo 8, apartado 1, cualquiera de los procedimientos a que se refiere el apartado 3 del presente artículo.

5. Los fabricantes de productos con elementos digitales que se consideren programas informáticos libres y de código abierto que entren en las categorías establecidas en el anexo III demostrarán la conformidad con los requisitos esenciales de ciberseguridad establecidos en el anexo I utilizando uno de los procedimientos a que se refiere el apartado 1 del presente artículo, siempre que la documentación técnica a que se refiere el artículo 31 se ponga a disposición del público en el momento de la introducción en el mercado de esos productos.

5 bis. Los fabricantes de productos con elementos digitales considerados sistemas HCE con arreglo al Reglamento (UE) 2025/327 del Parlamento Europeo y del Consejo (*1) demostrarán la conformidad con los requisitos esenciales establecidos en el anexo I del presente Reglamento mediante el procedimiento de evaluación de la conformidad pertinente previsto en el capítulo III del Reglamento (UE) 2025/327.

(*1) Reglamento (UE) 2025/327 del Parlamento Europeo y del Consejo, de 11 de febrero de 2025, relativo al Espacio Europeo de Datos de Salud, y por el que se modifican la Directiva 2011/24/UE y el Reglamento (UE) 2024/2847 (DO L, 2025/327, 5.3.2025, ELI: http://data.europa.eu/eli/reg/2025/327/oj).

6. Se tendrán en cuenta los intereses y necesidades específicos de las microempresas y las pequeñas y medianas empresas, incluidas las empresas emergentes, a la hora de fijar las tarifas que se aplican a los procedimientos de evaluación de la conformidad y se reducirán dichas tarifas de forma proporcionada a dichos intereses y necesidades específicos.