Artículo 8 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

1. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 61 por los que se complete el presente Reglamento a fin de determinar qué productos con elementos digitales cuya funcionalidad básica es la de una categoría de productos establecida en el anexo IV del presente Reglamento deben estar obligados a obtener un certificado europeo de ciberseguridad con un nivel de garantía al menos «sustancial» en el marco de un esquema europeo de certificación de la ciberseguridad adoptado en virtud del Reglamento (UE) 2019/881 para demostrar su conformidad con los requisitos esenciales de ciberseguridad establecidos en el anexo I del presente Reglamento o partes de ellos, siempre que se haya adoptado un esquema europeo de certificación de la ciberseguridad con arreglo al Reglamento (UE) 2019/881 aplicable a esas categorías de productos con elementos digitales y que dicho esquema esté a disposición de los fabricantes. Dichos actos delegados especificarán el nivel de garantía requerido, que será proporcional al nivel de riesgo de ciberseguridad asociado a los productos con elementos digitales y tendrá en cuenta su finalidad prevista, incluida la dependencia crítica respecto de los productos por parte de las entidades esenciales a que se refiere el artículo 3, apartado 1, de la Directiva (UE) 2022/2555.

Antes de adoptar dichos actos delegados, la Comisión llevará a cabo una evaluación de la posible repercusión de las medidas previstas en el mercado y consultará a las partes interesadas pertinentes, incluido el Grupo Europeo de Certificación de la Ciberseguridad establecido en virtud del Reglamento (UE) 2019/881. La evaluación tendrá en cuenta la preparación y el nivel de capacidad de los Estados miembros para la aplicación del correspondiente esquema europeo de certificación de la ciberseguridad. Cuando no se hayan adoptado los actos delegados a que se refiere el párrafo primero del presente apartado, los productos con elementos digitales cuya funcionalidad básica sea la de una categoría de productos establecida en el anexo IV se someterán a los procedimientos de evaluación de la conformidad a que se refiere el artículo 32, apartado 3.

Los actos delegados a que se refiere el párrafo primero establecerán un período transitorio mínimo de seis meses, a menos que se justifique un período transitorio más breve por razones imperiosas de urgencia.

2. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 61 a fin de modificar el anexo IV añadiendo o suprimiendo categorías de productos críticos con elementos digitales. Al determinar dichas categorías de productos críticos con elementos digitales y el nivel de garantía exigido de conformidad con el apartado 1 del presente artículo, la Comisión tendrá en cuenta los criterios a que se refiere el artículo 7, apartado 2, y se asegurará de que las categorías de productos con elementos digitales cumplen al menos uno de los criterios siguientes:

a) las entidades esenciales a que se refiere el artículo 3 de la Directiva (UE) 2022/2555 presentan una dependencia crítica de la categoría de productos con elementos digitales;

b) los incidentes y las vulnerabilidades aprovechadas que afecten a la categoría de productos con elementos digitales pueden dar lugar a perturbaciones graves de las cadenas de suministro críticas en todo el mercado interior.

Antes de adoptar dichos actos delegados, la Comisión llevará a cabo una evaluación del tipo a que se refiere el apartado 1.

Los actos delegados a que se refiere el párrafo primero establecerán un período transitorio mínimo de seis meses, a menos que se justifique un período transitorio más breve por razones imperiosas de urgencia.