Članak 73 — Članak 73 — Prijavljivanje ozbiljnih incidenata

Prijavljivanje ozbiljnih incidenata

Prijavljivanje ozbiljnih incidenata

1.   Dobavljači visokorizičnih UI sustava stavljenih na tržište Unije prijavljuju svaki ozbiljan incident tijelima za nadzor tržišta država članica u kojima je došlo do tog incidenta.

2.   Prijavljivanje iz stavka 1. provodi se odmah nakon što je dobavljač utvrdio uzročno-posljedičnu vezu između UI sustava i ozbiljnog incidenta ili razumnu vjerojatnost takve veze, a u svakom slučaju najkasnije 15 dana nakon što je dobavljač ili, ako je primjenjivo, subjekt koji uvodi sustav, saznao za ozbiljni incident.

Razdobljem za prijavljivanje iz prvog podstavka uzima se u obzir težina ozbiljnog incidenta.

3.   Neovisno o stavku 2. ovog članka, u slučaju raširene povrede ili ozbiljnog incidenta kako je definiran u članku 3. točki 49. podtočki (b), prijavljivanje iz stavka 1. ovog članka provodi se odmah, a najkasnije dva dana nakon što dobavljač ili, ako je primjenjivo, subjekt koji uvodi sustav, sazna za taj incident.

4.   Neovisno o stavku 2., u slučaju smrti osobe prijavljivanje se provodi odmah nakon što je dobavljač ili subjekt koji uvodi sustav utvrdio uzročno-posljedičnu vezu između visokorizičnog UI sustava i ozbiljnog incidenta ili čim je posumnjao u postojanje takve veze, a najkasnije deset dana nakon datuma na koji je dobavljač ili, ako je primjenjivo, subjekt koji uvodi sustav, saznao za ozbiljni incident.

5.   Ako je to potrebno kako bi se osiguralo pravodobno prijavljivanje, dobavljač ili, ako je primjenjivo, subjekt koji uvodi sustav može podnijeti početnu prijavu koja je nepotpuna, nakon koje slijedi potpuna prijava.

6.   Nakon prijavljivanja ozbiljnog incidenta u skladu sa stavkom 1. dobavljač bez odgode provodi potrebne istrage u vezi s ozbiljnim incidentom i dotičnim UI sustavom. To uključuje procjenu rizika incidenta i korektivne mjere.

Dobavljač surađuje s nadležnim tijelima i, prema potrebi, s dotičnim prijavljenim tijelom tijekom istraga iz prvog podstavka i ne provodi istragu koja uključuje izmjenu dotičnog UI sustava na način koji bi mogao utjecati na naknadnu evaluaciju uzroka incidenta prije nego što o takvom djelovanju obavijesti nadležna tijela.

7.   Nakon primitka obavijesti o ozbiljnom incidentu iz članka 3. točke 49. podtočke (c) relevantno tijelo za nadzor tržišta o tome obavješćuje nacionalna tijela javne vlasti ili javna tijela iz članka 77. stavka 1. Komisija izrađuje namjenske smjernice za lakše ispunjavanje obveza utvrđenih u stavku 1. ovog članka. Te se smjernice izdaju do 2. kolovoza 2025. i redovito se ocjenjuju.

8.   Tijelo za nadzor tržišta u roku od sedam dana od datuma na koji je primilo prijavu iz stavka 1. ovog članka poduzima odgovarajuće mjere, kako je predviđeno u članku 19. Uredbe (EU) 2019/1020, i slijedi postupke prijavljivanja predviđene u toj uredbi.

9.   Za visokorizične UI sustave iz Priloga III. koje na tržište ili u upotrebu stavljaju dobavljači na koje se primjenjuju zakonodavni instrumenti Unije kojima se utvrđuju obveze izvješćivanja jednakovrijedne onima koje su utvrđene u ovoj Uredbi, prijavljivanje ozbiljnih incidenata ograničava se na ozbiljne incidente iz članka 3. točke 49. podtočke (c).

10.   Za visokorizične UI sustave koji su sigurnosne komponente uređaja ili su sami uređaji, a obuhvaćeni su uredbama (EU) 2017/745 i (EU) 2017/746, prijava ozbiljnih incidenata ograničava se na ozbiljne incidente iz članka 3. točke 49. podtočke (c) ove Uredbe i upućuje se nacionalnom nadležnom tijelu koje su u tu svrhu odabrale države članice u kojima je došlo do incidenta.

11.   Nacionalna nadležna tijela odmah prijavljuju Komisiji svaki ozbiljan incident u skladu s člankom 20. Uredbe (EU) 2019/1020, bez obzira na to jesu li u vezi s njim poduzela mjere.

ODJELJAK 3.

Izvršavanje