CRA regulation

Bien que le droit de l’Union en vigueur s’applique à certains produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, il n’existe pas de cadre réglementaire horizontal de l’Union établissant des exigences complètes en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour tous les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Les différents actes et initiatives adoptés à ce jour aux niveaux européen et national n’abordent qu’en partie les problèmes et risques recensés concernant la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ce qui a pour effet de créer une mosaïque législative au sein du marché intérieur et d’accroître l’insécurité juridique tant pour les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; que pour les utilisateurs de ces produits et d’alourdir inutilement la charge imposée aux entreprises et aux organisations pour se conformer à un certain nombre d’exigences et d’obligations pour des types de produits similaires. La cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de ces produits revêt une dimension transfrontière particulièrement forte, étant donné que les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; fabriqués dans un État membre ou un pays tiers sont souvent utilisés par des organisations et des consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale; dans l’ensemble du marché intérieur. Il est donc nécessaire de réglementer cette question au niveau de l’Union afin d’assurer un cadre réglementaire harmonisé et de garantir la sécurité juridique aux utilisateurs, aux organisations et aux entreprises, dont les microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et les petites et moyennes entreprises telles que définies à l’annexe de la recommandation 2003/361/CE de la Commission(⁵)Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).. Le paysage réglementaire de l’Union devrait être harmonisé en introduisant des exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; horizontales pour les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Il convient en outre de garantir, dans l’ensemble de l’Union, la sécurité juridique des opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; et des utilisateurs, ainsi qu’une meilleure harmonisation du marché intérieur et la proportionnalité pour les microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et les petites et moyennes entreprises, en créant des conditions plus viables pour les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; désireux de pénétrer sur le marché de l’Union.

En ce qui concerne les microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et les petites et moyennes entreprises, les dispositions de l’annexe de la recommandation 2003/361/CE devraient être appliquées dans leur intégralité pour déterminer la catégorie dont relève une entreprise. Par conséquent, lors du calcul des effectifs et des seuils financiers définissant les catégories d’entreprises, les dispositions de l’article 6 de l’annexe de la recommandation 2003/361/CE relatives à la détermination des données de l’entreprise eu égard à certains types d’entreprises, telles que les entreprises partenaires ou liées, devraient également s’appliquer.

Il convient que la Commission fournisse des orientations afin d’aider les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;, en particulier les microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et les petites et moyennes entreprises, à appliquer le présent règlement. Ces orientations devraient couvrir, entre autres, le champ d’application du présent règlement, en particulier la notion de «traitement de données à distance» et ses implications pour les développeurs de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable;, l’application des critères employés pour définir la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; pour les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, l’interaction entre le présent règlement et d’autres actes législatifs de l’Union ainsi que la notion de modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;.

Au niveau de l’Union, divers documents programmatiques et politiques, tels que la communication conjointe de la Commission et du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité, datée du 16 décembre 2020 et intitulée «La stratégie de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de l’Union pour la décennie numérique», les conclusions du Conseil du 2 décembre 2020 sur la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des dispositifs connectés et du 23 mai 2022 sur la mise en place d’une posture cyber de l’Union européenne ou encore la résolution du Parlement européen du 10 juin 2021 sur la stratégie de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de l’Union pour la décennie numérique(⁶)JO C 67 du 8.2.2022, p. 81., appelaient à l’adoption par l’Union d’exigences spécifiques en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour les produits numériques ou connectés, étant donné que plusieurs pays tiers introduisent des mesures pour réglementer cette question de leur propre initiative. Dans le rapport final de la conférence sur l’avenir de l’Europe, les citoyens ont préconisé de «renforcer le rôle de l’Union dans la lutte contre les menaces de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;». Afin de permettre à l’Union de jouer un rôle de premier plan sur la scène internationale dans le domaine de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, il importe d’établir un cadre réglementaire ambitieux.

Pour accroître le niveau global de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de tous les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; mis sur le marché intérieur, il est nécessaire d’introduire des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, axées sur l’objectif et technologiquement neutres pour ces produits, qui s’appliquent horizontalement.

Dans certaines conditions, tous les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; intégrés ou connectés à un système d’information électronique: un système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques; plus vaste peuvent servir de vecteur d’attaque pour des acteurs malveillants. En conséquence, même le matériel et les logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; considérés comme moins critiques peuvent faciliter une première compromission d’un appareil ou d’un réseau, permettant à des acteurs malveillants d’obtenir un accès privilégié à un système ou de se déplacer latéralement entre différents systèmes. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient donc veiller à ce que tous les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; soient conçus et développés conformément aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; prévues par le présent règlement. Cette obligation concerne à la fois les produits qui peuvent être connectés physiquement via des interfaces matérielles et les produits qui sont connectés logiquement, notamment par des connecteurs logiciels: la partie d’un système d’information électronique qui consiste en un code informatique;, tuyauteries, fichiers, interfaces de programmation d’application ou tout autre type d’interface logicielle. Étant donné que les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; peuvent se propager via divers produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; avant d’atteindre une cible donnée, par exemple en enchaînant plusieurs exploits de vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient également assurer la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ne sont connectés qu’indirectement à d’autres dispositifs ou réseaux.

L’établissement d’exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; aux fins de leur mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union; vise à renforcer la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de ces produits, tant pour les consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale; que pour les entreprises. Ces exigences garantiront, en outre, que la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; est intégrée à tous les stades des chaînes d’approvisionnement, rendant ainsi plus sûrs les produits finaux comportant des éléments numériques et leurs composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique;. Parmi ces exigences figurent également des exigences de mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union; applicables aux produits de consommation destinés aux consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale; vulnérables, tels que les jouets ou les systèmes de surveillance pour bébé. Les produits de consommation comportant des éléments numériques qui sont catégorisés, en vertu du présent règlement, comme des produits importants comportant des éléments numériques présentent un risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; plus élevé car leur fonction comporte un risque important d’effets néfastes du fait de leur intensité et de leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs; aussi ces produits devraient-ils faire l’objet d’une procédure plus stricte d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;. Cela s’applique aux produits tels que les produits domestiques intelligents comportant des fonctionnalités de sécurité, y compris les serrures intelligentes, les systèmes de surveillances pour bébés et les systèmes d’alarme, les jouets connectés ou les dispositifs portables personnels de santé. En outre, les procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; plus strictes auxquelles sont soumis les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui sont catégorisés, en vertu du présent règlement, comme produits critiques ou importants comportant des éléments numériques contribueront à prévenir les répercussions négatives que l’exploitation de vulnérabilités pourrait avoir sur les consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;.

Le présent règlement vise à garantir un niveau élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et de leurs solutions intégrées de traitement de données à distance. Ces solutions de traitement de données à distance devraient être définies comme le traitement de données à distance pour lequel le logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; est conçu et développé par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné ou au nom de celui-ci, et dont l’absence empêcherait le produit d’exécuter l’une de ses fonctions. Grâce à cette approche, les produits concernés sont sécurisés dans leur intégralité et de façon adéquate par leur fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, que les données soient traitées ou stockées localement, sur l’appareil de l’utilisateur, ou à distance, par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;. Cependant, le traitement ou le stockage des données à distance ne relèvent du champ d’application du présent règlement que s’ils sont nécessaires à l’exécution des fonctions d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Le traitement ou le stockage à distance comprend les cas où une application mobile a besoin d’accéder à une interface de programmation d’application ou à une base de données fournie par l’intermédiaire d’un service développé par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;. Dans cette situation, le service constitue une solution de traitement de données à distance et relève donc du champ d’application du présent règlement. Par conséquent, les exigences relatives aux solutions de traitement de données à distance qui relèvent du champ d’application du présent règlement ne comportent pas de mesures techniques, opérationnelles ou organisationnelles visant à gérer les risques qui pèsent sur la sécurité des réseaux et systèmes d’information d’un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; dans leur ensemble.

Les solutions en nuage ne constituent des solutions de traitement de données à distance au sens du présent règlement que si elles répondent à la définition énoncée dans ce dernier. Par exemple, les fonctionnalités en nuage fournies par un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’appareils domestiques intelligents qui permettent aux utilisateurs de contrôler l’appareil à distance relèvent du champ d’application du présent règlement. À l’inverse, les sites internet qui ne supportent pas la fonctionnalité d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ou les services en nuage qui ne sont pas conçus et développés sous la responsabilité du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ne relèvent pas du champ d’application du présent règlement. La directive (UE) 2022/2555 s’applique aux services d’informatique en nuage et aux modèles de services en nuage, tels que les logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; service (SaaS), les plates-formes services (PaaS) et les infrastructures services (IaaS). Les entités qui fournissent des services d’informatique en nuage dans l’Union et qui répondent à la définition des moyennes entreprises énoncée à l’article 2 de l’annexe à la recommandation 2003/361/CE, ou qui dépassent les plafonds applicables aux moyennes entreprises prévus au paragraphe 1 dudit article, relèvent du champ d’application de cette directive.

Conformément à l’objectif du présent règlement consistant à éliminer les obstacles à la libre circulation des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, les États membres ne devraient pas empêcher, pour les aspects relevant du présent règlement, la mise à disposition sur le marché de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; conformes au présent règlement. Par conséquent, en ce qui concerne les questions harmonisées par le présent règlement, les États membres ne peuvent pas imposer d’exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; supplémentaires pour la mise à disposition sur le marché de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Cependant, toute entité, qu’elle soit publique ou privée, peut imposer des exigences, en plus de celles prévues par le présent règlement, pour l’achat de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ou leur utilisation à des fins qui lui sont propres, et peut donc choisir d’utiliser des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; répondant à des exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; plus strictes ou plus spécifiques que celles qui s’appliquent à la mise à disposition sur le marché en vertu du présent règlement. Sans préjudice des directives 2014/24/UE(⁷)Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65). et 2014/25/UE(⁸)Directive 2014/25/UE du Parlement européen et du Conseil du 26 février 2014 relative à la passation de marchés par des entités opérant dans les secteurs de l’eau, de l’énergie, des transports et des services postaux et abrogeant la directive 2004/17/CE (JO L 94 du 28.3.2014, p. 243). du Parlement européen et du Conseil, les États membres devraient veiller, lorsqu’ils achètent des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui doivent respecter les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; prévues par le présent règlement, y compris celles relatives à la gestion des vulnérabilités, à ce qu’il soit tenu compte de ces exigences, ainsi que de la capacité du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; à appliquer des mesures de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et à gérer les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; de façon efficace, lors des procédures de passation de marchés. En outre, la directive (UE) 2022/2555 établit des mesures de gestion des risques en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; applicables aux entités essentielles et importantes visées à l’article 3 de ladite directive. Ces mesures pourraient entraîner des mesures de sécurité de la chaîne d’approvisionnement nécessitant l’utilisation, par ces entités, de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent à des exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; plus strictes que celles prévues par le présent règlement. Conformément à la directive (UE) 2022/2555 et dans le respect de son principe d’harmonisation minimale, les États membres peuvent donc imposer des exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; supplémentaires applicables à l’utilisation de produits des technologies de l’information et de la communication (TIC) par des entités essentielles ou importantes au titre de ladite directive afin d’assurer un niveau plus élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, à condition que ces exigences soient compatibles avec les obligations des États membres prévues par le droit de l’Union. Les facteurs non techniques liés aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de ces derniers peuvent compter parmi les questions qui ne sont pas régies par le présent règlement. Les États membres peuvent donc adopter des mesures nationales, y compris des restrictions applicables aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ou aux fournisseurs de ces produits, qui tiennent compte de facteurs non techniques. Les mesures nationales liées à ces facteurs sont nécessaires pour respecter le droit de l’Union.

Le présent règlement devrait être sans préjudice de la responsabilité des États membres de préserver la sécurité nationale, conformément au droit de l’Union. Les États membres devraient être en mesure de soumettre à des mesures supplémentaires les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; achetés ou utilisés à des fins de sécurité nationale ou de défense, à condition que ces mesures soient conformes aux obligations des États membres prévues par le droit de l’Union.

Le présent règlement ne s’applique aux opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; qu’en ce qui concerne les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; mis à disposition sur le marché, donc fournis pour être distribués ou utilisés sur le marché de l’Union dans le cadre d’une activité commerciale. La fourniture dans le cadre d’une activité commerciale peut être caractérisée non seulement par le prix facturé pour un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, mais également par le prix des services d’assistance technique lorsqu’il ne sert pas uniquement à récupérer les coûts réels, par une intention de monétisation, par exemple par la fourniture d’une plate-forme logicielle par l’intermédiaire de laquelle le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; monétise d’autres services, par l’exigence, comme condition à l’utilisation, du traitement des données à caractère personnel pour des raisons autres qu’aux seules fins d’améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel: la partie d’un système d’information électronique qui consiste en un code informatique;, ou par l’acceptation de dons supérieurs aux coûts associés à la conception, au développement et à la fourniture d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Le fait d’accepter des dons sans intention lucrative ne devrait pas être considéré comme constitutif d’une activité commerciale.

Aux fins du présent règlement, les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; fournis dans le cadre d’une prestation de service pour laquelle une rétribution est perçue à la seule fin de récupérer les coûts réels directement liés au fonctionnement de ce service, comme ce peut être le cas de certains produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; fournis par des entités de l’administration publique, ne devraient pas être considérés pour cette seule raison comme constituant une activité commerciale. En outre, les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui sont développés ou modifiés par une entité de l’administration publique exclusivement pour son propre usage ne devraient pas être considérés comme mis à disposition sur le marché au sens du présent règlement.

Les logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; et données qui sont partagés de manière ouverte, auxquels les utilisateurs peuvent librement accéder et qu’ils peuvent librement utiliser, modifier et redistribuer, dans une version modifiée ou non, peuvent contribuer à la recherche et à l’innovation sur le marché. Pour favoriser le développement et le déploiement de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable;, en particulier par les microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et les petites et moyennes entreprises, y compris les jeunes pousses, par les personnes physiques, par les organisations à but non lucratif et par les instituts de recherche universitaires, l’application du présent règlement aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale devrait tenir compte de la nature des différents modèles de développement de logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; distribués et développés sous licences logicielles libres et ouvertes.

On entend par «logiciel libre et ouvert: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable;» un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; dont le code source est partagé de manière ouverte et dont la licence prévoit tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable. Les logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; sont développés, entretenus et distribués de façon ouverte, y compris par l’intermédiaire de plates-formes en ligne. En ce qui concerne les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; auxquels s’applique le présent règlement, seuls les logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; mis à disposition sur le marché, donc fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale, devraient relever du champ d’application du présent règlement. Les seules circonstances dans lesquelles le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; a été développé ou la manière dont le développement a été financé ne devraient donc pas être prises en considération au moment de déterminer si l’activité en question est de nature commerciale ou non. Plus précisément, aux fins du présent règlement et en ce qui concerne les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; auxquels il s’applique, afin de garantir la distinction claire entre les phases de développement et de fourniture, la fourniture de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; qui ne sont pas monétisés par leur fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; ne devrait pas être considérée comme une activité commerciale. En outre, la fourniture de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable;, destinés à être intégrés par d’autres fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; à leurs propres produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, ne devrait être considérée comme une mise à disposition sur le marché que si le composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; est monétisé par son fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’origine. Par exemple, le simple fait qu’un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; verse un soutien financier à un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; libre comportant des éléments numériques ou qu’il contribue au développement d’un tel produit ne devrait pas en soi suffire à déterminer que cette activité est de nature commerciale. En outre, les mises à jour régulières de ce logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; ne devraient pas permettre à elles seules de conclure qu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est fourni dans le cadre d’une activité commerciale. Enfin, aux fins du présent règlement, le développement par des organisations à but non lucratif de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; ne devrait pas être considéré comme une activité commerciale, pour autant que l’organisation concernée soit constituée de telle façon que tous les bénéfices sont utilisés pour atteindre des objectifs non lucratifs. Le présent règlement ne s’applique pas aux personnes physiques ou morales qui contribuent, sous forme de code source, à des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; ne relevant pas de leur responsabilité.

Étant donné l’importance que revêtent, en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, de nombreux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; qui sont publiés mais ne sont pas mis à disposition sur le marché au sens du présent règlement, les personnes morales qui apportent un soutien prolongé au développement de tels produits destinés à des activités commerciales et qui jouent un rôle de premier plan en veillant à la viabilité de ces produits (intendants de logiciels ouverts: une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits;) devraient être soumises à un régime réglementaire allégé et sur mesure. Figurent parmi les intendants de logiciels ouverts: une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits; certaines fondations et les entités qui développent et publient des logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; dans un cadre commercial, y compris les entités à but non lucratif. Le régime réglementaire devrait tenir compte de leur nature particulière et de leur compatibilité avec le type d’obligations qui leur incombent. Ce régime ne devrait concerner que les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; et dont la finalité est commerciale, par exemple ceux qui sont destinés à être intégrés à des services commerciaux ou à des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; monétisés. Aux fins de ce régime réglementaire, l’intention d’intégration à des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; monétisés couvre les cas où le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qui intègre un composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; dans ses propres produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; contribue régulièrement au développement de ce composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; ou apporte une assistance financière régulière afin d’assurer la pérennité d’un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique;. Le fait d’apporter un soutien prolongé au développement d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; comprend, sans s’y limiter, l’hébergement et la gestion de plates-formes collaboratives de développement de logiciels: la partie d’un système d’information électronique qui consiste en un code informatique;, l’hébergement de code source ou d’un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique;, l’administration ou la gestion de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; ainsi que le pilotage du développement de ces produits. Étant donné que le régime réglementaire allégé et sur mesure n’impose pas aux intendants de logiciels ouverts: une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits; les mêmes obligations que celles qui incombent aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; en vertu du présent règlement, les intendants de logiciels ouverts: une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits; ne devraient pas être autorisés à apposer le marquage CE: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition; aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont ils soutiennent le développement.

Le seul fait d’héberger des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sur des dépôts ouverts, y compris par l’intermédiaire de progiciels ou de plates-formes collaboratives, ne constitue pas en soi la mise à disposition sur le marché d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Les fournisseurs de ces services ne devraient être considérés comme des distributeurs: une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés; que s’ils mettent ces logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; à disposition sur le marché, donc s’ils les fournissent pour qu’ils soient distribués ou utilisés sur le marché de l’Union dans le cadre d’une activité commerciale.

Afin de soutenir et de faciliter l’application du devoir de diligence raisonnable par les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qui intègrent à leurs produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; des composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; qui ne sont pas soumis aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement, la Commission devrait être en mesure de mettre en place des programmes volontaires d’attestation de sécurité, soit par voie d’un acte délégué complétant le présent règlement, soit en demandant, en vertu de l’article 48 du règlement (UE) 2019/881, un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui tienne compte des spécificités des modèles de développement des logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable;. Les programmes d’attestation de sécurité devraient être conçus de sorte que non seulement les personnes physiques ou morales qui développent un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; répondant aux critères d’un logiciel libre et ouvert: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; ou qui participent à son développement, mais aussi des tiers, tels que les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qui intègrent ces produits à leurs propres produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, les utilisateurs ou les administrations publiques de l’Union ou des États membres, puissent être à l’initiative d’une attestation de sécurité ou la financer.

Au vu des objectifs en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; que fixe le présent règlement et afin d’améliorer l’appréciation de la situation qu’ont les États membres concernant la dépendance de l’Union à l’égard des composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; logiciels: la partie d’un système d’information électronique qui consiste en un code informatique;, en particulier les composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; potentiellement libres et ouverts, un groupe de coopération administrative (ADCO) spécifique, institué par le présent règlement, devrait pouvoir décider d’enclencher conjointement une évaluation des dépendances de l’Union. Il convient que les autorités de surveillance du marché puissent exiger des fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; appartenant aux catégories déterminées par l’ADCO qu’ils présentent la nomenclature des logiciels: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques; qu’ils ont établie en vertu du présent règlement. Afin de préserver la confidentialité des nomenclatures des logiciels: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques;, les autorités de surveillance du marché devraient transmettre à l’ADCO les informations pertinentes relatives aux dépendances de façon agrégée et anonymisée.

La bonne application du présent règlement dépendra également de la disponibilité des compétences appropriées en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Au niveau de l’Union, la pénurie de main-d’œuvre qualifiée en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’Union et la nécessité d’y remédier à titre de priorité, dans le secteur tant public que privé, ont été reconnues dans divers documents programmatiques et politiques, dont la communication de la Commission du 18 avril 2023 intitulée «Remédier à la pénurie de talents dans le secteur de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour renforcer la compétitivité, la croissance et la résilience de l’UE» et les conclusions du Conseil du 22 mai 2023 sur la politique de cyberdéfense de l’UE. Aux fins de la bonne application du présent règlement, les États membres devraient veiller à ce que les autorités de surveillance du marché et les organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; disposent des ressources appropriées afin d’employer le personnel nécessaire aux tâches qui leur incombent en vertu du présent règlement. Ces mesures devraient favoriser la mobilité des effectifs dans le domaine de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des parcours professionnels associés et contribuer à rendre la main-d’œuvre de ce domaine plus résiliente et inclusive, y compris pour ce qui est de l’équilibre entre les hommes et les femmes. Par conséquent, les États membres devraient prendre des mesures garantissant que les tâches susmentionnées sont menées à bien par des professionnels formés disposant des compétences nécessaires dans le domaine de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. De même, il convient que le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; veille à ce que son personnel dispose des compétences nécessaires pour respecter les obligations qui leur incombent en vertu du présent règlement. Les États membres et la Commission, conformément à leurs prérogatives et compétences ainsi qu’aux tâches particulières qui leur reviennent en vertu du présent règlement, devraient prendre des mesures visant à soutenir les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et en particulier les microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et les petites et moyennes entreprises, dont les jeunes pousses, y compris dans des domaines tels que le développement de compétences, aux fins du respect des obligations qui leur incombent en vertu du présent règlement. En outre, puisque la directive (UE) 2022/2555 exige d’eux qu’ils adoptent, dans le cadre de leurs stratégies nationales en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, des mesures de politique publique qui encouragent et développent la formation et les compétences dans le domaine de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, les États membres peuvent également envisager, lors de l’adoption de ces stratégies, de pourvoir aux besoins de compétences en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui découlent du présent règlement, y compris les besoins de renforcement des compétences et de reconversion professionnelle.

Un internet sécurisé est indispensable au fonctionnement des infrastructures critiques et à la société dans son ensemble. La directive (UE) 2022/2555 vise à garantir un niveau élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des services fournis par des entités essentielles et importantes visées à son article 3, y compris les fournisseurs d’infrastructures numériques qui soutiennent les fonctions essentielles de l’internet ouvert, assurent l’accès à l’internet et fournissent les services internet. Il est donc important que les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont les fournisseurs d’infrastructures numériques ont besoin pour assurer le fonctionnement de l’internet soient développés de manière sécurisée et qu’ils respectent les normes de sécurité de l’internet bien établies. Le présent règlement, qui s’applique à tous les matériels et logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; connectables, vise également à faciliter le respect, par les fournisseurs d’infrastructures numériques, des exigences de la chaîne d’approvisionnement en vertu de la directive (UE) 2022/2555, en veillant à ce que les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qu’ils utilisent pour la fourniture de leurs services soient développés de manière sécurisée et à ce qu’ils aient accès à des mises à jour de sécurité en temps utile pour ces produits.

Le règlement (UE) 2017/745 du Parlement européen et du Conseil(⁹)Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) n^o 178/2002 et le règlement (CE) n^o 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE (JO L 117 du 5.5.2017, p. 1). établit des règles relatives aux dispositifs médicaux et le règlement (UE) 2017/746 du Parlement européen et du Conseil(¹⁰)Règlement (UE) 2017/746 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux de diagnostic in vitro et abrogeant la directive 98/79/CE et la décision 2010/227/UE de la Commission (JO L 117 du 5.5.2017, p. 176). définit des règles relatives aux dispositifs médicaux de diagnostic in vitro. Ces règlements traitent des risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; et suivent des approches particulières qui sont également abordées dans le présent règlement. Plus précisément, les règlements (UE) 2017/745 et (UE) 2017/746 établissent des exigences essentielles pour les dispositifs médicaux qui fonctionnent au moyen d’un système électronique ou sont eux-mêmes des logiciels: la partie d’un système d’information électronique qui consiste en un code informatique;. Certains logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; non intégrés et l’approche du cycle de vie complet relèvent également du champ d’application de ces règlements. Ces exigences obligent les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; à développer et à fabriquer leurs produits en appliquant des principes de gestion des risques et en définissant des exigences concernant les mesures de sécurité informatique, ainsi que les procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; correspondantes. En outre, des orientations spécifiques sur la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des dispositifs médicaux sont en place depuis décembre 2019. Elles fournissent aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de dispositifs médicaux, notamment de dispositifs de diagnostic in vitro, des orientations quant à la manière de satisfaire à toutes les exigences essentielles pertinentes énoncées à l’annexe I de ces règlements en ce qui concerne la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; relevant de l’un ou l’autre de ces règlements ne devraient donc pas être soumis au présent règlement.

Les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui sont développés ou modifiés exclusivement à des fins de sécurité nationale ou de défense ou les produits spécifiquement conçus pour traiter des informations classifiées ne relèvent pas du champ d’application du présent règlement. Les États membres sont invités à veiller à ce que ces produits bénéficient d’un niveau de protection analogue, voire supérieur, à celui appliqué aux produits relevant du champ d’application du présent règlement.

Le règlement (UE) 2019/2144 du Parlement européen et du Conseil(¹¹)Règlement (UE) 2019/2144 du Parlement européen et du Conseil du 27 novembre 2019 relatif aux prescriptions applicables à la réception par type des véhicules à moteur et de leurs remorques, ainsi que des systèmes, composants et entités techniques distinctes destinés à ces véhicules, en ce qui concerne leur sécurité générale et la protection des occupants des véhicules et des usagers vulnérables de la route, modifiant le règlement (UE) 2018/858 du Parlement européen et du Conseil et abrogeant les règlements (CE) n^o 78/2009, (CE) n^o 79/2009 et (CE) n^o 661/2009 du Parlement européen et du Conseil et les règlements (CE) n^o 631/2009, (UE) n^o 406/2010, (UE) n^o 672/2010, (UE) n^o 1003/2010, (UE) n^o 1005/2010, (UE) n^o 1008/2010, (UE) n^o 1009/2010, (UE) n^o 19/2011, (UE) n^o 109/2011, (UE) n^o 458/2011, (UE) n^o 65/2012, (UE) n^o 130/2012, (UE) n^o 347/2012, (UE) n^o 351/2012, (UE) n^o 1230/2012 et (UE) 2015/166 de la Commission (JO L 325 du 16.12.2019, p. 1). établit des exigences pour la réception par type des véhicules, ainsi que de leurs systèmes et composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique;, et introduit certaines exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, notamment concernant le fonctionnement d’un système de gestion de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; certifié et les mises à jour logicielles. Il couvre entre autres les politiques et processus des organisations en matière de risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; liés à l’ensemble du cycle de vie des véhicules, des équipements et des services, conformément aux réglementations des Nations unies applicables en matière de spécifications techniques et de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, notamment le règlement ONU n^o 155 — Prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et de leurs systèmes de gestion de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;(¹²)JO L 82 du 9.3.2021, p. 30., et prévoit des procédures spécifiques d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;. Dans le domaine de l’aviation, l’objectif principal du règlement (UE) 2018/1139 du Parlement européen et du Conseil(¹³)Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) n^o 2111/2005, (CE) n^o 1008/2008, (UE) n^o 996/2010, (UE) n^o 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) n^o 552/2004 et (CE) n^o 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) n^o 3922/91 du Conseil (JO L 212 du 22.8.2018, p. 1). est d’établir et de maintenir un niveau uniforme élevé de sécurité dans l’aviation civile dans l’Union. Ce règlement crée un cadre pour les exigences essentielles en matière de navigabilité des produits, pièces et équipements aéronautiques, y compris les logiciels: la partie d’un système d’information électronique qui consiste en un code informatique;, qui comprennent des obligations de protection contre les menaces relatives à la sécurité de l’information. Le processus de certification prévu par le règlement (UE) 2018/1139 garantit le niveau d’assurance visé par le présent règlement. Les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; auxquels s’applique le règlement (UE) 2019/2144 et les produits certifiés conformément au règlement (UE) 2018/1139 ne devraient donc pas être soumis aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et aux procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; énoncées dans le présent règlement.

Le présent règlement établit des règles horizontales de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui ne sont pas spécifiques aux secteurs ou à certains produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Néanmoins, des règles sectorielles ou spécifiques aux produits pourraient être introduites au niveau de l’Union, établissant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement. Dans de tels cas, l’application du présent règlement aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; relevant d’autres règles de l’Union établissant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement peut être limitée ou exclue lorsque cette limitation ou exclusion est compatible avec le cadre réglementaire global applicable à ces produits et lorsque les règles sectorielles permettent d’atteindre un niveau de protection au moins identique à celui prévu par le présent règlement. La Commission devrait être habilitée à adopter des actes délégués pour compléter le présent règlement en identifiant de tels produits et règles. Pour ce qui est du droit de l’Union en vigueur auquel cette limitation ou exclusion devrait s’appliquer, le présent règlement prévoit des dispositions spécifiques visant à clarifier sa relation avec ce droit de l’Union.

Afin de garantir que les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; mis à disposition sur le marché pourront être réparés de manière efficace et que leur durabilité pourra être prolongée, il convient de prévoir une dérogation pour les pièces de rechange. Cette dérogation devrait concerner à la fois les pièces de rechange destinées à réparer des produits anciens ayant été mis à disposition avant la date d’application du présent règlement et les pièces de rechange qui ont déjà fait l’objet d’une procédure d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; en application du présent règlement.

Le règlement délégué (UE) 2022/30 de la Commission(¹⁴)Règlement délégué (UE) 2022/30 de la Commission du 29 octobre 2021 complétant la directive 2014/53/UE du Parlement européen et du Conseil en ce qui concerne l’application des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de cette directive (JO L 7 du 12.1.2022, p. 6). précise que plusieurs des exigences essentielles énoncées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE du Parlement européen et du Conseil(¹⁵)Directive 2014/53/UE du Parlement européen et du Conseil du 16 avril 2014 relative à l’harmonisation des législations des États membres concernant la mise à disposition sur le marché d’équipements radioélectriques et abrogeant la directive 1999/5/CE (JO L 153 du 22.5.2014, p. 62)., qui portent sur les dommages au réseau et la mauvaise utilisation des ressources du réseau, sur les données à caractère personnel et la vie privée ainsi que sur la fraude, s’appliquent à certains équipements radio. La décision d’exécution C(2022) 5637 de la Commission du 5 août 2022 relative à une demande de normalisation adressée au Comité européen de normalisation et au Comité européen de normalisation électrotechnique fixe des exigences pour l’élaboration de normes spécifiques précisant la manière dont ces trois exigences essentielles doivent être traitées. Les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement comprennent tous les éléments des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE. En outre, les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement sont alignées sur les objectifs des exigences relatives à des normes spécifiques incluses dans cette demande de normalisation. Par conséquent, lorsque la Commission abroge ou modifie le règlement délégué (UE) 2022/30 de sorte qu’il cesse de s’appliquer à certains produits soumis au présent règlement, la Commission et les organisations européennes de normalisation devraient tenir compte des travaux de normalisation menés dans le cadre de la décision d’exécution C(2022) 5637 lors de l’élaboration et du développement de normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; visant à faciliter la mise en œuvre du présent règlement. Au cours de la période transitoire pour l’application du présent règlement, la Commission devrait fournir des orientations aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; soumis à la fois au présent règlement et au règlement délégué (UE) 2022/30, afin de faciliter la démonstration du respect de ces deux règlements.

La directive (UE) 2024/2853 du Parlement européen et du Conseil(¹⁶)Directive (UE) 2024/2853 du Parlement européen et du Conseil du 23 octobre 2024 relative à la responsabilité du fait des produits défectueux et abrogeant la directive 85/374/CEE du Conseil (JO L, 2024/2853, 18.11.2024, ELI: http://data.europa.eu/eli/dir/2024/2853/oj). complète le présent règlement. Cette directive établit des règles en matière de responsabilité du fait des produits défectueux afin que les victimes puissent demander réparation lorsqu’un dommage a été causé par de tels produits. Elle établit le principe selon lequel le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’un produit est responsable des dommages causés par un défaut de sécurité de son produit, indépendamment de la faute (responsabilité objective). Lorsqu’un tel défaut de sécurité consiste en un manque de mises à jour de sécurité après la mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union; du produit, et qu’il en résulte des dommages, la responsabilité du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; pourrait être engagée. Le présent règlement devrait faire obligation aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de fournir de telles mises à jour de sécurité.

Le présent règlement devrait s’appliquer sans préjudice du règlement (UE) 2016/679 du Parlement européen et du Conseil(¹⁷)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1)., et notamment de ses dispositions concernant la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent ledit règlement. De telles opérations pourraient être intégrées dans un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. La protection des données dès la conception et par défaut ainsi que la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en général sont des éléments clés du règlement (UE) 2016/679. En protégeant les consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale; et les organisations contre les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;, les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; prévues par le présent règlement doivent également contribuer à renforcer la protection des données à caractère personnel et de la vie privée des personnes. Des synergies en matière de normalisation et de certification sur les aspects de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; devraient être envisagées dans le cadre de la coopération entre la Commission, les organisations européennes de normalisation, l’Agence de l’Union européenne pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; (ENISA), le comité européen de la protection des données institué par le règlement (UE) 2016/679 et les autorités nationales de contrôle de la protection des données. Il convient également de créer des synergies entre le présent règlement et la législation de l’Union en matière de protection des données dans le domaine de la surveillance du marché et du contrôle de l’application. À cette fin, les autorités nationales de surveillance du marché désignées en vertu du présent règlement devraient coopérer avec les autorités chargées de surveiller l’application de la législation de l’Union en matière de protection des données. Ces dernières devraient également avoir accès aux informations nécessaires à l’accomplissement de leurs tâches.

Dans la mesure où leurs produits relèvent du champ d’application du présent règlement, les fournisseurs de portefeuilles européens d’identité numérique visés à l’article 5 bis, paragraphe 2, du règlement (UE) n^o 910/2014 du Parlement européen et du Conseil(¹⁸)Règlement (UE) n^o 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73). devraient se conformer à la fois aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; horizontales énoncées dans le présent règlement et aux exigences de sécurité spécifiques énoncées à l’article 5 bis du règlement (UE) n^o 910/2014. Afin de faciliter la conformité, les fournisseurs de portefeuilles devraient pouvoir démontrer la conformité des portefeuilles européens d’identité numérique aux exigences énoncées respectivement dans le présent règlement et dans le règlement (UE) n^o 910/2014 en certifiant leurs produits dans le cadre d’un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; établi en vertu du règlement (UE) 2019/881 et pour lequel la Commission a établi, par voie d’actes délégués, une présomption de conformité pour le présent règlement, dans la mesure où le certificat, ou des parties de celui-ci, couvre ces exigences.

Lorsqu’il intègre des composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; obtenus auprès de tiers à des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; au cours de la phase de conception et de développement, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devrait, pour que les produits soient conçus, développés et produits conformément aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement, faire preuve de diligence raisonnable concernant ces composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique;, y compris les composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; qui n’ont pas été mis à disposition sur le marché. Le niveau approprié de diligence raisonnable dépend de la nature et du niveau du risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; associé à un composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; donné et devrait, à cette fin, tenir compte d’une ou de plusieurs des mesures suivantes: vérifier, le cas échéant, que le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’un composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; a démontré se conformer au présent règlement, y compris en s’assurant que le composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; porte déjà le marquage CE: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition;; vérifier qu’un composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; fait régulièrement l’objet de mises à jour de sécurité, par exemple en consultant l’historique de ses mises à jour de sécurité; vérifier qu’un composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; est exempt des vulnérabilités enregistrées dans la base de données européenne des vulnérabilités créée en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555 ou dans d’autres bases de données publiques; réaliser des essais de sécurité supplémentaires. Les obligations en matière de gestion des vulnérabilités énoncées dans le présent règlement, que le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doit respecter lors de la mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union; d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; puis pendant la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;, s’appliquent aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dans leur entièreté, y compris à tous les composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; intégrés. Lorsque, dans l’exercice de sa diligence raisonnable, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; décèle une vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; dans un composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique;, y compris un composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; libre et ouvert, il devrait en informer la personne ou l’entité qui fabrique le composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; ou en assure l’entretien, s’attaquer et remédier à la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; et, le cas échéant, fournir à la personne ou à l’entité le correctif de sécurité appliqué.

Immédiatement après la période transitoire pour l’application du présent règlement, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui intègre un ou plusieurs composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; obtenus auprès de tiers qui relèvent également du présent règlement pourrait ne pas être en mesure de vérifier, dans le cadre de son obligation de diligence raisonnable, que les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de ces composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; ont démontré qu’ils se conforment au présent règlement en s’assurant, par exemple, que le composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; porte déjà le marquage CE: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition;. Cette situation pourrait se présenter lorsque des composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; ont été intégrés avant que le présent règlement ne s’applique à leur fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;. Dans ce cas, un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qui intègre de tels composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; devrait faire preuve de diligence raisonnable par d’autres moyens.

Le marquage CE: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition; devrait être apposé sur les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; pour indiquer de manière visible, lisible et indélébile leur conformité avec le présent règlement, afin qu’ils puissent circuler librement dans le marché intérieur. Les États membres devraient s’abstenir de créer des entraves injustifiées à la mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union; de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui satisfont aux exigences prévues par le présent règlement et portent le marquage CE: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition;. En outre, lors de foires, d’expositions et de démonstrations ou de manifestations similaires, les États membres ne devraient pas faire obstacle à la présentation ou à l’utilisation d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; non conforme au présent règlement, y compris ses prototypes, pour autant que le produit porte une marque visible indiquant clairement que le produit n’est pas conforme au présent règlement et que, tant que ce sera le cas, il ne sera pas mis à disposition sur le marché.

Afin de garantir que les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; puissent mettre à disposition des logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; à des fins d’essai avant de soumettre leurs produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; à une évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;, les États membres ne devraient pas empêcher la mise à disposition de logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; inachevés, tels que des versions alpha, des versions beta ou des versions candidates à la diffusion, à condition que le logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; inachevé ne soit mis à disposition que pendant le temps nécessaire pour le tester et recueillir des commentaires. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient veiller à ce que les logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; mis à disposition dans ces conditions ne soient diffusés qu’après une évaluation des risques et soient conformes, dans la mesure du possible, aux exigences de sécurité relatives aux propriétés des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; prévues par le présent règlement. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient également mettre en œuvre les exigences de gestion des vulnérabilités dans la mesure du possible. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; ne devraient pas forcer les utilisateurs à passer à des versions uniquement diffusées à des fins d’essais.

Afin de garantir que les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, lorsqu’ils sont mis sur le marché, ne présentent pas de risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; pour les personnes et les organisations, il convient de fixer des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour ces produits. Ces exigences, y compris celles qui ont trait à la gestion des vulnérabilités, s’appliquent à chaque produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; lors de sa mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union;, qu’il ait été fabriqué individuellement ou produit en série. Par exemple, pour un type de produit, chaque produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; devrait, lors de sa mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union;, avoir reçu individuellement tous les correctifs et mises à jour de sécurité qui existent pour remédier aux problèmes de sécurité pertinents. Lorsque des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont modifiés ultérieurement, par des moyens physiques ou numériques, d’une manière qui n’est pas prévue par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; dans l’évaluation initiale des risques et qui peut impliquer qu’ils ne satisfont plus aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pertinentes, la modification devrait être considérée comme substantielle. Par exemple, les réparations pourraient être assimilées à des opérations d’entretien pour autant qu’elles ne modifient pas un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; déjà mis sur le marché d’une manière qui soit susceptible d’en compromettre la conformité aux exigences applicables ou de modifier l’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; pour laquelle le produit a été évalué.

Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; devrait être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; modifie l’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; de ce produit et que ces modifications n’ont pas été prévues par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; a augmenté en raison de la mise à jour du logiciel: la partie d’un système d’information électronique qui consiste en un code informatique;, et que la version mise à jour est mise à disposition sur le marché. Une mise à jour de sécurité destinée à réduire le niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ne modifie pas l’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; de ce produit n’est pas considérée comme une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;. Il s’agit généralement des situations où une mise à jour de sécurité ne comporte que des ajustements mineurs du code source. Ce pourrait être le cas, par exemple, d’une mise à jour de sécurité qui remédie à une vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; connue, y compris en modifiant les fonctions ou les performances d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dans le seul but de réduire le niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;. De même, une mise à jour mineure de fonctionnalités, telle qu’une amélioration visuelle ou l’ajout de nouveaux pictogrammes ou de nouvelles langues ou d’un nouvel ensemble de pictogrammes à l’interface utilisateur, ne devrait pas, en règle générale, être considérée comme une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;. À l’inverse, une mise à jour de caractéristiques qui modifie les fonctions initialement prévues d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, son type ou ses performances et qui remplit les critères susmentionnés devrait être considérée comme une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;, étant donné que l’ajout de nouvelles caractéristiques accroît généralement la surface d’attaque et, partant, les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;. Ce peut être le cas, par exemple, lorsque l’ajout d’un nouvel élément de saisie à une application nécessite que le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; procède à une validation adéquate de la saisie. Le fait qu’une mise à jour de caractéristiques soit apportée de façon indépendante ou qu’elle soit combinée à une mise à jour de sécurité n’est pas pertinent pour déterminer si elle constitue une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;. La Commission devrait publier des orientations sur la manière de déterminer ce qui constitue une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;.

Compte tenu de la nature itérative du développement de logiciels: la partie d’un système d’information électronique qui consiste en un code informatique;, un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; ayant successivement mis sur le marché plusieurs versions d’un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; en raison d’une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué; apportée à ce dernier ne devrait être en mesure de fournir des mises à jour de sécurité pendant la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; que pour la dernière version du logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; qu’il a mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union;. Il ne devrait être en mesure de procéder ainsi que si les utilisateurs des versions précédentes concernées du logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; ont accès gratuitement à la dernière version mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union; et qu’ils n’ont pas à s’acquitter de coûts supplémentaires pour adapter l’environnement matériel ou logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; dans lequel ils exploitent le produit. Tel pourrait être le cas par exemple, si la mise à jour d’un système d’exploitation de bureau ne nécessite pas de matériel nouveau tel qu’un processeur plus rapide ou de plus grandes capacités de mémoire. Toutefois, pendant la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devrait continuer de respecter d’autres exigences relatives à la gestion des vulnérabilités, comme le fait de disposer d’une politique de divulgation coordonnée des vulnérabilités ou d’appliquer des mesures visant à faciliter le partage d’informations relatives à de possibles vulnérabilités pour toutes les versions suivantes du logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; mis sur le marché qui ont été modifiées de façon substantielle. Il convient que le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; ne soit en mesure de fournir des mises à jour mineures de sécurité ou de fonctionnalité qui ne constituent pas une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué; que pour la dernière version ou sous-version d’un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; qui n’a pas été modifiée de façon substantielle. Dans le même temps, lorsqu’un produit matériel tel qu’un téléphone intelligent n’est pas compatible avec la version la plus récente du système d’exploitation avec lequel il avait initialement été livré, il convient que le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; continue d’apporter des mises à jour de sécurité pendant la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;, au moins pour la dernière version du système d’exploitation compatible avec ce produit matériel.

Conformément à la notion généralement établie de modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué; pour les produits régis par la législation d’harmonisation de l’Union: la législation de l’Union énumérée à l’annexe I du règlement (UE) 2019/1020 et toute autre législation de l’Union harmonisant les conditions de commercialisation des produits auxquels ledit règlement s’applique;, lorsque se produit une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué; de nature à affecter la conformité d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; au présent règlement ou lorsque l’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; de ce produit change, il convient de vérifier la conformité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et, le cas échéant, de le soumettre à une nouvelle évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;. Le cas échéant, si le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a recours à une évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; faisant intervenir un tiers, une modification susceptible d’entraîner une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué; devrait être notifiée à ce dernier.

Lorsqu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; fait l’objet d’une «remise à neuf», d’un «entretien» et d’une «réparation», au sens de l’article 2, points 18), 19) et 20), du règlement (UE) 2024/1781 du Parlement européen et du Conseil(¹⁹)Règlement (UE) 2024/1781 du Parlement européen et du Conseil du 13 juin 2024 établissant un cadre pour la fixation d’exigences en matière d’écoconception pour des produits durables, modifiant la directive (UE) 2020/1828 et le règlement (UE) 2023/1542 et abrogeant la directive 2009/125/CE (JO L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj)., cela n’entraîne pas nécessairement une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué; du produit, par exemple si l’utilisation et les fonctionnalités prévues ne sont pas modifiées et que le niveau de risque demeure inchangé. Toutefois, la mise à niveau d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; pourrait entraîner des modifications dans la conception et le développement de ce produit et donc avoir une incidence sur son utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; et sa conformité aux exigences énoncées dans le présent règlement.

Les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; devraient être considérés comme importants si l’exploitation de vulnérabilités potentielles dans ces produits peut avoir de graves répercussions en raison, entre autres, de la fonctionnalité liée à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou d’une fonction qui comporte un risque important d’effets néfastes du fait de leur intensité et leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs par une manipulation directe, par exemple une fonction du système central, notamment la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel. En particulier, les vulnérabilités de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ont une fonctionnalité liée à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, tels que les gestionnaires de démarrage, peuvent provoquer une propagation des problèmes de sécurité tout au long de la chaîne d’approvisionnement. La gravité des répercussions d’un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; peut également augmenter lorsque le produit assure principalement une fonction du système central, y compris la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel.

Certaines catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; devraient être soumises à des procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; plus strictes, tout en conservant une approche proportionnée. À cette fin, les produits importants comportant des éléments numériques devraient être divisés en deux catégories, reflétant le niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; lié à ces catégories de produits. Un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; impliquant des produits importants comportant des éléments numériques qui relèvent de la classe II pourrait avoir des répercussions négatives plus importantes qu’un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; impliquant des produits importants comportant des éléments numériques qui relèvent de la classe I, par exemple en raison de la nature de leur fonction liée à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou de l’exécution d’une autre fonction qui comporte un risque important d’effets néfastes. À titre indicatif, les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui relèvent de la classe II pourraient assurer soit une fonctionnalité liée à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, soit une autre fonction comportant un risque important d’effets néfastes plus élevé que pour les produits relevant de la classe I, soit ces deux types de fonctions. Par conséquent, les produits importants comportant des éléments numériques qui relèvent de la classe II devraient faire l’objet d’une procédure plus stricte d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;.

Par «produits importants comportant des éléments numériques visés dans le présent règlement», on devrait entendre les produits possédant les fonctionnalités essentielles d’une catégorie de produits importants comportant des éléments numériques recensée dans le présent règlement. Par exemple, le présent règlement établit des catégories de produit importants comportant des éléments numériques qui sont définis par leur fonctionnalité de base comme pare-feu ou des systèmes de détection ou de prévention des intrusions de classe II. Par conséquent, les pare-feu et systèmes de détection ou de prévention des intrusions sont soumis à une évaluation de conformité obligatoire par un tiers. Ce n’est pas le cas pour d’autres produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ne sont pas catégorisés comme des produits importants comportant des éléments numériques mais qui peuvent intégrer des pare-feu ou des systèmes de détection ou de prévention des intrusions. La Commission devrait adopter un acte d’exécution pour préciser la description technique des catégories de produits importants comportant des éléments numériques qui relèvent des classes I et II, telles qu’elles figurent dans le présent règlement.

Les catégories de produits critiques comportant des éléments numériques énoncées dans le présent règlement ont une fonctionnalité liée à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et remplissent une fonction qui comporte un risque important d’effets néfastes quant à son intensité et à sa capacité à perturber, contrôler ou endommager un grand nombre d’autres produits avec éléments numériques par le biais d’une manipulation directe. En outre, ces catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont considérées comme des dépendances critiques pour les entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. Les catégories de produits critiques comportant des éléments numériques figurant en annexe du présent règlement, en raison de leur criticité, reposent déjà largement sur diverses formes de certification et relèvent également du schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; fondé sur des critères communs (EUCC) défini dans le règlement d’exécution (UE) 2024/482 de la Commission(²⁰)Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).. Par conséquent, afin d’assurer, dans l’Union, une protection adéquate commune sur le plan de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits critiques comportant des éléments numériques, il pourrait être approprié et proportionné de soumettre ces catégories de produits, par voie d’un acte délégué, à une certification européenne de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; obligatoire lorsqu’un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pertinent couvrant ces produits est déjà en place et qu’une évaluation des effets potentiels sur le marché de la certification obligatoire envisagée a été réalisée par la Commission. Cette évaluation devrait tenir compte à la fois de l’offre et de la demande, et y compris de l’existence d’une demande, de la part des États membres et des utilisateurs pour les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concernés, qui soit suffisante pour exiger une certification européenne de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi que les finalités pour lesquelles les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont destinés à être utilisés, y compris la dépendance critique à leur égard des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. L’évaluation devrait également analyser les effets potentiels de la certification obligatoire sur la disponibilité de ces produits sur le marché intérieur, ainsi que les capacités et l’état de préparation des États membres pour la mise en œuvre des schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;.

Les actes délégués exigeant une certification européenne de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; obligatoire devraient déterminer les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ont la fonctionnalité essentielle d’une catégorie de produits critiques comportant des éléments numériques définie dans le présent règlement et qui doivent faire l’objet d’une certification obligatoire, ainsi que le niveau d’assurance requis, lequel devrait être au moins «substantiel». Le niveau d’assurance requis doit être proportionnel au niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; associé au produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Par exemple, lorsque le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; possède les fonctionnalités essentielles d’une catégorie de produits critiques comportant des éléments numériques définie dans le présent règlement et qu’il est destiné à être utilisé dans un environnement sensible ou critique, comme les produits destinés à être utilisés par des entités essentielles telles que visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555, il peut nécessiter le niveau d’assurance le plus élevé.

Afin d’assurer, dans l’Union, une protection adéquate commune sur le plan de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ont les fonctionnalités essentielles d’une catégorie de produits critiques comportant des éléments numériques définie dans le présent règlement, il convient également de conférer à la Commission le pouvoir d’adopter des actes délégués pour modifier le présent règlement en y ajoutant ou en en retirant des catégories de produits critiques comportant des éléments numériques pour lesquels les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; pourraient être tenus d’obtenir un certificat européen de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans le cadre d’un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en application du règlement (UE) 2019/881 afin de démontrer leur conformité avec le présent règlement. Une nouvelle catégorie de produits critiques comportant des éléments numériques peut être ajoutée à ces catégories s’il existe une dépendance critique à leur égard d’entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555 ou, s’ils sont touchés par des incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; ou contiennent des vulnérabilités exploitées, si cela pourrait entraîner des perturbations pour les chaînes d’approvisionnement critiques. Lorsqu’elle évalue la nécessité d’ajouter ou de retirer des catégories de produits critiques comportant des éléments numériques par voie d’un acte délégué, la Commission devrait pouvoir tenir compte du fait que les États membres ont recensé, au niveau national, les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui jouent un rôle critique pour la résilience des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555 et qui sont de plus en plus confrontés à des cyberattaques dans la chaîne d’approvisionnement, avec des effets perturbateurs potentiels graves. Il convient par ailleurs que la Commission puisse tenir compte des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555.

La Commission devrait veiller à ce qu’un large éventail de parties prenantes soit consulté de manière structurée et régulière lors de l’élaboration des mesures de mise en œuvre du présent règlement. Cela devrait être particulièrement le cas lorsque la Commission évalue la nécessité d’actualiser les listes des catégories de produits importants ou critiques comportant des éléments numériques. Le cas échéant, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient être consultés et leurs avis pris en compte afin d’analyser les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; ainsi que l’équilibre entre les coûts et les avantages de la désignation de ces catégories de produits comme importants ou critiques.

Le présent règlement aborde les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; de manière ciblée. Les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; peuvent toutefois présenter d’autres risques pour la sécurité qui ne sont pas toujours liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; mais qui peuvent être la conséquence d’une atteinte à la sécurité. Ces risques devraient continuer à être réglementés par des actes législatifs d’harmonisation de l’Union autres que le présent règlement. Si aucune législation d’harmonisation de l’Union: la législation de l’Union énumérée à l’annexe I du règlement (UE) 2019/1020 et toute autre législation de l’Union harmonisant les conditions de commercialisation des produits auxquels ledit règlement s’applique; autre que le présent règlement ne leur est applicable, ils devraient être soumis au règlement (UE) 2023/988 du Parlement européen et du Conseil(²¹)Règlement (UE) 2023/988 du Parlement européen et du Conseil du 10 mai 2023 relatif à la sécurité générale des produits, modifiant le règlement (UE) n^o 1025/2012 du Parlement européen et du Conseil et la directive (UE) 2020/1828 du Parlement européen et du Conseil, et abrogeant la directive 2001/95/CE du Parlement européen et du Conseil et la directive 87/357/CEE du Conseil (JO L 135 du 23.5.2023, p. 1).. Par conséquent, compte tenu du caractère ciblé du présent règlement, par dérogation à l’article 2, paragraphe 1, troisième alinéa, point b), du règlement (UE) 2023/988, le chapitre III, section 1, les chapitres V et VII, et les chapitres IX à XI du règlement (UE) 2023/988 devraient s’appliquer aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; en ce qui concerne les risques pour la sécurité qui ne sont pas couverts par le présent règlement, si ces produits ne sont pas soumis à des exigences spécifiques prévues par une législation d’harmonisation de l’Union: la législation de l’Union énumérée à l’annexe I du règlement (UE) 2019/1020 et toute autre législation de l’Union harmonisant les conditions de commercialisation des produits auxquels ledit règlement s’applique; autre que le présent règlement au sens de l’article 3, point 27), du règlement (UE) 2023/988.

Les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; classés comme systèmes d’IA à haut risque conformément à l’article 6 du règlement (UE) 2024/1689 du Parlement européen et du Conseil(²²)Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n^o 300/2008, (UE) n^o 167/2013, (UE) n^o 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj). qui relèvent du champ d’application du présent règlement devraient satisfaire aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans celui-ci. Lorsque ces systèmes d’IA à haut risque satisfont aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement, ils devraient être réputés respecter les exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’article article 15 du règlement (UE) 2024/1689, dans la mesure où ces exigences sont couvertes par la déclaration UE de conformité, ou par certaines parties de celle-ci, délivrée en vertu du présent règlement. À cette fin, l’évaluation des risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; associés à un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; classés comme système d’IA à haut risque en vertu du règlement (UE) 2024/1689 qui doit être prise en compte pendant les phases de planification, de conception, de développement, de production, de livraison et de maintenance de ce produit, comme l’exige le présent règlement, devrait tenir compte des risques pour la cyberrésilience d’un système d’IA en cas de tentatives par des tiers non autorisés de modifier son utilisation, son comportement ou ses performances, y compris les vulnérabilités propres à l’IA telles que l’empoisonnement des données ou les attaques adversaires, ainsi que, le cas échéant, les risques pour les droits fondamentaux, conformément au règlement (UE) 2024/1689. En ce qui concerne les procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; relatives aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui entre dans le champ d’application du présent règlement et classé comme système d’IA à haut risque, l’article 43 du règlement (UE) 2024/1689 devrait de manière générale s’appliquer en lieu et place des dispositions pertinentes du présent règlement. Toutefois, l’application de cette règle ne devrait pas entraîner de réduction du niveau d’assurance nécessaire pour les produits importants ou critiques comportant des éléments numériques visés dans le présent règlement. Par conséquent, par dérogation à cette règle, les systèmes d’IA à haut risque qui relèvent du champ d’application du règlement (UE) 2024/1689 et sont également considérés comme des produits importants ou critiques comportant des éléments numériques visés dans le présent règlement et auxquels s’applique la procédure d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; fondée sur le contrôle interne visée à l’annexe VI du règlement (UE) 2024/1689 devraient être soumis aux procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; prévues par le présent règlement en ce qui concerne les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans celui-ci. Dans ce cas, pour tous les autres aspects couverts par le règlement (UE) 2024/1689, les dispositions pertinentes relatives à l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; fondée sur le contrôle interne énoncées à l’annexe VI de ce règlement devraient s’appliquer.

Afin d’améliorer la sécurité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; mis sur le marché intérieur, il est nécessaire d’établir des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; applicables à ces produits. Ces exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ne devraient pas porter atteinte aux évaluations coordonnées au niveau de l’Union des risques de sécurité portant sur les chaînes d’approvisionnement critiques et prévues à l’article 22 de la directive (UE) 2022/2555, qui tiennent compte à la fois des facteurs de risque techniques et, le cas échéant, non techniques, tels que l’influence indue d’un pays tiers sur les fournisseurs. En outre, elles devraient s’exercer sans préjudice des prérogatives des États membres d’établir des exigences supplémentaires qui tiennent compte de facteurs non techniques afin de garantir un niveau élevé de résilience, y compris celles définies dans la recommandation (UE) 2019/534 de la Commission(²³)Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 sur la cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42)., dans l’évaluation coordonnée par l’Union de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des réseaux 5G et dans la boîte à outils de l’Union sur la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; 5G convenue par le groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555.

Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de produits relevant du champ d’application du règlement (UE) 2023/1230 du Parlement européen et du Conseil(²⁴)Règlement (UE) 2023/1230 du Parlement européen et du Conseil du 14 juin 2023 sur les machines, abrogeant la directive 2006/42/CE du Parlement européen et du Conseil et la directive 73/361/CEE du Conseil (JO L 165 du 29.6.2023, p. 1). qui sont également des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; au sens du présent règlement devraient satisfaire à la fois aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement et aux exigences essentielles de santé et de sécurité énoncées dans le règlement (UE) 2023/1230. Les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement et certaines exigences essentielles énoncées dans le règlement (UE) 2023/1230 pourraient porter sur des risques similaires en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Par conséquent, le respect des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement pourrait faciliter le respect des exigences essentielles qui s’appliquent également à certains risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; énoncés dans le règlement (UE) 2023/1230, et en particulier celles concernant la protection contre la corruption et la sécurité et la fiabilité des systèmes de contrôle énoncées aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. Ces synergies doivent être démontrées par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, qui doit par exemple appliquer, le cas échéant, des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; ou d’autres spécifications techniques répondant aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pertinentes, à la suite d’une évaluation des risques liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doit également suivre les procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; applicables définies dans le présent règlement et dans le règlement (UE) 2023/1230. La Commission et les organisations européennes de normalisation, dans le cadre des travaux préparatoires soutenant la mise en œuvre du présent règlement et du règlement (UE) 2023/1230, ainsi que des processus de normalisation connexes, devraient promouvoir la cohérence dans la manière d’évaluer les risques liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et dans la manière de couvrir ces risques par des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; en ce qui concerne les exigences essentielles pertinentes. En particulier, la Commission et les organisations européennes de normalisation devraient tenir compte du présent règlement dans la préparation et l’élaboration de normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; visant à faciliter la mise en œuvre du règlement (UE) 2023/1230 en ce qui concerne notamment les aspects de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; liés à la protection contre la corruption ainsi que la sécurité et la fiabilité des systèmes de contrôle énoncés aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. La Commission devrait fournir des orientations pour aider les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; relevant du présent règlement mais aussi du règlement (UE) 2023/1230, en particulier pour leur permettre de démontrer plus facilement qu’ils respectent les exigences essentielles pertinentes énoncées dans le présent règlement et dans le règlement (UE) 2023/1230.

Afin de garantir la sécurité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; au moment de leur mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union; et pendant la période d’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, il est nécessaire de définir des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; relatives à la gestion de la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; et des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; concernant les propriétés des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient se conformer à toutes les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; relatives à la gestion des vulnérabilités tout au long de la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;, mais ils devraient en outre déterminer les autres exigences essentielles liées aux propriétés du produit pertinentes pour le type de produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné. À cette fin, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient entreprendre une évaluation des risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; associés à un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; afin de recenser les risques pertinents et les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pertinentes, de mettre à disposition leurs produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sans vulnérabilité exploitable: une vulnérabilité susceptible d’être utilisée efficacement par un adversaire en conditions de fonctionnement effectives; connue susceptible d’avoir des répercussions sur la sécurité de ces produits et d’appliquer de manière appropriée des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, des spécifications communes ou des normes européennes: une norme européenne au sens de l’article 2, point 1) b), du règlement (UE) no 1025/2012; ou internationales appropriées.

Lorsque certaines exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ne sont pas applicables à un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doit faire figurer une justification claire dans l’évaluation des risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; figurant dans la documentation technique. Cela pourrait être le cas lorsqu’une exigence essentielle de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; est incompatible avec la nature d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Par exemple, la destination d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; peut exiger du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qu’il respecte des normes d’interopérabilité largement reconnues, même si ses dispositifs de sécurité ne sont plus considérés comme étant à la pointe de la technologie. De même, d’autres législations de l’Union exigent des fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qu’ils appliquent des exigences spécifiques en matière d’interopérabilité. Lorsqu’une exigence essentielle de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ne s’applique pas à un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, mais que le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a détecté des risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; en rapport avec ladite exigence essentielle de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, il doit prendre des mesures pour faire face à ces risques par d’autres moyens, par exemple en limitant la destination du produit à des environnements de confiance ou en informant les utilisateurs de ces risques.

L’une des mesures les plus importantes que les utilisateurs doivent prendre pour protéger leurs produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; contre les cyberattaques est d’installer les dernières mises à jour de sécurité disponibles dès que possible. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doivent donc concevoir leurs produits et mettre en place des procédures de sorte que les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; comprennent des fonctions automatiques de notification, de distribution, de téléchargement et d’installation des mises à jour de sécurité, en particulier dans le cas des produits de consommation. Ils devraient également offrir la possibilité d’approuver le téléchargement et l’installation des mises à jour de sécurité en tant qu’étape finale. Les utilisateurs doivent garder la possibilité de désactiver les mises à jour automatiques, grâce à un dispositif clair et facile à utiliser, accompagné d’instructions claires sur la manière dont les utilisateurs peuvent renoncer à ces mises à jour. Les exigences relatives aux mises à jour automatiques énoncées dans une annexe du présent règlement ne s’appliquent pas aux produits dont les éléments numériques sont principalement destinés à être intégrés en tant que composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; dans d’autres produits. Elles ne s’appliquent pas non plus aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; pour lesquels les utilisateurs ne s’attendent pas raisonnablement à des mises à jour automatiques, y compris les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; destinés à être utilisés dans des réseaux TIC professionnels, et en particulier dans des environnements critiques et industriels où une mise à jour automatique pourrait perturber les opérations. Qu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; soit conçu pour recevoir des mises à jour automatiques ou non, son fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doit informer les utilisateurs des vulnérabilités et mettre à disposition des mises à jour de sécurité sans retard. Lorsqu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est doté d’une interface utilisateur ou de moyens techniques similaires permettant une interaction directe avec ses utilisateurs, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doit utiliser ces caractéristiques pour informer les utilisateurs que leur produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est arrivé au terme de la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;. Les notifications doivent être limitées à ce qui est nécessaire pour garantir la réception effective de ces informations et ne doivent pas avoir de répercussions négatives sur l’expérience de l’utilisateur du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;.

Afin d’améliorer la transparence des processus de traitement des vulnérabilités et de garantir que les utilisateurs ne sont pas obligés d’installer de nouvelles mises à jour de fonctionnalités dans le seul but de recevoir les dernières mises à jour de sécurité, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doivent veiller, lorsque cela est techniquement possible, à ce que les nouvelles mises à jour de sécurité soient fournies séparément des mises à jour de fonctionnalités.

La communication conjointe de la Commission et du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité du 20 juin 2023 intitulée «Stratégie européenne de sécurité économique» indique que l’Union doit optimiser les avantages de son ouverture économique tout en réduisant à leur minimum les risques liés aux dépendances économiques à l’égard des fournisseurs à haut risque, grâce à un cadre stratégique commun pour la sécurité économique de l’Union. Les dépendances à l’égard de fournisseurs à haut risque de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; peuvent représenter un risque stratégique auquel il faut s’attaquer au niveau de l’Union, en particulier lorsque les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont destinés à être utilisés par des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. Ces risques peuvent être liés, sans pour autant s’y limiter, à la juridiction dont relève le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, aux caractéristiques de son actionnariat et aux liens de contrôle qui le rattachent au gouvernement d’un pays tiers où il est établi, en particulier si le pays tiers se livre à des activités d’espionnage économique ou à un comportement irresponsable de l’État dans le cyberespace et que sa législation autorise un accès arbitraire aux opérations ou aux données de l’entreprise de quelque nature qu’elles soient, y compris les données commercialement sensibles, et peut imposer des obligations à des fins de renseignement sans garde-fous démocratiques ni mécanisme de contrôle ni procédure régulière ni droit de recours auprès d’une cour ou d’un tribunal indépendant. Lorsqu’elles déterminent l’importance d’un risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; au sens du présent règlement, la Commission et les autorités de surveillance du marché, conformément aux responsabilités qui leur incombent en vertu du présent règlement, devraient également tenir compte des facteurs de risque non techniques, en particulier ceux établis à la suite des évaluations coordonnées au niveau de l’Union des risques de sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555.

Afin de garantir la sécurité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; après leur mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union;, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doivent déterminer une période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; qui doit correspondre à la durée d’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Pour déterminer la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devrait notamment tenir compte des attentes raisonnables de l’utilisateur, de la nature du produit, ainsi que du droit de l’Union applicable à la durée de vie des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient également être en mesure de prendre en compte d’autres facteurs pertinents. Les critères doivent être appliqués de manière à garantir la proportionnalité de la durée de la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;. Sur demande, un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doit fournir aux autorités de surveillance du marché les informations prises en compte pour déterminer la durée de la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;.

La période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; pendant laquelle le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; garantit le traitement efficace des vulnérabilités ne doit pas être inférieure à cinq ans, sauf si la durée de vie du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est inférieure à cinq ans, auquel cas le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doit assurer le traitement des vulnérabilités pendant ladite durée. Dans les cas des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont on peut raisonnablement s’attendre à ce qu’ils soient utilisés pendant plus de cinq ans, comme c’est souvent le cas pour les composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; matériels tels que les cartes mères ou les microprocesseurs, les dispositifs de réseau tels que les routeurs, les modems ou les commutateurs, ainsi que les logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; tels que les systèmes d’exploitation ou les outils d’édition vidéo, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient en conséquence prévoir des périodes d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; plus longues. En particulier, les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; destinés à être utilisés dans des environnements industriels, tels que les systèmes de contrôle industriels, sont souvent utilisés pendant des périodes beaucoup plus longues. Un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; ne devrait pouvoir définir une période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; inférieure à cinq ans que si cela est justifié par la nature du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné et s’il est prévu que ce produit soit utilisé pendant moins de cinq ans, auquel cas la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; devrait correspondre à la durée d’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique;. Par exemple, la durée de vie d’une application de recherche des contacts destinée à être utilisée pendant une pandémie pourrait être limitée à la durée de la pandémie. En outre, certaines applications logicielles ne peuvent par nature être mises à disposition que sous la forme d’un abonnement, en particulier lorsque l’application devient indisponible pour l’utilisateur et n’est donc plus utilisable à l’expiration de l’abonnement.

Lorsque les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; arrivent au terme de leur période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;, afin de garantir que les vulnérabilités peuvent être traitées après la fin de la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient envisager de divulguer le code source de ces produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; soit à d’autres entreprises qui s’engagent à étendre la fourniture de services de traitement des vulnérabilités, soit au public. Lorsque les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; communiquent le code source à d’autres entreprises, ils doivent pouvoir protéger la propriété du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et empêcher la diffusion du code source au public, par exemple au moyen d’accords contractuels.

Afin de garantir que les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de l’Union déterminent des périodes d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; similaires pour des produits comparables comportant des éléments numériques, l’ADCO devrait publier des statistiques sur les périodes d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; moyennes déterminées par les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; pour des catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et publier des orientations indiquant les périodes d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; appropriées pour ces catégories. En outre, afin de garantir une approche harmonisée dans l’ensemble du marché intérieur, la Commission devrait pouvoir adopter des actes délégués pour spécifier des périodes d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; minimales pour des catégories de produits spécifiques lorsque les données fournies par les autorités de surveillance du marché semblent indiquer que les périodes d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; déterminées par les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; ne sont pas systématiquement conformes aux critères de détermination des périodes d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; établis dans le présent règlement ou que les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de différents États membres déterminent de manière injustifiée des périodes d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; différentes.

Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doivent mettre en place un point de contact unique permettant aux utilisateurs d’entrer facilement en contact avec eux, notamment pour communiquer et recevoir des informations sur les vulnérabilités du produit comportant un élément numérique. Ils doivent faire en sorte que le point de contact unique soit facilement joignable par les utilisateurs et indiquer clairement sa disponibilité, en tenant ces informations à jour. Lorsque les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; optent pour des outils automatisés, par exemple des boîtes de dialogue, ils doivent également proposer un numéro de téléphone ou d’autres moyens de contact numériques, tels qu’une adresse électronique ou un formulaire de contact. Le point de contact unique ne doit pas dépendre uniquement d’outils automatisés.

Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient mettre à disposition sur le marché leurs produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dans une configuration sécurisée par défaut et fournir gratuitement des mises à jour de sécurité aux utilisateurs. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; ne devraient pouvoir s’écarter des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qu’en ce qui concerne les produits sur mesure adaptés à un usage particulier et destinés à un utilisateur professionnel particulier, et lorsque le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et l’utilisateur sont explicitement convenus d’un autre éventail de conditions contractuelles.

Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doivent notifier simultanément, via la plateforme unique de signalement, au centre de réponse aux incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de sécurité informatique (CSIRT) désigné comme coordinateur et à l’ENISA les vulnérabilités activement exploitées contenues dans les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, ainsi que les incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; graves ayant des répercussions sur la sécurité de ces produits. Les notifications doivent être transmises au moyen du point terminal: tout dispositif connecté à un réseau et servant de point d’entrée à ce réseau; de notification électronique d’un CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. et doivent être simultanément mises à la disposition de l’ENISA.

Il convient que les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; notifient les vulnérabilités activement exploitées afin que les CSIRT désignés comme coordinateurs, et l’ENISA, aient une bonne vue d’ensemble de ces vulnérabilités et reçoivent les informations nécessaires à l’accomplissement des tâches qui leur incombent en vertu de la directive (UE) 2022/2555 et à l’élévation du niveau global de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des entités essentielles et importantes visées à l’article 3 de ladite directive, ainsi qu’afin de garantir le fonctionnement efficace des autorités de surveillance du marché. Étant donné que la plupart des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont commercialisés sur l’ensemble du marché intérieur, toute vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; exploitée dans un de ces produits devrait être considérée comme une menace pour le fonctionnement du marché intérieur. L’ENISA devrait, en accord avec le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, divulguer les vulnérabilités fixes à la base de données européenne sur les vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555. La base de données européenne sur les vulnérabilités aidera les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; à détecter les vulnérabilités exploitables constatées dans leurs produits afin de garantir que les produits mis sur le marché sont sûrs.

Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient également notifier au CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. et à l’ENISA tout incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Afin de garantir que les utilisateurs puissent réagir rapidement aux graves incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; ayant des répercussions sur la sécurité de leurs produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient également informer leurs utilisateurs de tout incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de ce type et, le cas échéant, de toute mesure corrective que les utilisateurs peuvent mettre en œuvre pour atténuer les répercussions de l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;, par exemple en publiant des informations pertinentes sur leur site internet ou, lorsque le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; est en mesure de contacter les utilisateurs et lorsque les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; le justifient, en contactant directement les utilisateurs.

Les vulnérabilités activement exploitées concernent les cas où un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; établit qu’une faille de sécurité touchant ses utilisateurs ou toute autre personne physique ou morale résulte de l’utilisation par une personne malveillante d’une faille dans l’un des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; mis à disposition sur le marché par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;. Il peut s’agir par exemple de vulnérabilités dans les fonctions d’identification et d’authentification d’un produit. Les vulnérabilités qui sont découvertes sans intention malveillante pour les besoins d’essais, d’enquêtes, de correction ou de divulgation de bonne foi afin de renforcer la sécurité ou la sûreté du propriétaire du système et de ses utilisateurs ne devraient pas faire l’objet de notifications obligatoires. Les incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; graves ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont, quant à eux, des situations dans lesquelles un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; perturbe les processus de développement, de production ou de maintenance du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’une manière telle qu’il pourrait en résulter un risque accru de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour les utilisateurs ou d’autres personnes. Un tel incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave pourrait notamment désigner la situation dans laquelle un pirate aurait réussi à introduire un code malveillant dans le canal de diffusion par lequel le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; publie ses mises à jour de sécurité à l’intention des utilisateurs.

Pour garantir que les notifications peuvent être diffusées rapidement à tous les CSIRT désignés comme coordinateurs et pour permettre aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de soumettre une seule notification à chaque étape du processus de notification, l’ENISA doit créer une plateforme unique de signalement avec des points finaux de notification électronique nationaux. Les opérations quotidiennes de la plateforme unique de signalement doivent être administrées par l’ENISA qui en assurera le fonctionnement. Les CSIRT désignés comme coordinateurs doivent informer leurs autorités de surveillance du marché respectives des vulnérabilités ou incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; qui ont été notifiés. La plateforme unique de signalement devrait être conçue de manière à garantir la confidentialité des notifications, en particulier en ce qui concerne les vulnérabilités pour lesquelles une mise à jour de sécurité n’est pas encore disponible. En outre, l’ENISA devrait mettre en place des procédures pour traiter les informations de manière sûre et confidentielle. Sur la base des informations qu’elle recueille, l’ENISA devrait préparer un rapport technique bisannuel sur les tendances émergentes concernant les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; dans les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et le soumettre au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555.

Dans des circonstances exceptionnelles et en particulier à la demande du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. qui reçoit le premier une notification devrait pouvoir décider de retarder sa diffusion aux autres CSIRT concernés désignés comme coordinateurs via la plateforme unique de signalement, lorsque cela peut être justifié par des motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et pour la durée strictement nécessaire. Le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. doit immédiatement informer l’ENISA de la décision de retarder la diffusion et des raisons de ce retard, ainsi que de la date à laquelle il prévoit de procéder à cette diffusion. La Commission devrait élaborer, par voie d’un acte délégué, des spécifications sur les modalités et conditions d’application des motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et devrait coopérer avec le réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555 et l’ENISA pour préparer le projet d’acte délégué. Parmi les exemples de motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, figurent une procédure coordonnée de divulgation des vulnérabilités ou bien des situations dans lesquelles un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; est censé fournir une mesure d’atténuation à brève échéance et où les risques pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; d’une diffusion immédiate via la plateforme unique de signalement l’emportent sur les avantages qu’elle apporterait. Si le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. le demande, l’ENISA doit être en mesure de l’aider à faire valoir les motifs liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour retarder la diffusion de la notification sur la base des informations que l’ENISA a reçues de ce CSIRT sur la décision de ne pas diffuser une notification pour lesdits motifs. De plus, dans des circonstances tout à fait exceptionnelles, il y a lieu que l’ENISA ne reçoive pas simultanément tous les détails d’une notification de vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système;. Ce serait le cas lorsque le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; indique dans sa notification que la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée a été activement exploitée par une personne malveillante et que, selon les informations disponibles, elle n’a été exploitée dans aucun autre État membre que celui du CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. auquel le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a notifié la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;, lorsque toute nouvelle diffusion immédiate de la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée entraînerait probablement la transmission d’informations dont la divulgation serait contraire aux intérêts essentiels de cet État membre, ou lorsque la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée présente un risque élevé et imminent de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; du fait de sa diffusion ultérieure. Dans de tels cas, l’ENISA ne recevra simultanément que l’information qu’une notification a été effectuée par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, des informations générales sur le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné, l’information sur la nature générale de l’exploitation et l’information sur le fait que ces motifs de sécurité ont été soulevés par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et que le contenu complet de la notification n’est donc pas divulgué. La notification complète doit alors être mise à la disposition de l’ENISA et d’autres CSIRT désignés comme coordinateurs lorsque le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. qui reçoit le premier la notification constate que ces motifs de sécurité, en raison de circonstances particulièrement exceptionnelles telles qu’établies dans le présent règlement, ont disparu. Lorsque, sur la base des informations disponibles, l’ENISA considère qu’il existe un risque systémique compromettant la sécurité du marché intérieur, elle doit recommander au CSIRT destinataire de diffuser la notification complète aux autres CSIRT désignés comme coordinateurs et à l’ENISA elle-même.

Lorsque les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; notifient une vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; ou un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, ils doivent indiquer la nature sensible qu’ils estiment devoir attribuer à l’information notifiée. Le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. qui reçoit le premier la notification doit tenir compte de ces informations lorsqu’il évalue si la notification donne lieu à des circonstances exceptionnelles qui justifient de retarder la diffusion de la notification aux autres CSIRT concernés désignés comme coordinateurs, pour des motifs justifiés ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Il doit également tenir compte de ces informations lorsqu’il évalue si la notification d’une vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; donne lieu à des circonstances particulièrement exceptionnelles qui justifient que la notification complète ne soit pas mise à la disposition de l’ENISA au même moment. Enfin, les CSIRT désignés comme coordinateurs devraient être en mesure de prendre en considération ces informations lorsqu’ils définissent les mesures appropriées pour atténuer les risques découlant de ces vulnérabilités et incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;.

Afin de simplifier la communication des informations requises au titre du présent règlement, compte tenu des autres exigences complémentaires en matière de communication prévues par le droit de l’Union, telles que le règlement (UE) 2016/679, le règlement (UE) 2022/2554 du Parlement européen et du Conseil(²⁵)Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1)., la directive 2002/58/CE du Parlement européen et du Conseil(²⁶)Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (JO L 201 du 31.7.2002, p. 37). et la directive (UE) 2022/2555, et afin de réduire la charge administrative pesant sur les entités, les États membres sont incités à étudier la possibilité de mettre en place, au niveau national, des points d’entrée uniques pour lesdites exigences en matière de communication d’informations. L’utilisation de ces points d’entrée uniques nationaux pour la notification des incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. Lors de la mise en place de la plateforme unique de signalement visée dans le présent règlement, l’ENISA doit prendre en compte la possibilité pour les points finaux nationaux de notification électronique visés dans le présent règlement d’être intégrés dans des points d’entrée uniques nationaux qui peuvent également regrouper d’autres notifications requises par le droit de l’Union.

Lors de la mise en place de la plateforme unique de signalement visée dans le présent règlement et afin de mettre à profit l’expérience acquise, l’ENISA devrait consulter d’autres institutions ou agences de l’Union qui gèrent des plateformes ou des bases de données soumises à de strictes exigences de sécurité, telles que l’Agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice (eu-LISA). L’ENISA devrait également analyser les possibilités de complémentarité avec la base de données européenne sur les vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555.

Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et autres personnes physiques et morales devraient pouvoir notifier à un CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. ou à l’ENISA, à titre volontaire, toute vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; contenue dans un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; qui pourraient influer sur le profil de risque d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, tout incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un incident qui entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions; ainsi que les incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; évités de justesse qui auraient pu déboucher sur un tel incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;.

Les États membres devraient s’efforcer de traiter, dans la mesure du possible, les difficultés auxquelles sont confrontés les experts qui recherchent les vulnérabilités, y compris le risque lié à la responsabilité pénale potentielle, conformément au droit national. Étant donné que les personnes morales et physiques qui recherchent les vulnérabilités pourraient, dans certains États membres, être exposées à une responsabilité pénale et civile, les États membres sont encouragés à adopter des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour leurs activités.

Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; devraient mettre en place des politiques de divulgation coordonnée des vulnérabilités afin de faciliter le signalement desdites vulnérabilités par des personnes ou des entités soit directement au fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; soit indirectement et, sur demande, de manière anonyme, par l’intermédiaire des CSIRT désignés comme coordinateurs aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. Toute politique de divulgation coordonnée des vulnérabilités par les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devrait définir un processus structuré dans lequel les vulnérabilités sont signalées à un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de manière à lui donner la possibilité de diagnostiquer la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. En outre, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient également étudier la possibilité de publier leurs politiques de sécurité dans un format lisible par machine. Étant donné que les informations sur les vulnérabilités exploitables dans les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; largement utilisés peuvent être vendues à des prix élevés sur le marché noir, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de ces produits devraient pouvoir utiliser, dans le cadre de leurs politiques de divulgation coordonnée des vulnérabilités, des programmes visant à encourager le signalement des vulnérabilités en veillant à ce que les personnes ou les entités soient reconnues et récompensées pour leurs efforts. Il s’agit de ce que l’on appelle les programmes dits de «prime aux bogues».

Afin de faciliter l’analyse de la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devraient répertorier et documenter les composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; contenus dans les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, notamment en établissant une nomenclature des logiciels: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques;. Une telle nomenclature peut fournir à ceux qui fabriquent, achètent et exploitent des logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; des informations de nature à améliorer leur compréhension de la chaîne d’approvisionnement, ce qui présente de multiples avantages. Elle peut en particulier aider les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et les utilisateurs à suivre les vulnérabilités et les risques émergents nouvellement apparus en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Il est particulièrement important pour les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de s’assurer que leurs produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ne contiennent pas de composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; vulnérables développés par des tiers. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; ne devraient pas être tenus de rendre publique la nomenclature des logiciels: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques;.

Dans le cadre des nouveaux modèles commerciaux complexes liés aux ventes en ligne, une entreprise exerçant ses activités en ligne peut fournir toute une série de services. Selon la nature des services fournis en rapport avec un produit donné comportant des éléments numériques, la même entité peut relever de différentes catégories de modèles d’entreprise ou d’opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;. Lorsqu’une entité fournit uniquement des services d’intermédiation en ligne pour un produit donné comportant des éléments numériques et n’est qu’un fournisseur d’une place de marché en ligne au sens de l’article 3, point 14), du règlement (UE) 2023/988, elle ne peut être considérée comme l’un des types d’opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; définis dans le présent règlement. Lorsque la même entité est un fournisseur d’une place de marché en ligne et agit également comme opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; au sens du présent règlement, pour la vente de produits particuliers comportant des éléments numériques, elle devrait être soumise aux obligations prévues par le présent règlement pour ce type d’opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;. Par exemple, si le fournisseur d’une place de marché en ligne distribue également un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, il sera alors considéré, en ce qui concerne la vente de ce produit, comme un distributeur: une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés;. De même, si l’entité en question vend des produits de sa propre marque qui comportent des éléments numériques, elle serait considérée comme un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et devrait donc se conformer aux exigences applicables aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;. En outre, certaines entités peuvent être considérées comme des prestataires de services d’exécution des commandes au sens de l’article 3, point 11), du règlement (UE) 2019/1020 du Parlement européen et du Conseil(²⁷)Règlement (UE) 2019/1020 du Parlement européen et du Conseil du 20 juin 2019 sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) n^o 765/2008 et (UE) n^o 305/2011 (JO L 169 du 25.6.2019, p. 1). si elles proposent de tels services. Ces situations devraient être appréciées au cas par cas. Les places de marché en ligne jouant un rôle de premier plan dans le commerce électronique, elles devraient s’efforcer de coopérer avec les autorités de surveillance du marché des États membres pour contribuer à veiller à ce que les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui sont achetés par leur intermédiaire respectent les exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; prévues par le présent règlement.

Afin de faciliter l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; aux exigences prévues par le présent règlement, il convient de prévoir une présomption de conformité pour les produits dont les éléments numériques sont conformes à des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, qui traduisent les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement en spécifications techniques détaillées et sont adoptées conformément au règlement (UE) n^o 1025/2012 du Parlement européen et du Conseil(²⁸)Règlement (UE) n^o 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n^o 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).. Ledit règlement prévoit une procédure pour la formulation d’objections à l’encontre de normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; lorsque celles-ci ne satisfont pas pleinement aux exigences énoncées dans le présent règlement. Le processus de normalisation devrait garantir une représentation équilibrée des intérêts et la participation effective des parties prenantes de la société civile, y compris des organisations de consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;. Les normes internationales: une norme internationale au sens de l’article 2, point 1) a), du règlement (UE) no 1025/2012; qui sont conformes au niveau de protection en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; visé par les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; prévues par le présent règlement devraient également être prises en compte, afin de faciliter l’élaboration de normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; et la mise en œuvre du présent règlement, ainsi que la mise en conformité des entreprises, en particulier des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et des petites et moyennes entreprises, et de celles qui exercent leurs activités à l’échelle mondiale.

L’élaboration en temps utile de normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; au cours de la période transitoire pour l’application du présent règlement et leur disponibilité avant la date d’application du présent règlement seront particulièrement importantes pour sa mise en œuvre effective. C’est notamment le cas des produits importants comportant des éléments numériques qui relèvent de la classe I. La disponibilité de normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; permettra aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de ces produits d’effectuer les évaluations de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; selon la procédure de contrôle interne et peut ainsi éviter les goulets d’étranglement et les retards dans les activités des organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008;.

Le règlement (UE) 2019/881 établit un cadre européen de certification volontaire de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour les produits TIC, les processus TIC et les services TIC. Les schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; offrent un cadre commun de confiance pour les utilisateurs des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui entrent dans le champ d’application du présent règlement. Le présent règlement devrait dès lors créer des synergies avec le règlement (UE) 2019/881. Afin de faciliter l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; aux exigences prévues par le présent règlement, les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui sont certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma européen de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; conformément au règlement (UE) 2019/881 qui a été désigné par la Commission dans un acte d’exécution, sont présumés conformes aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement pour autant que le certificat européen de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou la déclaration de conformité ou des parties de ceux-ci couvrent ces exigences. La nécessité de nouveaux schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; devrait être évaluée à la lumière du présent règlement, y compris lors de l’élaboration du programme de travail glissant de l’Union conformément au règlement (UE) 2019/881. Lorsqu’il est nécessaire d’établir un nouveau schéma régissant les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, notamment pour faciliter la mise en conformité avec le présent règlement, la Commission peut demander à l’ENISA d’élaborer des schémas candidats conformément à l’article 48 du règlement (UE) 2019/881. Ces futurs schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, destinés à couvrir les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, devraient tenir compte des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; énoncées dans le présent règlement et faciliter le respect de celui-ci. Pour les schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui entrent en vigueur avant l’entrée en vigueur du présent règlement, des précisions peuvent être nécessaires sur les modalités selon lesquelles la présomption de conformité peut s’appliquer. Il convient d’habiliter, par voie d’actes délégués, la Commission à préciser dans quelles conditions les schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; peuvent être utilisés pour démontrer la conformité aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement. En outre, afin d’éviter une charge administrative excessive, il ne devrait y avoir aucune obligation pour les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de faire procéder à une évaluation de conformité par un tiers comme le prévoit le présent règlement pour les exigences correspondantes lorsqu’un certificat européen de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; a été délivré au titre desdits schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, au moins au niveau substantiel.

Dès l’entrée en vigueur du règlement d’exécution (UE) 2024/482 relatif aux produits relevant du champ d’application du présent règlement, tels que les modules de sécurité matériels et les microprocesseurs, la Commission devrait être en mesure de préciser, par voie d’un acte délégué, comment la certification EUCC crée une présomption de conformité aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement ou à certaines de ses parties En outre, cet acte délégué peut définir comment un certificat délivré au titre de la EUCC élimine l’obligation pour les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’avoir recours à une évaluation par un tiers, comme l’exige le présent règlement, pour les exigences correspondantes.

Le cadre de normalisation européen en vigueur qui repose sur les principes de la nouvelle approche définie dans la résolution du Conseil du 7 mai 1985 concernant une nouvelle approche en matière d’harmonisation technique et de normalisation et sur le règlement (UE) n^o 1025/2012 constitue par défaut le cadre régissant l’élaboration des normes prévoyant la présomption de conformité aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pertinentes énoncées dans le présent règlement. Les normes européennes: une norme européenne au sens de l’article 2, point 1) b), du règlement (UE) no 1025/2012; devraient être axées sur le marché et tenir compte de l’intérêt public, ainsi que des objectifs stratégiques clairement énoncés dans la demande que la Commission adresse à une ou plusieurs organisations européennes de normalisation pour qu’elles élaborent des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, dans un délai déterminé et sur la base d’un consensus. Toutefois, en l’absence de références pertinentes à des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, la Commission devrait pouvoir adopter des actes d’exécution établissant des spécifications communes pour les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement, à condition que, ce faisant, elle respecte dûment le rôle et les fonctions des organisations européennes de normalisation, en tant que solution de repli exceptionnelle pour faciliter l’obligation du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de se conformer à ces exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, lorsque le processus de normalisation est bloqué ou lorsqu’il y a des retards dans l’établissement de normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; appropriées. Si un tel retard est dû à la complexité technique de la norme en question, la Commission devrait en tenir compte avant d’envisager l’établissement de spécifications communes.

Afin d’établir, avec la plus grande efficacité, des spécifications communes applicables aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement, la Commission devrait associer au processus les parties prenantes concernées.

Par délai raisonnable, en lien avec la publication d’une référence à des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012; au Journal officiel de l’Union européenne conformément au règlement (UE) n^o 1025/2012, on entend la période pendant laquelle est attendue la publication au Journal officiel de l’Union européenne de la référence à la norme, de son rectificatif ou de sa modification, période qui ne doit pas être supérieure à une année après l’expiration du délai d’élaboration d’une norme européenne: une norme européenne au sens de l’article 2, point 1) b), du règlement (UE) no 1025/2012; fixé conformément au règlement (UE) n^o 1025/2012.

Afin de faciliter l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement, il convient d’établir une présomption de conformité pour les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; répondant aux spécifications communes adoptées par la Commission en vertu du présent règlement, aux fins de l’expression de spécifications techniques détaillées sur la base de ces exigences.

L’application de normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, de spécifications communes ou de schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adoptés en vertu du règlement (UE) 2019/881 et fournissant une présomption de conformité en ce qui concerne les exigences essentielles applicables aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; facilitera l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; par les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;. Si le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; choisit de ne pas recourir à ces moyens pour certaines exigences, il doit indiquer dans sa documentation technique de quelle autre manière la conformité est respectée. En outre, l’application de normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, de spécifications communes ou de schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adoptés en vertu du règlement (UE) 2019/881 et fournissant une présomption de conformité par les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; faciliterait le contrôle, par les autorités de surveillance du marché, de la conformité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Par conséquent, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont incités à appliquer ces normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, spécifications communes ou schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;.

Il y a lieu que les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; établissent une déclaration UE de conformité afin de fournir les informations requises par le présent règlement concernant la conformité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement et, le cas échéant, par d’autres législations d’harmonisation de l’Union: la législation de l’Union énumérée à l’annexe I du règlement (UE) 2019/1020 et toute autre législation de l’Union harmonisant les conditions de commercialisation des produits auxquels ledit règlement s’applique; applicables dont relève le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; peuvent également être tenus d’établir une déclaration UE de conformité en vertu d’autres actes juridiques de l’Union. Pour garantir un accès effectif aux informations à des fins de surveillance du marché, une déclaration UE de conformité unique attestant le respect de tous les actes juridiques de l’Union devrait être établie. Pour réduire la charge administrative pesant sur les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;, cette déclaration UE de conformité unique devrait pouvoir être un dossier composé des différentes déclarations de conformité pertinentes.

Le marquage CE: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition;, qui matérialise la conformité d’un produit, est le résultat visible de tout un processus englobant l’évaluation de conformité au sens large. Le règlement (CE) n^o 765/2008 du Parlement européen et du Conseil(²⁹)Règlement (CE) n^o 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et abrogeant le règlement (CEE) n^o 339/93 (JO L 218 du 13.8.2008, p. 30). établit les principes généraux régissant le marquage CE: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition;. Les règles régissant l’apposition du marquage CE: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition; sur les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; devraient être définies par le présent règlement. Le marquage CE: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition; devrait être le seul marquage garantissant la conformité d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; aux exigences énoncées dans le présent règlement.

Afin de permettre aux opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; de démontrer qu’ils respectent les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement et aux autorités de surveillance du marché de s’assurer que les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; mis à disposition sur le marché sont conformes à ces exigences, il est nécessaire de prévoir des procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;. La décision n^o 768/2008/CE du Parlement européen et du Conseil(³⁰)Décision n^o 768/2008/CE du Parlement européen et du Conseil du 9 juillet 2008 relative à un cadre commun pour la commercialisation des produits et abrogeant la décision 93/465/CEE du Conseil (JO L 218 du 13.8.2008, p. 82). établit des modules pour l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;, dont les procédures sont proportionnées au risque encouru et au niveau de sécurité requis. Afin d’assurer la cohérence entre les secteurs et d’éviter une multiplication de variantes ad hoc, des procédures adéquates devraient être fondées sur ces modules afin de vérifier la conformité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement. Les procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; devraient examiner et vérifier les exigences relatives aux produits et aux processus couvrant l’ensemble du cycle de vie des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, y compris la planification, la conception, le développement ou la production, les essais et l’entretien du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;.

L’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ne sont pas répertoriés dans le présent règlement en tant que produits importants ou critiques comportant des éléments numériques peut être effectuée par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; sous sa propre responsabilité, conformément à la procédure de contrôle interne fondée sur le module A de la décision 768/2008/CE, conformément au présent règlement. Cela s’applique également aux cas où un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; choisit de ne pas appliquer, en tout ou en partie, une norme harmonisée: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, une spécification commune ou un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; applicable. Le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; conserve la possibilité de choisir une procédure d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; plus stricte faisant intervenir un tiers. Dans le cadre de la procédure d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; par contrôle interne, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; assure et déclare sous sa seule responsabilité que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et les procédés du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; satisfont aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; applicables définies dans le présent règlement. Si un produit important comportant des éléments numériques relève de la classe I, une assurance supplémentaire est requise pour démontrer la conformité aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement. Le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; devrait appliquer des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, des spécifications communes ou des schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adoptés conformément au règlement (UE) 2019/881, répertoriés par la Commission dans un acte d’exécution, s’il souhaite effectuer l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; sous sa propre responsabilité (module A). Si le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; n’applique pas ces normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, spécifications communes ou schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, il devrait se soumettre à une évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; par un tiers (sur la base des modules B et C ou du module H). Compte tenu de la charge administrative pesant sur les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et du fait que la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; joue un rôle important dans la phase de conception et de développement des produits matériels et immatériels comportant des éléments numériques, les procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; fondées respectivement sur les modules B et C ou du module H de la décision 768/2008/CE ont été retenues comme étant les plus appropriées pour évaluer de manière proportionnée et efficace la conformité des produits importants comportant des éléments numériques. Le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qui fait procéder à l’évaluation de conformité par un tiers peut choisir la procédure qui convient le mieux à son processus de conception et de production. Compte tenu du risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; encore plus grand lié à l’utilisation de produits importants comportant des éléments numériques qui relèvent de la classe II, l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; de ces produits devrait toujours prévoir l’intervention d’un tiers, même lorsque le produit est conforme, en tout ou en partie, à des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, à des spécifications communes ou à des schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de produits importants comportant des éléments numériques répondant aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; devraient pouvoir suivre la procédure de contrôle interne basée sur le module A, à condition de mettre la documentation technique à la disposition du public.

Si la création de produits matériels comportant des éléments numériques nécessite généralement des efforts substantiels de la part des fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; tout au long des phases de conception, de développement et de production, la création de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sous la forme de logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; se concentre presque exclusivement sur la conception et le développement, tandis que la phase de production joue un rôle mineur. Néanmoins, dans de nombreux cas, les produits logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; doivent encore être compilés, construits, conditionnés, mis à disposition pour téléchargement ou copiés sur des supports physiques avant leur mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union;. Ces activités devraient être assimilées à des activités de production lors de l’application des modules d’évaluation pertinents pour vérifier la conformité du produit aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement au cours des phases de conception, de développement et de production.

En ce qui concerne les microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et les petites entreprises, il convient, afin de garantir la proportionnalité, de réduire les frais administratifs sans pour autant que le niveau de cyberprotection des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui relèvent du champ d’application du présent règlement non plus que l’équité des conditions de concurrence entre les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; en pâtissent. Il convient donc que la Commission établisse un formulaire de documentation technique simplifiée ciblant les besoins des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et des petites entreprises. Il convient que le formulaire de documentation technique simplifiée adopté par la Commission porte sur l’ensemble des éléments applicables relatifs à la documentation technique prévue dans le présent règlement et qu’il précise les modalités suivant lesquelles une microentreprise ou une petite entreprise peut fournir de manière concise les éléments demandés, tels que la description de la conception, du développement et de la fabrication du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Ainsi, le formulaire contribuerait à alléger la charge administrative de la conformité en apportant aux entreprises concernées une sécurité juridique quant au périmètre et au niveau de détail requis des informations à fournir. Il convient de permettre également aux microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et aux petites entreprises de choisir de fournir sous forme développée les éléments applicables relatifs à la documentation technique et de ne pas recourir au formulaire de documentation technique simplifiée mis à leur disposition.

Il importe, pour encourager et protéger l’innovation, de prêter une attention particulière aux intérêts des fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qui sont des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; ou des petites et moyennes entreprises, et en particulier des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et des petites entreprises, y compris les jeunes pousses. À cette fin, les États membres pourraient élaborer des initiatives ciblant les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qui sont des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; ou des petites entreprises, notamment en matière de formation, de sensibilisation, de communication des informations et d’activités d’essai et d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; par un tiers, ainsi que créer des sas réglementaires. Les coûts de traduction liés aux documents obligatoires, tels que la documentation technique et les informations et instructions destinées à l’utilisateur exigées en vertu du présent règlement, ainsi qu’à la communication avec les autorités, peuvent être importants pour les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, en particulier s’ils sont de petite taille. Les États membres devraient donc pouvoir envisager qu’une des langues qu’ils choisissent et acceptent pour la documentation pertinente des fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et pour la communication avec les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; soit une langue largement comprise par le plus grand nombre possible d’utilisateurs.

Pour garantir une bonne application du présent règlement, les États membres devraient s’efforcer de garantir, avant la date d’application du présent règlement, la disponibilité en nombre suffisant d’organismes notifiés à même de réaliser des évaluations de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; par un tiers. La Commission devrait s’efforcer d’aider les États membres et les autres parties concernées dans cette démarche afin d’éviter aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; les goulets d’étranglement et les obstacles à l’entrée sur le marché. Des activités de formation ciblées, menées par les États membres, y compris, le cas échéant, avec l’appui de la Commission, peuvent contribuer à la disponibilité de professionnels qualifiés, y compris pour aider les organismes notifiés dans leurs activités au titre du présent règlement. En outre, étant donné les coûts que peut engendrer l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; par un tiers, il convient d’envisager la mise en place d’initiatives de financement au niveau de l’Union et au niveau national afin de s’efforcer de réduire ces coûts pour les microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et les petites entreprises.

Afin de garantir la proportionnalité, il convient que les organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008;, lorsqu’ils fixent les redevances imposées pour les procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;, tiennent compte des intérêts et besoins spécifiques des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et des petites et moyennes entreprises, y compris les jeunes pousses. En particulier, il convient que les organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; n’appliquent la procédure d’examen et les essais pertinents prévus dans le présent règlement que lorsqu’il y a lieu et suivant une approche fondée sur les risques.

Les sas réglementaires devraient avoir pour objectif de renforcer l’innovation et la compétitivité des entreprises en créant des environnements d’essai contrôlés avant la mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union; de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Il convient que les sas réglementaires contribuent au renforcement de la sécurité juridique pour l’ensemble des acteurs qui relèvent du champ d’application du présent règlement et accélèrent l’accès au marché de l’Union des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, en particulier s’ils sont fournis par des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et des petites entreprises, y compris des jeunes pousses.

Afin de permettre la réalisation d’une évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; par un tiers pour des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, les autorités nationales notifiantes devraient notifier les organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; à la Commission et aux autres États membres, pour autant qu’ils respectent un ensemble d’exigences, notamment en matière d’indépendance, de compétence et d’absence de conflits d’intérêts.

Afin d’assurer un niveau de qualité homogène des évaluations de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, il est également nécessaire de définir les exigences auxquelles doivent satisfaire les autorités notifiantes et les autres organismes qui participent à l’évaluation, à la notification et à la surveillance des organismes notifiés. Le système défini dans le présent règlement devrait être complété par le système d’accréditation prévu dans le règlement (CE) n^o 765/2008. Dans la mesure où l’accréditation constitue un moyen essentiel pour vérifier la compétence des organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008;, il y a lieu d’y avoir également recours aux fins de la notification.

Il convient d’évaluer et de notifier à nouveau conformément au présent règlement les organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; qui ont été accrédités et notifiés conformément au droit de l’Union définissant des exigences similaires à celles prévues par le présent règlement, par exemple un organisme d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; qui a été notifié dans le cadre d’un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adopté conformément au règlement (UE) 2019/881 ou notifié conformément au règlement délégué (UE) 2022/30. Toutefois, les autorités concernées peuvent prévoir des synergies en cas de chevauchement d’exigences afin d’éviter toute charge financière et administrative inutile et de garantir le bon déroulement en temps utile du processus de notification.

L’accréditation organisée de manière transparente, ainsi que le prévoit le règlement (CE) n^o 765/2008, pour assurer le niveau nécessaire de confiance dans les certificats de conformité, devrait être considérée par les autorités publiques nationales dans l’ensemble de l’Union comme le moyen privilégié de démontrer la compétence technique des organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008;. Cependant, les autorités nationales peuvent estimer qu’elles disposent des moyens appropriés pour procéder elles-mêmes à cette évaluation. Dans ce cas, afin de garantir le niveau suffisant de crédibilité des évaluations réalisées par d’autres autorités nationales, elles devraient fournir à la Commission et aux autres États membres les preuves documentaires nécessaires démontrant que les organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; qui font l’objet de ladite évaluation satisfont aux exigences réglementaires pertinentes.

Les organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; sous-traitent fréquemment une partie de leurs activités liées à l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;, ou ont recours à une filiale. Afin de préserver le niveau de protection requis pour les produits comprenant des éléments numériques destinés à être mises sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union;, il est primordial que les sous-traitants et les filiales qui réalisent l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; respectent les mêmes exigences que les organismes notifiés pour ce qui est de la réalisation des tâches d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;.

L’autorité notifiante: l’autorité nationale chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle; devrait envoyer la notification d’un organisme d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; à la Commission et aux autres États membres par l’intermédiaire du système d’information NANDO (New Approach Notified and Designated Organisations). Le système d’information NANDO est l’outil de notification électronique développé et géré par la Commission, où une liste de tous les organismes notifiés peut être trouvée.

Étant donné que les organismes notifiés peuvent offrir leurs services dans l’ensemble de l’Union, il convient de donner aux autres États membres et à la Commission la possibilité de soulever des objections à l’égard d’un organisme notifié: un organisme d’évaluation de la conformité désigné en application de l’article 43 et de toute autre législation d’harmonisation de l’Union pertinente;. Il est donc important de prévoir une période pendant laquelle d’éventuels doutes ou inquiétudes quant à la compétence d’organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; peuvent être levés, avant que ceux-ci ne débutent leurs activités en tant qu’organismes notifiés.

Pour des raisons de compétitivité, il est essentiel que les organismes notifiés appliquent les procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; sans imposer une charge inutile aux opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;. Pour les mêmes raisons et afin de garantir l’égalité de traitement des opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;, il y a lieu de veiller à une application technique cohérente desdites procédures. La meilleure manière d’atteindre cet objectif serait d’assurer une coordination et une coopération appropriées entre les organismes notifiés.

La surveillance du marché est un outil essentiel pour assurer l’application correcte et uniforme du droit de l’Union. Il convient dès lors de mettre en place le cadre juridique dans lequel la surveillance du marché pourra être effectuée de manière appropriée. Les règles relatives à la surveillance du marché de l’Union et au contrôle des produits entrant sur le marché de l’Union prévues par le règlement (UE) 2019/1020 s’appliquent aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui relèvent du champ d’application du présent règlement.

Conformément au règlement (UE) 2019/1020, une autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; est chargée de la surveillance du marché sur le territoire de l’État membre qui l’a désignée. Le présent règlement ne devrait pas empêcher les États membres de choisir les autorités compétentes pour l’accomplissement des tâches de surveillance du marché. Chaque État membre devrait désigner une ou plusieurs autorités de surveillance du marché sur son territoire. Les États membres devraient pouvoir choisir de désigner toute autorité existante ou nouvelle pour agir en qualité d’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020;, y compris les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555, les autorités nationales de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; désignées en vertu de l’article 58 du règlement (UE) 2019/881 ou les autorités de surveillance du marché désignées aux fins de la directive 2014/53/UE. Les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; devraient coopérer pleinement avec les autorités de surveillance du marché et les autres autorités compétentes. Chaque État membre devrait communiquer à la Commission ainsi qu’aux autres États membres le nom de ses autorités de surveillance du marché et les domaines de compétence de chacune de ces autorités et veiller à ce qu’elles disposent des ressources et compétences nécessaires pour effectuer les tâches de surveillance du marché qui leur incombent en vertu du présent règlement. En vertu de l’article 10, paragraphes 2 et 3, du règlement (UE) 2019/1020, chaque État membre devrait désigner un bureau de liaison unique chargé, entre autres, de représenter la position coordonnée des autorités de surveillance du marché et de contribuer à la coopération entre les autorités de surveillance du marché des différents États membres.

Il convient de créer un ADCO chargé spécifiquement de la cyberrésilience des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; aux fins de l’application uniforme du présent règlement, conformément à l’article 30, paragraphe 2, du règlement (UE) 2019/1020. L’ADCO devrait être composé de représentants des autorités de surveillance du marché désignées et, si nécessaire, de représentants des bureaux de liaison uniques. La Commission devrait soutenir et encourager la coopération entre les autorités de surveillance du marché par l’intermédiaire du réseau de l’Union pour la conformité des produits, institué en vertu de l’article 29 du règlement (UE) 2019/1020 et composé de représentants de chaque État membre, y compris un représentant de chaque bureau de liaison unique visé à l’article 10 dudit règlement et un expert national facultatif, des présidents des ADCO et de représentants de la Commission. La Commission devrait participer aux réunions du réseau de l’Union pour la conformité des produits, de ses sous-groupes et de l’ADCO. Elle devrait également assister l’ADCO au moyen d’un secrétariat exécutif qui lui fournirait une assistance technique et logistique. L’ADCO pourrait également inviter des experts indépendants et nouer des liens avec d’autres ADCO, tels que ceux établis conformément à la directive 2014/53/UE.

Les autorités de surveillance du marché, par l’intermédiaire de l’ADCO établi en vertu du présent règlement, devraient coopérer étroitement entre elles et être en mesure d’élaborer des documents d’orientation afin de faciliter les activités de surveillance du marché au niveau national, par exemple en indiquant des bonnes pratiques et en élaborant des indicateurs qui permettent de vérifier efficacement la conformité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; au présent règlement.

Afin de garantir des mesures opportunes, proportionnées et efficaces en ce qui concerne les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; présentant un risque de cybersécurité important: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable;, il convient de prévoir une procédure de sauvegarde de l’Union en vertu de laquelle les parties intéressées sont informées des mesures qu’il est prévu de prendre à l’égard de ces produits. Cette procédure de sauvegarde devrait également permettre aux autorités de surveillance du marché, en coopération avec les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; concernés, d’agir, le cas échéant, à un stade plus précoce. Lorsqu’il y a accord entre les États membres et la Commission quant au bien-fondé d’une mesure prise par un État membre, une intervention de la Commission ne devrait plus être nécessaire, sauf dans les cas où la non-conformité peut être attribuée aux insuffisances d’une norme harmonisée: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;.

Dans certains cas, un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; conforme au présent règlement peut néanmoins présenter un risque de cybersécurité important: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable; ou présenter un risque pour la santé ou la sécurité des personnes, pour le respect des obligations découlant du droit de l’Union ou du droit national visant à protéger les droits fondamentaux, la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services offerts au moyen d’un système d’information électronique: un système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques; par des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555 ou pour d’autres aspects de la protection de l’intérêt public. Il est donc nécessaire d’établir des règles permettant d’atténuer ces risques. En conséquence, les autorités de surveillance du marché devraient prendre des mesures pour demander à l’opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; de veiller à ce que le produit ne présente plus ce risque, de le rappeler ou de le retirer, en fonction du risque. Dès qu’une autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; restreint ou interdit ainsi la libre circulation d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, l’État membre devrait informer la Commission et les autres États membres sans retard des mesures provisoires prises, en justifiant sa décision. Lorsqu’une autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; adopte de telles mesures à l’encontre de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui présentent un risque, la Commission devrait entamer sans retard des consultations avec les États membres et le ou les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; concernés et évaluer la mesure nationale. En fonction des résultats de cette évaluation, la Commission devrait décider si la mesure nationale est justifiée ou non. La Commission devrait adresser sa décision à tous les États membres et la communiquer immédiatement à ceux-ci ainsi qu’à l’opérateur ou aux opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; concernés. Si la mesure est jugée justifiée, la Commission devrait également envisager l’adoption de propositions de révision de la législation de l’Union pertinente.

Pour les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; présentant un risque de cybersécurité important: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable;, et lorsqu’il y a lieu de croire que ces produits ne sont pas conformes au présent règlement, ou pour les produits qui sont conformes au présent règlement, mais présentent d’autres risques importants, tels que des risques pour la santé ou la sécurité des personnes, pour le respect d’obligations prévues par le droit de l’Union ou le droit national à des fins de protection des droits fondamentaux ou pour la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services offerts au moyen d’un système d’information électronique: un système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques; par des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555, la Commission devrait pouvoir demander à l’ENISA de procéder à une évaluation. Sur la base de cette évaluation, la Commission devrait pouvoir adopter, par voie d’actes d’exécution, des mesures correctives ou restrictives au niveau de l’Union, y compris en exigeant le retrait: un retrait au sens de l’article 3, point 23), du règlement (UE) 2019/1020; du marché ou le rappel: un rappel au sens de l’article 3, point 22), du règlement (UE) 2019/1020; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concernés, dans un délai raisonnable, proportionné à la nature du risque. La Commission ne devrait pouvoir recourir à une telle intervention que dans des circonstances exceptionnelles qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur, et uniquement lorsque aucune mesure efficace n’a été prise par les autorités de surveillance du marché pour remédier à la situation. De telles circonstances exceptionnelles peuvent être des situations d’urgence dans lesquelles, par exemple, un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; non conforme est largement mis à disposition par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; dans plusieurs États membres, utilisé également dans des secteurs clés par des entités relevant du champ d’application de la directive (UE) 2022/2555, alors qu’il contient des vulnérabilités connues qui sont exploitées par des acteurs malveillants et pour lesquelles le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; ne met pas de correctifs à disposition. La Commission ne devrait pouvoir intervenir dans de telles situations d’urgence que pour la durée des circonstances exceptionnelles et si le non-respect du présent règlement ou les risques importants présentés persistent.

Lorsqu’il existe des indices de non-respect du présent règlement dans plusieurs États membres, les autorités de surveillance du marché devraient pouvoir mener des activités conjointes avec d’autres autorités, en vue de vérifier la conformité et d’identifier les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;.

Les actions de contrôle coordonnées simultanées (opérations «coup de balai») sont des mesures d’application spécifiques prises par les autorités de surveillance du marché qui peuvent renforcer davantage la sécurité des produits. Ces «coups de balai» devraient avoir lieu, en particulier, lorsque les tendances du marché, les plaintes des consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale; ou d’autres indices suggèrent que certaines catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; présentent souvent des risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;. En outre, lors de la sélection des catégories de produits devant faire l’objet d’opérations «coup de balai», il convient que les autorités de surveillance du marché tiennent également compte de circonstances relatives à des facteurs de risque non techniques. Pour ce faire, il convient que les autorités de surveillance du marché puissent tenir compte des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555, y compris les circonstances relatives à des facteurs de risque non techniques. L’ENISA devrait soumettre aux autorités de surveillance du marché des propositions concernant des catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; pour lesquelles des opérations simultanées pourraient être organisées, sur la base, entre autres, des notifications de vulnérabilités et d’incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; qu’elle reçoit.

Eu égard à son expertise et à son mandat, l’ENISA devrait être en mesure de soutenir le processus de mise en œuvre du présent règlement. L’ENISA devrait notamment pouvoir proposer des activités conjointes à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations concernant un non-respect potentiel du présent règlement, dans plusieurs États membres, de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ou recenser les catégories de produits pour lesquelles des opérations «coup de balai» devraient être organisées. Dans des circonstances exceptionnelles, l’ENISA devrait, à la demande de la Commission, être en mesure de procéder à des évaluations portant sur des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; spécifiques qui présentent un risque de cybersécurité important: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable;, lorsqu’une intervention immédiate est nécessaire pour préserver le bon fonctionnement du marché intérieur.

Le présent règlement attribue à l’ENISA certaines tâches qui exigent des ressources adaptées, tant en termes de savoir-faire que de ressources humaines, pour être menées à bien de manière efficace. La Commission proposera les ressources budgétaires nécessaires pour le tableau des effectifs de l’ENISA, conformément à la procédure prévue à l’article 29 du règlement (UE) 2019/881, lorsqu’elle élaborera le projet de budget général de l’Union. Au cours de ce processus, la Commission examinera l’ensemble des ressources dont dispose l’ENISA pour mener à bien ses missions, y compris celles qui lui sont conférées en vertu du présent règlement.

Afin de garantir que le cadre réglementaire puisse être adapté si nécessaire, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne l’établissement et la mise à jour de la liste figurant en annexe du présent règlement des produits importants comportant des éléments numériques. Il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article pour lui permettre de répertorier les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; couverts par d’autres règles de l’Union qui atteignent un niveau de protection identique à celui du présent règlement, en précisant si une limitation ou une exclusion du champ d’application du présent règlement serait nécessaire ainsi que la portée de cette limitation, le cas échéant. Il convient également de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article en ce qui concerne la possibilité de rendre obligatoire la certification au titre d’un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits critiques comportant des éléments numériques énoncés en annexe du présent règlement, en ce qui concerne la mise à jour de la liste des produits critiques comportant des éléments numériques sur la base des critères de criticité énoncés dans le présent règlement, et en ce qui concerne la désignation des schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adoptés en vertu du règlement (UE) 2019/881 qui peuvent être utilisés pour démontrer le respect des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou de parties de celles-ci énoncées en annexe au présent règlement. Il convient également de déléguer à la Commission le pouvoir d’adopter des actes pour préciser la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; minimale pour des catégories spécifiques de produits lorsque les données de surveillance du marché tendent à indiquer des périodes d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; insuffisantes, ainsi que pour préciser les conditions d’application des motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en lien avec des retards de diffusion de notifications de vulnérabilités activement exploitées. En outre, il convient de déléguer à la Commission le pouvoir d’adopter des actes pour créer des programmes volontaires d’attestation de sécurité afin d’évaluer la conformité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères de logiciels libres et ouverts: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable; à l’ensemble ou à certaines des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou d’autres obligations prévues par le présent règlement, ainsi que pour préciser le contenu minimal de la déclaration UE de conformité et pour compléter les éléments à inclure dans la documentation technique. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»(³¹)JO L 123 du 12.5.2016, p. 1.. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués. Le pouvoir d’adopter des actes délégués en vertu du présent règlement devrait être conféré à la Commission pour une période de cinq ans à compter du 10 décembre 2024. La Commission devrait élaborer un rapport relatif à la délégation de pouvoir au plus tard neuf mois avant la fin de la période de cinq ans. La délégation de pouvoir devrait être tacitement prorogée pour des périodes d’une durée identique, sauf si le Parlement européen ou le Conseil s’oppose à cette prorogation trois mois au plus tard avant la fin de chaque période.

Afin de garantir des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission, afin qu’elle spécifie la description technique des catégories de produits importants comportant des éléments numériques qui figurent en annexe du présent règlement, qu’elle spécifie le format et les éléments de la nomenclature des logiciels: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques;, qu’elle précise davantage le format et la procédure des notifications de vulnérabilités activement exploitées et d’incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; graves ayant des répercussions sur la sécurité de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; soumises par les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, qu’elle établisse des spécifications communes couvrant les exigences techniques qui offrent un moyen de se conformer aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées en annexe du présent règlement, qu’elle établisse des spécifications techniques pour les étiquettes, pictogrammes ou toute autre marque liée à la sécurité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, leur période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; ainsi que les mécanismes visant à promouvoir leur utilisation et à sensibiliser le public à la sécurité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, qu’elle définisse le formulaire de documentation technique simplifiée ciblant les besoins des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et des petites entreprises et qu’elle décide de mesures correctives ou restrictives au niveau de l’Union dans des circonstances exceptionnelles qui justifient une intervention immédiate afin de préserver le bon fonctionnement du marché intérieur. Ces compétences devraient être exercées en conformité avec le règlement (UE) n^o 182/2011 du Parlement européen et du Conseil(³²)Règlement (UE) n^o 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj)..

Afin de garantir une coopération constructive et de confiance entre les autorités de surveillance du marché au niveau de l’Union et au niveau national, toutes les parties intervenant dans l’application du présent règlement devraient respecter la confidentialité des informations et des données obtenues dans le cadre de l’exécution de leurs tâches.

Afin de garantir une application efficace des obligations prévues par le présent règlement, chaque autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives. Il convient donc d’établir des niveaux maximaux pour les amendes administratives à prévoir dans la législation nationale en cas de non-respect des obligations prévues par le présent règlement. Pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas devraient être prises en considération et, au minimum, celles explicitement établies dans le présent règlement, y compris la question de savoir si le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; est une microentreprise ou une petite ou moyenne entreprise, y compris une jeune pousse, et si des amendes administratives ont déjà été imposées par la même ou par d’autres autorités de surveillance du marché au même opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; pour une infraction similaire. De telles caractéristiques seraient susceptibles d’être soit aggravantes, dans des situations où l’infraction commise par le même opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; persiste sur le territoire d’autres États membres que celui où une amende administrative a déjà été infligée, soit atténuantes, en veillant à ce que toute autre amende administrative envisagée par une autre autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; pour le même opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; ou le même type d’infraction tienne déjà compte, avec d’autres caractéristiques spécifiques pertinentes, d’une sanction imposée dans d’autres États membres et de son montant. Dans tous ces cas, l’amende administrative cumulative que les autorités de surveillance du marché de plusieurs États membres pourraient infliger au même opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; pour le même type d’infraction devrait être conforme au principe de proportionnalité. Étant donné qu’une amende administrative ne peut être infligée à une microentreprise ou une petite entreprise pour non-respect du délai de vingt-quatre heures fixé pour notifier une alerte précoce de vulnérabilités activement exploitées ou d’incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; graves ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, ni à un intendant de logiciels ouverts: une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits; pour quelque infraction au présent règlement que ce soit, et compte tenu du principe qui prévoit que les sanctions soient efficaces, proportionnées et dissuasives, il convient que les États membres n’imposent auxdites entités aucun autre type de sanction de nature pécuniaire.

Lorsque des amendes administratives sont imposées à une personne qui n’est pas une entreprise, l’autorité compétente devrait tenir compte, lorsqu’elle examine le montant approprié pour l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives.

Il convient que les États membres, compte tenu de leurs situations nationales, examinent la possibilité d’utiliser les recettes générées par les sanctions prévues par le présent règlement, ou leur équivalent financier, pour soutenir les politiques de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et améliorer le niveau de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’Union, notamment en augmentant le nombre de professionnels qualifiés dans le domaine de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, en renforçant les capacités des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et des petites et moyennes entreprises et en améliorant la sensibilisation du public aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;.

Dans ses rapports avec les pays tiers, l’Union s’efforce de favoriser le commerce international des produits réglementés. Un large éventail de mesures peut être appliqué afin de faciliter le commerce, dont plusieurs instruments juridiques tels que les accords de reconnaissance mutuelle (ARM) bilatéraux (intergouvernementaux) sur l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; et le marquage des produits réglementés. Les ARM sont conclus entre l’Union et les pays tiers bénéficiant d’un niveau de développement technique comparable et poursuivant une approche compatible en matière d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;. Ces accords se fondent sur l’acceptation mutuelle des certificats, des marques de conformité et des rapports d’essai délivrés par les organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008; de l’une des deux parties conformément à la législation de l’autre partie. Actuellement, des ARM sont en place avec plusieurs pays tiers. Ces ARM sont conclus dans un certain nombre de secteurs spécifiques pouvant varier selon les pays tiers. Afin de faciliter davantage le commerce et compte tenu du fait que les chaînes d’approvisionnement de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont mondiales, des ARM concernant l’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; peuvent être conclus par l’Union, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne, pour les produits régis par le présent règlement. La coopération avec les pays tiers partenaires est également importante pour renforcer la cyberrésilience à l’échelle mondiale, car à long terme, celle-ci contribuera à renforcer le cadre de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; tant à l’intérieur qu’à l’extérieur de l’Union.

Les consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale; devraient être en droit de faire valoir leurs droits relatifs aux obligations imposées aux opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; dans le cadre du présent règlement, au moyen d’actions représentatives en vertu de la directive (UE) 2020/1828 du Parlement européen et du Conseil(³³)Directive (UE) 2020/1828 du Parlement européen et du Conseil du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE (JO L 409 du 4.12.2020, p. 1).. À cette fin, le présent règlement devrait prévoir que la directive (UE) 2020/1828 s’applique aux actions représentatives concernant des infractions au présent règlement qui portent atteinte ou peuvent porter atteinte aux intérêts collectifs des consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;. Il convient donc de modifier l’annexe I de ladite directive en conséquence. Il appartient aux États membres de veiller à ce que ces modifications soient prises en compte dans les mesures de transposition adoptées en vertu de ladite directive, bien que l’adoption de mesures de transposition nationales à cet égard ne soit pas une condition de l’applicabilité de ladite directive à ces actions représentatives. L’applicabilité de ladite directive aux actions représentatives intentées contre les infractions aux dispositions du présent règlement commises par des opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; qui portent atteinte ou pourraient porter atteinte aux intérêts collectifs des consommateurs: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale; devrait débuter au 11 décembre 2027.

Le présent règlement devrait être évalué et réexaminé périodiquement par la Commission, en consultation avec les parties intéressées, notamment en vue de déterminer s’il est nécessaire de le modifier pour tenir compte de l’évolution de la société, de la situation politique, des technologies ou de la situation des marchés. Le présent règlement facilitera le respect des obligations relatives à la sécurité de la chaîne d’approvisionnement incombant aux entités relevant du champ d’application du règlement (UE) 2022/2554 et de la directive (UE) 2022/2555 qui utilisent des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Il convient que la Commission évalue, dans le cadre de ce réexamen périodique, les effets combinés du cadre de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de l’Union.

Il convient d’accorder un délai suffisant aux opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; afin qu’ils s’adaptent aux exigences énoncées dans le présent règlement. Le présent règlement devrait s’appliquer à partir du 11 décembre 2027, à l’exception des obligations de signalement concernant les vulnérabilités activement exploitées et les incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; graves ayant des répercussions sur la sécurité des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, qui devraient s’appliquer à partir du 11 septembre 2026, et des dispositions relatives à la notification des organismes d’évaluation de la conformité: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008;, qui devraient s’appliquer à partir du 11 juin 2026.

Il importe de soutenir les microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et les petites et moyennes entreprises, y compris les jeunes pousses, dans l’exécution du présent règlement et de réduire au minimum les risques relatifs à l’exécution résultant d’un manque de connaissances et de savoir-faire sur le marché, y compris dans le but de faciliter le respect par les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; des obligations qui leur incombent en vertu du présent règlement. Le programme pour une Europe numérique et d’autres programmes pertinents de l’Union fournissent un soutien financier et technique qui permet à ces entreprises de contribuer à la croissance de l’économie de l’Union et au rehaussement du niveau commun de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; au sein de l’Union. Le Centre de compétences européen en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les centres nationaux de coordination ainsi que les pôles européens d’innovation numérique établis par la Commission et par les États membres au niveau de l’Union ou au niveau national pourraient également soutenir les entreprises et les organisations du secteur public et pourraient contribuer à l’exécution du présent règlement. Dans le cadre de leurs missions et domaines de compétence respectifs, ils pourraient apporter un soutien technique et scientifique aux microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et aux petites et moyennes entreprises, par exemple pour les activités d’essai et les évaluations de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; par un tiers. Ils pourraient également encourager le déploiement d’outils pour faciliter l’application du présent règlement.

En outre, les États membres devraient envisager des mesures complémentaires destinées à fournir des orientations et un soutien aux microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et aux petites et moyennes entreprises, y compris la mise en place de sas réglementaires et de canaux de communication spécifiques. Pour rehausser le niveau de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; au sein de l’Union, les États membres peuvent également envisager de fournir une aide au développement des capacités et des compétences en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, d’améliorer la cyberrésilience des opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;, en particulier des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; et des petites et moyennes entreprises, et de renforcer la sensibilisation du public à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;.

Étant donné que l’objectif du présent règlement ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(³⁴)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39). et a rendu un avis le 9 novembre 2022(³⁵)JO C 452 du 29.11.2022, p. 23.,