Article 27 Présomption de conformité

1. Les produits comportant des éléments numériques et les processus mis en place par le fabricant qui sont conformes à des normes harmonisées ou à des parties de normes harmonisées dont les références ont été publiées au Journal officiel de l’Union européenne sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I qui sont couvertes par ces normes ou parties de ces normes.
2. Conformément à l’article 10, paragraphe 1, du règlement (UE) n^o 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d’élaborer des normes harmonisées relatives aux exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement. Lorsqu’elle prépare des demandes de normalisation aux fins du présent règlement, la Commission s’efforce de tenir compte des normes européennes et internationales existantes en matière de cybersécurité qui sont en place ou en cours d’élaboration afin de simplifier l’élaboration de normes harmonisées, conformément au règlement (UE) n^o 1025/2012.
1. La Commission peut adopter des actes d’exécution qui établissent des spécifications communes couvrant les exigences techniques qui offrent un moyen de se conformer aux exigences essentielles de cybersécurité énoncées à l’annexe I en ce qui concerne les produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement.
2. Ces actes d’exécution ne sont adoptés que lorsque les conditions suivantes sont remplies:
  1. la Commission, conformément à l’article 10, paragraphe 1, du règlement (UE) n^o 1025/2012, a demandé à une ou plusieurs organisations européennes de normalisation d’élaborer une norme harmonisée relative aux exigences essentielles de cybersécurité énoncées à l’annexe I et:
    la demande n’a pas été acceptée;
    les normes harmonisées répondant à cette demande ne sont pas présentées dans le délai fixé conformément à l’article 10, paragraphe 1, du règlement (UE) n^o 1025/2012; ou
    les normes harmonisées ne sont pas conformes à la demande; et
  2. aucune référence à des normes harmonisées couvrant les exigences essentielles pertinentes de cybersécurité énoncées à l’annexe I du présent règlement n’a été publiée au Journal officiel de l’Union européenne conformément au règlement (UE) n^o 1025/2012 et il n’est pas prévu que la publication d’une telle référence soit publiée dans un délai raisonnable.
3. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
1. Avant d’élaborer le projet d’acte d’exécution visé au paragraphe 2 du présent article, la Commission informe le comité visé à l’article 22 du règlement (UE) n^o 1025/2012 qu’elle considère que les conditions énoncées au paragraphe 2 du présent article sont remplies.
1. Lorsqu’elle élabore le projet d’acte d’exécution visé au paragraphe 2, la Commission tient compte de l’avis des organismes compétents et consulte dûment toutes les parties prenantes concernées.
1. Les produits comportant des éléments numériques et les processus mis en place par le fabricant qui sont conformes aux spécifications communes établies par des actes d’exécution visés au paragraphe 2 du présent article, ou à des parties de ces spécifications communes, sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I couvertes par ces spécifications communes ou parties de spécifications communes.
1. Lorsqu’une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission aux fins de la publication de sa référence au Journal officiel de l’Union européenne, la Commission évalue la norme harmonisée conformément au règlement (UE) n^o 1025/2012. Lorsque la référence d’une norme harmonisée est publiée au Journal officiel de l’Union européenne, la Commission abroge les actes d’exécution visés au paragraphe 2 du présent article, ou les parties de ces actes qui couvrent les mêmes exigences essentielles de cybersécurité que celles couvertes par cette norme harmonisée.
1. Lorsqu’un État membre estime qu’une spécification commune ne satisfait pas entièrement aux exigences essentielles de cybersécurité énoncées à l’annexe I, il en informe la Commission en lui fournissant une explication détaillée. La Commission examine cette explication détaillée et peut, s’il y a lieu, modifier l’acte d’exécution établissant la spécification commune en question.
1. Les produits comportant des éléments numériques et les processus mis en place par le fabricant pour lesquels une déclaration de conformité de l’Union ou un certificat de cybersécurité européen ont été délivrés dans le cadre d’un schéma européen de certification de cybersécurité adopté conformément au règlement (UE) 2019/881 sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, dans la mesure où celles-ci sont couvertes par la déclaration de conformité de l’Union ou le certificat de cybersécurité européen, ou des parties de ceux-ci.
1. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 du présent règlement pour compléter le présent règlement en précisant les schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 qui peuvent être utilisés afin de démontrer la conformité de produits comportant des éléments numériques avec les exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement, ou avec des parties de ces exigences. En outre, la délivrance d’un certificat de cybersécurité européen au titre de tels schémas, au minimum au niveau d’assurance dit «substantiel», supprime l’obligation d’un fabricant de procéder à une évaluation de la conformité par un tiers pour les exigences correspondantes, comme indiqué à l’article 32, paragraphe 2, points a) et b), et à l’article 32, paragraphe 3, points a) et b), du présent règlement.

Relevant recitals

Considérant 79 Presumption of conformity based on harmonised standards

Afin de faciliter l’évaluation de la conformité aux exigences prévues par le présent règlement, il convient de prévoir une présomption de conformité pour les produits dont les éléments numériques sont conformes à des normes harmonisées, qui traduisent les exigences essentielles de cybersécurité énoncées dans le présent règlement en spécifications techniques détaillées et sont adoptées conformément au règlement (UE) n^o 1025/2012 du Parlement européen et du Conseil(²⁸)Règlement (UE) n^o 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n^o 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).. Ledit règlement prévoit une procédure pour la formulation d’objections à l’encontre de normes harmonisées lorsque celles-ci ne satisfont pas pleinement aux exigences énoncées dans le présent règlement. Le processus de normalisation devrait garantir une représentation équilibrée des intérêts et la participation effective des parties prenantes de la société civile, y compris des organisations de consommateurs. Les normes internationales qui sont conformes au niveau de protection en matière de cybersécurité visé par les exigences essentielles de cybersécurité prévues par le présent règlement devraient également être prises en compte, afin de faciliter l’élaboration de normes harmonisées et la mise en œuvre du présent règlement, ainsi que la mise en conformité des entreprises, en particulier des microentreprises et des petites et moyennes entreprises, et de celles qui exercent leurs activités à l’échelle mondiale.

Considérant 80 Timely development of harmonised standards

L’élaboration en temps utile de normes harmonisées au cours de la période transitoire pour l’application du présent règlement et leur disponibilité avant la date d’application du présent règlement seront particulièrement importantes pour sa mise en œuvre effective. C’est notamment le cas des produits importants comportant des éléments numériques qui relèvent de la classe I. La disponibilité de normes harmonisées permettra aux fabricants de ces produits d’effectuer les évaluations de la conformité selon la procédure de contrôle interne et peut ainsi éviter les goulets d’étranglement et les retards dans les activités des organismes d’évaluation de la conformité.

Considérant 81 Voluntary European cybersecurity certification framework

Le règlement (UE) 2019/881 établit un cadre européen de certification volontaire de cybersécurité pour les produits TIC, les processus TIC et les services TIC. Les schémas européens de certification de cybersécurité offrent un cadre commun de confiance pour les utilisateurs des produits comportant des éléments numériques qui entrent dans le champ d’application du présent règlement. Le présent règlement devrait dès lors créer des synergies avec le règlement (UE) 2019/881. Afin de faciliter l’évaluation de la conformité aux exigences prévues par le présent règlement, les produits comportant des éléments numériques qui sont certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma européen de cybersécurité conformément au règlement (UE) 2019/881 qui a été désigné par la Commission dans un acte d’exécution, sont présumés conformes aux exigences essentielles de cybersécurité énoncées dans le présent règlement pour autant que le certificat européen de cybersécurité ou la déclaration de conformité ou des parties de ceux-ci couvrent ces exigences. La nécessité de nouveaux schémas européens de certification de cybersécurité pour les produits comportant des éléments numériques devrait être évaluée à la lumière du présent règlement, y compris lors de l’élaboration du programme de travail glissant de l’Union conformément au règlement (UE) 2019/881. Lorsqu’il est nécessaire d’établir un nouveau schéma régissant les produits comportant des éléments numériques, notamment pour faciliter la mise en conformité avec le présent règlement, la Commission peut demander à l’ENISA d’élaborer des schémas candidats conformément à l’article 48 du règlement (UE) 2019/881. Ces futurs schémas européens de certification de cybersécurité, destinés à couvrir les produits comportant des éléments numériques, devraient tenir compte des exigences essentielles de cybersécurité et des procédures d’évaluation de la conformité énoncées dans le présent règlement et faciliter le respect de celui-ci. Pour les schémas européens de certification de cybersécurité qui entrent en vigueur avant l’entrée en vigueur du présent règlement, des précisions peuvent être nécessaires sur les modalités selon lesquelles la présomption de conformité peut s’appliquer. Il convient d’habiliter, par voie d’actes délégués, la Commission à préciser dans quelles conditions les schémas européens de certification de cybersécurité peuvent être utilisés pour démontrer la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement. En outre, afin d’éviter une charge administrative excessive, il ne devrait y avoir aucune obligation pour les fabricants de faire procéder à une évaluation de conformité par un tiers comme le prévoit le présent règlement pour les exigences correspondantes lorsqu’un certificat européen de cybersécurité a été délivré au titre desdits schémas européens de certification de cybersécurité, au moins au niveau substantiel.

Considérant 82 Presumption of conformity based on European cybersecurity certification schemes

Dès l’entrée en vigueur du règlement d’exécution (UE) 2024/482 relatif aux produits relevant du champ d’application du présent règlement, tels que les modules de sécurité matériels et les microprocesseurs, la Commission devrait être en mesure de préciser, par voie d’un acte délégué, comment la certification EUCC crée une présomption de conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement ou à certaines de ses parties En outre, cet acte délégué peut définir comment un certificat délivré au titre de la EUCC élimine l’obligation pour les fabricants d’avoir recours à une évaluation par un tiers, comme l’exige le présent règlement, pour les exigences correspondantes.

Considérant 83 Common specifications via implementing acts

Le cadre de normalisation européen en vigueur qui repose sur les principes de la nouvelle approche définie dans la résolution du Conseil du 7 mai 1985 concernant une nouvelle approche en matière d’harmonisation technique et de normalisation et sur le règlement (UE) n^o 1025/2012 constitue par défaut le cadre régissant l’élaboration des normes prévoyant la présomption de conformité aux exigences essentielles de cybersécurité pertinentes énoncées dans le présent règlement. Les normes européennes devraient être axées sur le marché et tenir compte de l’intérêt public, ainsi que des objectifs stratégiques clairement énoncés dans la demande que la Commission adresse à une ou plusieurs organisations européennes de normalisation pour qu’elles élaborent des normes harmonisées, dans un délai déterminé et sur la base d’un consensus. Toutefois, en l’absence de références pertinentes à des normes harmonisées, la Commission devrait pouvoir adopter des actes d’exécution établissant des spécifications communes pour les exigences essentielles de cybersécurité énoncées dans le présent règlement, à condition que, ce faisant, elle respecte dûment le rôle et les fonctions des organisations européennes de normalisation, en tant que solution de repli exceptionnelle pour faciliter l’obligation du fabricant de se conformer à ces exigences essentielles de cybersécurité, lorsque le processus de normalisation est bloqué ou lorsqu’il y a des retards dans l’établissement de normes harmonisées appropriées. Si un tel retard est dû à la complexité technique de la norme en question, la Commission devrait en tenir compte avant d’envisager l’établissement de spécifications communes.

Considérant 84 Relevant stakeholders when establishing common specifications

Afin d’établir, avec la plus grande efficacité, des spécifications communes applicables aux exigences essentielles de cybersécurité énoncées dans le présent règlement, la Commission devrait associer au processus les parties prenantes concernées.

Considérant 85 Definition of 'reasonable period'

Par délai raisonnable, en lien avec la publication d’une référence à des normes harmonisées au Journal officiel de l’Union européenne conformément au règlement (UE) n^o 1025/2012, on entend la période pendant laquelle est attendue la publication au Journal officiel de l’Union européenne de la référence à la norme, de son rectificatif ou de sa modification, période qui ne doit pas être supérieure à une année après l’expiration du délai d’élaboration d’une norme européenne fixé conformément au règlement (UE) n^o 1025/2012.

Considérant 86 Presumption of conformity based on common specifications

Afin de faciliter l’évaluation de la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement, il convient d’établir une présomption de conformité pour les produits comportant des éléments numériques répondant aux spécifications communes adoptées par la Commission en vertu du présent règlement, aux fins de l’expression de spécifications techniques détaillées sur la base de ces exigences.

Considérant 87 Alternatives to presumption of conformity

L’application de normes harmonisées, de spécifications communes ou de schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 et fournissant une présomption de conformité en ce qui concerne les exigences essentielles applicables aux produits comportant des éléments numériques facilitera l’évaluation de la conformité par les fabricants. Si le fabricant choisit de ne pas recourir à ces moyens pour certaines exigences, il doit indiquer dans sa documentation technique de quelle autre manière la conformité est respectée. En outre, l’application de normes harmonisées, de spécifications communes ou de schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 et fournissant une présomption de conformité par les fabricants faciliterait le contrôle, par les autorités de surveillance du marché, de la conformité des produits comportant des éléments numériques. Par conséquent, les fabricants de produits comportant des éléments numériques sont incités à appliquer ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.