Article 5 Achats publics ou utilisation de produits comportant des éléments numériques

Conformément à l’objectif du présent règlement consistant à éliminer les obstacles à la libre circulation des produits comportant des éléments numériques, les États membres ne devraient pas empêcher, pour les aspects relevant du présent règlement, la mise à disposition sur le marché de produits comportant des éléments numériques conformes au présent règlement. Par conséquent, en ce qui concerne les questions harmonisées par le présent règlement, les États membres ne peuvent pas imposer d’exigences de cybersécurité supplémentaires pour la mise à disposition sur le marché de produits comportant des éléments numériques. Cependant, toute entité, qu’elle soit publique ou privée, peut imposer des exigences, en plus de celles prévues par le présent règlement, pour l’achat de produits comportant des éléments numériques ou leur utilisation à des fins qui lui sont propres, et peut donc choisir d’utiliser des produits comportant des éléments numériques répondant à des exigences de cybersécurité plus strictes ou plus spécifiques que celles qui s’appliquent à la mise à disposition sur le marché en vertu du présent règlement. Sans préjudice des directives 2014/24/UE(⁷)Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65). et 2014/25/UE(⁸)Directive 2014/25/UE du Parlement européen et du Conseil du 26 février 2014 relative à la passation de marchés par des entités opérant dans les secteurs de l’eau, de l’énergie, des transports et des services postaux et abrogeant la directive 2004/17/CE (JO L 94 du 28.3.2014, p. 243). du Parlement européen et du Conseil, les États membres devraient veiller, lorsqu’ils achètent des produits comportant des éléments numériques qui doivent respecter les exigences essentielles de cybersécurité prévues par le présent règlement, y compris celles relatives à la gestion des vulnérabilités, à ce qu’il soit tenu compte de ces exigences, ainsi que de la capacité du fabricant à appliquer des mesures de cybersécurité et à gérer les cybermenaces de façon efficace, lors des procédures de passation de marchés. En outre, la directive (UE) 2022/2555 établit des mesures de gestion des risques en matière de cybersécurité applicables aux entités essentielles et importantes visées à l’article 3 de ladite directive. Ces mesures pourraient entraîner des mesures de sécurité de la chaîne d’approvisionnement nécessitant l’utilisation, par ces entités, de produits comportant des éléments numériques qui répondent à des exigences de cybersécurité plus strictes que celles prévues par le présent règlement. Conformément à la directive (UE) 2022/2555 et dans le respect de son principe d’harmonisation minimale, les États membres peuvent donc imposer des exigences de cybersécurité supplémentaires applicables à l’utilisation de produits des technologies de l’information et de la communication (TIC) par des entités essentielles ou importantes au titre de ladite directive afin d’assurer un niveau plus élevé de cybersécurité, à condition que ces exigences soient compatibles avec les obligations des États membres prévues par le droit de l’Union. Les facteurs non techniques liés aux produits comportant des éléments numériques et aux fabricants de ces derniers peuvent compter parmi les questions qui ne sont pas régies par le présent règlement. Les États membres peuvent donc adopter des mesures nationales, y compris des restrictions applicables aux produits comportant des éléments numériques ou aux fournisseurs de ces produits, qui tiennent compte de facteurs non techniques. Les mesures nationales liées à ces facteurs sont nécessaires pour respecter le droit de l’Union.

Le présent règlement devrait être sans préjudice de la responsabilité des États membres de préserver la sécurité nationale, conformément au droit de l’Union. Les États membres devraient être en mesure de soumettre à des mesures supplémentaires les produits comportant des éléments numériques achetés ou utilisés à des fins de sécurité nationale ou de défense, à condition que ces mesures soient conformes aux obligations des États membres prévues par le droit de l’Union.

Les produits comportant des éléments numériques qui sont développés ou modifiés exclusivement à des fins de sécurité nationale ou de défense ou les produits spécifiquement conçus pour traiter des informations classifiées ne relèvent pas du champ d’application du présent règlement. Les États membres sont invités à veiller à ce que ces produits bénéficient d’un niveau de protection analogue, voire supérieur, à celui appliqué aux produits relevant du champ d’application du présent règlement.