Source: OJ L 2024/2847, 20.11.2024

Current language: FR

Article 54 Procédure au niveau national concernant les produits comportant des éléments numériques qui présentent un risque de cybersécurité important

    1. Lorsque l’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; d’un État membre a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, y compris son traitement des vulnérabilités, présente un risque de cybersécurité important: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable;, elle procède sans retard injustifié et, le cas échéant, en coopération avec le CSIRT concerné, à une évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; de ce produit avec l’ensemble des exigences prévues par le présent règlement. Les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; concernés coopèrent avec l’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; en tant que de besoin.

    2. Si, au cours de cette évaluation, l’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; constate que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ne respecte pas les exigences prévues par le présent règlement, elle invite sans retard l’opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; en cause à prendre toutes les mesures correctives appropriées pour mettre le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; en conformité avec ces exigences, le retirer du marché ou le rappeler dans un délai raisonnable, proportionné à la nature du risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;, que l’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; prescrit.

    3. L’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; informe l’organisme notifié: un organisme d’évaluation de la conformité désigné en application de l’article 43 et de toute autre législation d’harmonisation de l’Union pertinente; concerné en conséquence. L’article 18 du règlement (UE) 2019/1020 s’applique aux mesures correctives.

    1. Lorsqu’elles déterminent l’importance d’un risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; visé au paragraphe 1 du présent article, les autorités de surveillance du marché tiennent également compte des facteurs de risque non techniques, en particulier de ceux établis à la suite des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555. Lorsqu’une autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; présente un risque de cybersécurité important: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable; à la lumière de facteurs de risque non techniques, elle en informe les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555 et coopère avec ces autorités en tant que de besoin.

    1. Lorsque l’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; considère que la non-conformité n’est pas limitée à son territoire national, elle informe la Commission et les autres États membres des résultats de l’évaluation et des mesures qu’elle a prescrites à l’opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;.

    1. L’opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; s’assure que toutes les mesures correctives appropriées sont prises pour tous les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concernés qu’il a mis à disposition sur le marché dans toute l’Union.

    1. Lorsque l’opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; ne prend pas les mesures correctives adéquates dans le délai visé au paragraphe 1, deuxième alinéa, l’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; adopte toutes les mesures provisoires appropriées pour interdire ou restreindre la mise à disposition du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sur son marché national ou pour procéder à son retrait: un retrait au sens de l’article 3, point 23), du règlement (UE) 2019/1020; de ce marché ou à son rappel: un rappel au sens de l’article 3, point 22), du règlement (UE) 2019/1020;.

    2. L’autorité notifie sans retard ces mesures à la Commission et aux autres États membres.

    1. Les informations visées au paragraphe 5 contiennent toutes les précisions disponibles, notamment en ce qui concerne les données nécessaires pour identifier le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; non conforme, l’origine de ce produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, la nature de la non-conformité alléguée et du risque encouru, ainsi que la nature et la durée des mesures nationales adoptées et les arguments avancés par l’opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; concerné. En particulier, l’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; indique si la non-conformité découle d’une ou plusieurs des causes suivantes:

      1. la non-conformité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ou des processus mis en place par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; avec les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe I;

      2. des lacunes dans les normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, les schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou les spécifications communes visés à l’article 27.

    1. Les autorités de surveillance du marché des États membres autres que l’autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020; de l’État membre qui a entamé la procédure informent sans retard la Commission et les autres États membres de toute mesure adoptée et de toute information supplémentaire dont elles disposent à propos de la non-conformité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné et, en cas de désaccord avec la mesure nationale notifiée, de leurs objections.

    1. Lorsque, dans les trois mois suivant la réception de la notification visée au paragraphe 5 du présent article, aucune objection n’a été émise par un État membre ou par la Commission à l’encontre d’une mesure provisoire prise par un État membre, cette mesure est réputée justifiée. Cette disposition est sans préjudice des droits procéduraux de l’opérateur économique: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; concerné conformément à l’article 18 du règlement (UE) 2019/1020.

    1. Les autorités de surveillance du marché de tous les États membres veillent à ce que les mesures restrictives appropriées, comme le retrait: un retrait au sens de l’article 3, point 23), du règlement (UE) 2019/1020; de leur marché, soient prises sans retard à l’égard du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod