Beta

Source: OJ L 2024/2847, 20.11.2024

Current language: FR

Article 56 Procédure au niveau de l’Union concernant les produits comportant des éléments numériques qui présentent un risque de cybersécurité important

    1. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; présentant un risque de cybersécurité important: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable; n’est pas conforme aux exigences prévues par le présent règlement, elle en informe les autorités de surveillance du marché concernées. Lorsque les autorités de surveillance du marché procèdent à une évaluation de ce produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; susceptible de présenter un risque de cybersécurité important: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable; en ce qui concerne sa conformité avec les exigences prévues par le présent règlement, les procédures visées aux articles 54 et 55 s’appliquent.

    1. Lorsque la Commission a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; présente un risque de cybersécurité important: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable; à la lumière de facteurs de risque non techniques, elle en informe les autorités de surveillance du marché concernées et, le cas échéant, les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555 et coopère avec ces autorités en tant que de besoin. La Commission examine également la pertinence des risques recensés pour ce produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; au regard de ses tâches en ce qui concerne les évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques prévues à l’article 22 de la directive (UE) 2022/2555, et consulte, le cas échéant, le groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555 et l’ENISA.

    1. Dans des circonstances qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons suffisantes de considérer que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; visé au paragraphe 1 demeure non conforme aux exigences prévues par le présent règlement et qu’aucune mesure effective n’a été prise par les autorités de surveillance du marché concernées, la Commission procède à une évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; et peut demander à l’ENISA de fournir une analyse afin d’étayer cette évaluation. La Commission en informe les autorités de surveillance du marché concernées. Les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; concernés coopèrent avec l’ENISA en tant que de besoin.

    1. Se fondant sur l’évaluation visée au paragraphe 3, la Commission peut décider qu’une mesure corrective ou restrictive est nécessaire au niveau de l’Union. À cette fin, elle consulte sans retard les États membres concernés et le ou les opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; concernés.

    1. Sur la base de la consultation visée au paragraphe 4 du présent article, la Commission peut adopter des actes d’exécution afin de fournir des mesures correctives ou restrictives au niveau de l’Union, y compris en exigeant le retrait: un retrait au sens de l’article 3, point 23), du règlement (UE) 2019/1020; du marché ou le rappel: un rappel au sens de l’article 3, point 22), du règlement (UE) 2019/1020; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concernés, dans un délai raisonnable, proportionné à la nature du risque. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.

    1. La Commission communique immédiatement à l’opérateur ou aux opérateurs économiques: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement; concernés les actes d’exécution visés au paragraphe 5. Les États membres exécutent ces actes d’exécution sans retard et en informent la Commission.

    1. Les paragraphes 3 à 6 sont applicables pendant la durée de la situation exceptionnelle qui a justifié l’intervention de la Commission, pour autant que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné ne soit pas mis en conformité avec le présent règlement.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod