Source: OJ L 2024/2847, 20.11.2024Current language: FR
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Article 56 Procédure au niveau de l’Union concernant les produits comportant des éléments numériques qui présentent un risque de cybersécurité important
Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques présentant un risque de cybersécurité important n’est pas conforme aux exigences prévues par le présent règlement, elle en informe les autorités de surveillance du marché concernées. Lorsque les autorités de surveillance du marché procèdent à une évaluation de ce produit comportant des éléments numériques susceptible de présenter un risque de cybersécurité important en ce qui concerne sa conformité avec les exigences prévues par le présent règlement, les procédures visées aux articles 54 et 55 s’appliquent.
Lorsque la Commission a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques présente un risque de cybersécurité important à la lumière de facteurs de risque non techniques, elle en informe les autorités de surveillance du marché concernées et, le cas échéant, les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555 et coopère avec ces autorités en tant que de besoin. La Commission examine également la pertinence des risques recensés pour ce produit comportant des éléments numériques au regard de ses tâches en ce qui concerne les évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques prévues à l’article 22 de la directive (UE) 2022/2555, et consulte, le cas échéant, le groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555 et l’ENISA.
Dans des circonstances qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons suffisantes de considérer que le produit comportant des éléments numériques visé au paragraphe 1 demeure non conforme aux exigences prévues par le présent règlement et qu’aucune mesure effective n’a été prise par les autorités de surveillance du marché concernées, la Commission procède à une évaluation de la conformité et peut demander à l’ENISA de fournir une analyse afin d’étayer cette évaluation. La Commission en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent avec l’ENISA en tant que de besoin.
Se fondant sur l’évaluation visée au paragraphe 3, la Commission peut décider qu’une mesure corrective ou restrictive est nécessaire au niveau de l’Union. À cette fin, elle consulte sans retard les États membres concernés et le ou les opérateurs économiques concernés.
Sur la base de la consultation visée au paragraphe 4 du présent article, la Commission peut adopter des actes d’exécution afin de fournir des mesures correctives ou restrictives au niveau de l’Union, y compris en exigeant le retrait du marché ou le rappel des produits comportant des éléments numériques concernés, dans un délai raisonnable, proportionné à la nature du risque. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
La Commission communique immédiatement à l’opérateur ou aux opérateurs économiques concernés les actes d’exécution visés au paragraphe 5. Les États membres exécutent ces actes d’exécution sans retard et en informent la Commission.
Les paragraphes 3 à 6 sont applicables pendant la durée de la situation exceptionnelle qui a justifié l’intervention de la Commission, pour autant que le produit comportant des éléments numériques concerné ne soit pas mis en conformité avec le présent règlement.
Relevant recitals
Considérant 52 Security of 5G networks and supply chain assessments of NIS 2
Afin d’améliorer la sécurité des produits comportant des éléments numériques mis sur le marché intérieur, il est nécessaire d’établir des exigences essentielles de cybersécurité applicables à ces produits. Ces exigences essentielles de cybersécurité ne devraient pas porter atteinte aux évaluations coordonnées au niveau de l’Union des risques de sécurité portant sur les chaînes d’approvisionnement critiques et prévues à l’article 22 de la directive (UE) 2022/2555, qui tiennent compte à la fois des facteurs de risque techniques et, le cas échéant, non techniques, tels que l’influence indue d’un pays tiers sur les fournisseurs. En outre, elles devraient s’exercer sans préjudice des prérogatives des États membres d’établir des exigences supplémentaires qui tiennent compte de facteurs non techniques afin de garantir un niveau élevé de résilience, y compris celles définies dans la recommandation (UE) 2019/534 de la Commission(23)Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 sur la cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42)., dans l’évaluation coordonnée par l’Union de la cybersécurité des réseaux 5G et dans la boîte à outils de l’Union sur la cybersécurité 5G convenue par le groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555.
Considérant 58 Strategic cybersecurity supply chain risks
La communication conjointe de la Commission et du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité du 20 juin 2023 intitulée «Stratégie européenne de sécurité économique» indique que l’Union doit optimiser les avantages de son ouverture économique tout en réduisant à leur minimum les risques liés aux dépendances économiques à l’égard des fournisseurs à haut risque, grâce à un cadre stratégique commun pour la sécurité économique de l’Union. Les dépendances à l’égard de fournisseurs à haut risque de produits comportant des éléments numériques peuvent représenter un risque stratégique auquel il faut s’attaquer au niveau de l’Union, en particulier lorsque les produits comportant des éléments numériques sont destinés à être utilisés par des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. Ces risques peuvent être liés, sans pour autant s’y limiter, à la juridiction dont relève le fabricant, aux caractéristiques de son actionnariat et aux liens de contrôle qui le rattachent au gouvernement d’un pays tiers où il est établi, en particulier si le pays tiers se livre à des activités d’espionnage économique ou à un comportement irresponsable de l’État dans le cyberespace et que sa législation autorise un accès arbitraire aux opérations ou aux données de l’entreprise de quelque nature qu’elles soient, y compris les données commercialement sensibles, et peut imposer des obligations à des fins de renseignement sans garde-fous démocratiques ni mécanisme de contrôle ni procédure régulière ni droit de recours auprès d’une cour ou d’un tribunal indépendant. Lorsqu’elles déterminent l’importance d’un risque de cybersécurité au sens du présent règlement, la Commission et les autorités de surveillance du marché, conformément aux responsabilités qui leur incombent en vertu du présent règlement, devraient également tenir compte des facteurs de risque non techniques, en particulier ceux établis à la suite des évaluations coordonnées au niveau de l’Union des risques de sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.