Article 61 Exercice de la délégation

Afin de garantir que le cadre réglementaire puisse être adapté si nécessaire, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne l’établissement et la mise à jour de la liste figurant en annexe du présent règlement des produits importants comportant des éléments numériques. Il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article pour lui permettre de répertorier les produits comportant des éléments numériques couverts par d’autres règles de l’Union qui atteignent un niveau de protection identique à celui du présent règlement, en précisant si une limitation ou une exclusion du champ d’application du présent règlement serait nécessaire ainsi que la portée de cette limitation, le cas échéant. Il convient également de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article en ce qui concerne la possibilité de rendre obligatoire la certification au titre d’un schéma européen de certification de cybersécurité des produits critiques comportant des éléments numériques énoncés en annexe du présent règlement, en ce qui concerne la mise à jour de la liste des produits critiques comportant des éléments numériques sur la base des critères de criticité énoncés dans le présent règlement, et en ce qui concerne la désignation des schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 qui peuvent être utilisés pour démontrer le respect des exigences essentielles de cybersécurité ou de parties de celles-ci énoncées en annexe au présent règlement. Il convient également de déléguer à la Commission le pouvoir d’adopter des actes pour préciser la période d’assistance minimale pour des catégories spécifiques de produits lorsque les données de surveillance du marché tendent à indiquer des périodes d’assistance insuffisantes, ainsi que pour préciser les conditions d’application des motifs ayant trait à la cybersécurité en lien avec des retards de diffusion de notifications de vulnérabilités activement exploitées. En outre, il convient de déléguer à la Commission le pouvoir d’adopter des actes pour créer des programmes volontaires d’attestation de sécurité afin d’évaluer la conformité des produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts à l’ensemble ou à certaines des exigences essentielles de cybersécurité ou d’autres obligations prévues par le présent règlement, ainsi que pour préciser le contenu minimal de la déclaration UE de conformité et pour compléter les éléments à inclure dans la documentation technique. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»(³¹)JO L 123 du 12.5.2016, p. 1.. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués. Le pouvoir d’adopter des actes délégués en vertu du présent règlement devrait être conféré à la Commission pour une période de cinq ans à compter du 10 décembre 2024. La Commission devrait élaborer un rapport relatif à la délégation de pouvoir au plus tard neuf mois avant la fin de la période de cinq ans. La délégation de pouvoir devrait être tacitement prorogée pour des périodes d’une durée identique, sauf si le Parlement européen ou le Conseil s’oppose à cette prorogation trois mois au plus tard avant la fin de chaque période.

Afin de garantir des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission, afin qu’elle spécifie la description technique des catégories de produits importants comportant des éléments numériques qui figurent en annexe du présent règlement, qu’elle spécifie le format et les éléments de la nomenclature des logiciels, qu’elle précise davantage le format et la procédure des notifications de vulnérabilités activement exploitées et d’incidents graves ayant des répercussions sur la sécurité de produits comportant des éléments numériques soumises par les fabricants, qu’elle établisse des spécifications communes couvrant les exigences techniques qui offrent un moyen de se conformer aux exigences essentielles de cybersécurité énoncées en annexe du présent règlement, qu’elle établisse des spécifications techniques pour les étiquettes, pictogrammes ou toute autre marque liée à la sécurité des produits comportant des éléments numériques, leur période d’assistance ainsi que les mécanismes visant à promouvoir leur utilisation et à sensibiliser le public à la sécurité des produits comportant des éléments numériques, qu’elle définisse le formulaire de documentation technique simplifiée ciblant les besoins des microentreprises et des petites entreprises et qu’elle décide de mesures correctives ou restrictives au niveau de l’Union dans des circonstances exceptionnelles qui justifient une intervention immédiate afin de préserver le bon fonctionnement du marché intérieur. Ces compétences devraient être exercées en conformité avec le règlement (UE) n^o 182/2011 du Parlement européen et du Conseil(³²)Règlement (UE) n^o 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj)..