Art. 7 Produits importants comportant des éléments numériques | CRA regulation | CRA

1. Les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont la fonctionnalité de base est celle d’une catégorie de produit énoncée à l’annexe III sont considérés comme des produits importants comportant des éléments numériques et sont soumis aux procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; visées à l’article 32, paragraphes 2 et 3. L’intégration dans un produit d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont la fonctionnalité de base est celle d’une catégorie de produits énoncée à l’annexe III n’amène pas en tant que telle le produit dans lequel ledit produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; a été intégré à être soumis aux procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; visées à l’article 32, paragraphes 2 et 3.
1. Les catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; visées au paragraphe 1 du présent article, réparties entre les classes I et II figurant à l’annexe III, remplissent au moins l’un des critères suivants:
  1. le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; exécute des fonctions essentielles pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; d’autres produits, réseaux ou services, y compris la sécurisation des authentifications et des accès, la prévention et la détection des intrusions, la sécurité des points terminaux ou la protection des réseaux;
  2. le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; exécute une fonction qui comporte un risque important d’effets néfastes du fait de son intensité et de sa capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de ses utilisateurs par une manipulation directe, par exemple une fonction du système central, y compris la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel.
1. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour modifier l’annexe III en ajoutant une nouvelle catégorie dans chaque classe de la liste des catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et en précisant la définition de celle-ci, en déplaçant une catégorie de produits d’une classe à l’autre ou en retirant une catégorie existante de cette liste. Lorsqu’elle évalue la nécessité de modifier la liste figurant à l’annexe III, la Commission tient compte des fonctionnalités liées à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou de la fonction et du niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; que présentent les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui répondent aux critères visés au paragraphe 2 du présent article.
2. Les actes délégués visés au premier alinéa du présent paragraphe prévoient, le cas échéant, une période transitoire d’au moins 12 mois, en particulier lorsqu’une nouvelle catégorie de produits importants comportant des éléments numériques est ajoutée à la classe I ou à la classe II ou est déplacée de la classe I à la classe II, figurant à l’annexe III, avant que les procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; pertinentes visées à l’article 32, paragraphes 2 et 3, ne deviennent d’application, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.
1. Au plus tard le 11 décembre 2025, la Commission adopte un acte d’exécution précisant la description technique des catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui relèvent des classes I et II figurant à l’annexe III, ainsi que la description technique des catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui figurent à l’annexe IV. Cet acte d’exécution est adopté en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.