Article 8 Produits critiques comportant des éléments numériques

La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour compléter le présent règlement afin de déterminer quels produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont la fonctionnalité de base est celle d’une catégorie de produits qui figure à l’annexe IV du présent règlement doivent être tenus d’obtenir un certificat de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; européen au minimum au niveau d’assurance dit «substantiel» dans le cadre d’un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adopté en vertu du règlement (UE) 2019/881, afin de démontrer leur conformité aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe I du présent règlement, ou à des parties de ces exigences, à condition qu’un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui couvre ces catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ait été adopté en vertu du règlement (UE) 2019/881 et soit à la disposition des fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;. Ces actes délégués précisent le niveau d’assurance nécessaire qui est proportionné au niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; associé aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et ils tiennent compte de l’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; de ces produits, y compris la dépendance critique à leur égard d’entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555.

Avant d’adopter ces actes délégués, la Commission procède à une évaluation des effets potentiels sur le marché des mesures envisagées, ainsi qu’à des consultations des parties intéressées, y compris le groupe européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; institué au titre du règlement (UE) 2019/881. L’évaluation prend en considération l’état de préparation et le niveau des capacités des États membres pour la mise en œuvre du schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pertinent. Lorsque aucun acte délégué tel que visé au premier alinéa du présent paragraphe n’a été adopté, les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont la fonctionnalité de base est celle d’une catégorie de produits qui figure à l’annexe IV sont soumis aux procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; visées à l’article 32, paragraphe 3.

Les actes délégués visés au premier alinéa prévoient une période transitoire d’au moins six mois, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.

1. il existe une dépendance critique d’entités essentielles visées à l’article 3 de la directive (UE) 2022/2555 à l’égard de la catégorie de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;;

2. des incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; et des vulnérabilités exploitées concernant la catégorie de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; pourrait entraîner de graves perturbations de chaînes d’approvisionnement critiques du marché intérieur.

Avant d’adopter ces actes délégués, la Commission procède à une évaluation du même type que celle visée au paragraphe 1.

Les actes délégués visés au premier alinéa prévoient une période transitoire d’au moins six mois, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.