Recital 58 Strategic cybersecurity supply chain risks

La communication conjointe de la Commission et du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité du 20 juin 2023 intitulée «Stratégie européenne de sécurité économique» indique que l’Union doit optimiser les avantages de son ouverture économique tout en réduisant à leur minimum les risques liés aux dépendances économiques à l’égard des fournisseurs à haut risque, grâce à un cadre stratégique commun pour la sécurité économique de l’Union. Les dépendances à l’égard de fournisseurs à haut risque de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; peuvent représenter un risque stratégique auquel il faut s’attaquer au niveau de l’Union, en particulier lorsque les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont destinés à être utilisés par des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. Ces risques peuvent être liés, sans pour autant s’y limiter, à la juridiction dont relève le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, aux caractéristiques de son actionnariat et aux liens de contrôle qui le rattachent au gouvernement d’un pays tiers où il est établi, en particulier si le pays tiers se livre à des activités d’espionnage économique ou à un comportement irresponsable de l’État dans le cyberespace et que sa législation autorise un accès arbitraire aux opérations ou aux données de l’entreprise de quelque nature qu’elles soient, y compris les données commercialement sensibles, et peut imposer des obligations à des fins de renseignement sans garde-fous démocratiques ni mécanisme de contrôle ni procédure régulière ni droit de recours auprès d’une cour ou d’un tribunal indépendant. Lorsqu’elles déterminent l’importance d’un risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; au sens du présent règlement, la Commission et les autorités de surveillance du marché, conformément aux responsabilités qui leur incombent en vertu du présent règlement, devraient également tenir compte des facteurs de risque non techniques, en particulier ceux établis à la suite des évaluations coordonnées au niveau de l’Union des risques de sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555.