Source: OJ L 2024/2847, 20.11.2024Current language: SV
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Artikel 56 Förfarande på unionsnivå för produkter med digitala element som utgör en betydande cybersäkerhetsrisk
Om kommissionen har tillräckliga skäl, inbegripet baserat på information från Enisa, att anse att en produkt med digitala element som utgör en betydande cybersäkerhetsrisk inte uppfyller kraven enligt denna förordning ska den informera de berörda marknadskontrollmyndigheterna. Om marknadskontrollmyndigheterna gör en utvärdering av produkten med digitala element som kan utgöra en betydande cybersäkerhetsrisk med avseende på dess överensstämmelse med kraven i denna förordning ska de förfaranden som avses i artiklarna 54 och 55 tillämpas.
Om kommissionen har tillräckliga skäl att anse att en produkt med digitala element utgör en betydande cybersäkerhetsrisk mot bakgrund av icke-tekniska riskfaktorer ska den informera de berörda marknadskontrollmyndigheterna och, om så är lämpligt, de behöriga myndigheter som utsetts eller inrättats enligt artikel 8 i direktiv (EU) 2022/2555 och när så krävs samarbeta med dessa myndigheter. Kommissionen ska också beakta relevansen hos de identifierade riskerna för produkten med digitala element med tanke på sina uppgifter avseende de samordnade säkerhetsriskbedömningar av kritiska leveranskedjor på unionsnivå som föreskrivs i artikel 22 i direktiv (EU) 2022/2555, och vid behov samråda med den samarbetsgrupp som inrättats enligt artikel 14 i direktiv (EU) 2022/2555 och Enisa.
Vid omständigheter som motiverar ett omedelbart ingripande för att bevara en välfungerande inre marknad, och där kommissionen har tillräckliga skäl att anse att den produkt med digitala element som avses i punkt 1 fortfarande inte uppfyller kraven enligt denna förordning och inga effektiva åtgärder har vidtagits av de berörda marknadskontrollmyndigheterna, ska kommissionen göra en utvärdering av överensstämmelsen och får begära att Enisa tillhandahåller en analys för att stödja den. Kommissionen ska underrätta de berörda marknadskontrollmyndigheterna om detta. De berörda ekonomiska aktörerna ska när så krävs samarbeta med Enisa.
Baserat på den utvärdering som avses i punkt 3 får kommissionen besluta att en korrigerande eller begränsande åtgärd krävs på unionsnivå. Därför ska kommissionen utan dröjsmål samråda med de berörda medlemsstaterna och berörda ekonomiska aktörer (en eller flera).
Baserat på det samråd som avses i punkt 4 i denna artikel får kommissionen anta genomförandeakter för att föreskriva korrigerande eller begränsande åtgärder på unionsnivå, inbegripet krav på att de berörda produkterna med digitala element ska dras tillbaka från marknaden eller återkallas, inom en rimlig tid i förhållande till typen av risk. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 62.2.
Kommissionen ska omedelbart delge berörda ekonomiska aktörer de genomförandeakter som avses i punkt 5. Medlemsstaterna ska genomföra dessa genomförandeakter utan dröjsmål och underrätta kommissionen om detta.
Punkterna 3–6 ska vara tillämpliga under den tid som den exceptionella situation som motiverade kommissionens ingripande varar, under förutsättning att den berörda produkten med digitala element inte bringas till överensstämmelse med denna förordning.
Relevant recitals
Skäl 52 Security of 5G networks and supply chain assessments of NIS 2
För att förbättra säkerheten för produkter med digitala element som släpps ut på den inre marknaden är det nödvändigt att fastställa väsentliga cybersäkerhetskrav som är tillämpliga på sådana produkter. Dessa väsentliga cybersäkerhetskrav bör inte påverka tillämpningen av samordnade säkerhetsriskbedömningar på unionsnivå av kritiska leveranskedjor som avses i artikel 22 i direktiv (EU) 2022/2555, som beaktar både tekniska och, när så är relevant, icke-tekniska riskfaktorer, såsom tredjelands otillbörliga påverkan på leverantörer. De bör inte heller påverka medlemsstaternas rätt att fastställa ytterligare krav för att ta hänsyn till icke-tekniska faktorer för att säkerställa en hög resiliensnivå, inbegripet krav som definieras i kommissionens rekommendation (EU) 2019/534(23)Kommissionens rekommendation (EU) 2019/534 av den 26 mars 2019 om it-säkerhet i 5G-nät (EUT L 88, 29.3.2019, s. 42)., den EU-samordnade riskbedömningen av cybersäkerhet i 5G-nät och EU-verktygslådan för 5G-cybersäkerhet som överenskommits av samarbetsgruppen som inrättats enligt artikel 14 i direktiv (EU) 2022/2555.
Skäl 58 Strategic cybersecurity supply chain risks
I det gemensamma meddelandet Europeisk strategi för ekonomisk säkerhet från kommissionen och unionens höga representant för utrikes frågor och säkerhetspolitik av den 20 juni 2023 anges att unionen måste maximera fördelarna med sin ekonomiska öppenhet och samtidigt minimera riskerna med ekonomiskt beroende av högriskleverantörer, genom en gemensam strategisk ram för unionens ekonomiska säkerhet. Beroenden av högriskleverantörer av produkter med digitala element kan utgöra en strategisk risk som måste hanteras på unionsnivå, särskilt om produkterna med digitala element är avsedda för användning av väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555. Sådana risker kan vara kopplade till, men inte begränsas till, den jurisdiktion som är tillämplig på tillverkaren, egenskaperna hos dess företagsägande och kopplingarna till kontrollen till en tredjelandsregering där den är etablerad, särskilt om ett land ägnar sig åt ekonomiskt spionage eller oansvarigt statligt beteende i cyberrymden och dess lagstiftning tillåter godtycklig tillgång till alla typer av företagsverksamhet eller uppgifter, inbegripet kommersiellt känsliga uppgifter, och kan införa skyldigheter för underrättelseändamål utan demokratiska kontroller och motvikter, tillsynsmekanismer, rättssäkerhet eller rätt att överklaga till en oberoende domstol. Vid fastställandet av betydelsen av en cybersäkerhetsrisk i den mening som avses i denna förordning bör kommissionen och marknadskontrollmyndigheterna, i enlighet med sina ansvarsområden enligt denna förordning, också beakta icke-tekniska riskfaktorer, särskilt de som fastställts till följd av samordnade säkerhetsriskbedömningar av kritiska leveranskedjor på unionsnivå som genomförts i enlighet med artikel 22 i direktiv (EU) 2022/2555.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.