DISPOSITIONS GÉNÉRALES
Objet
Le présent règlement établit:
les règles relatives à la mise à disposition sur le marché de produits comportant des éléments numériques afin de garantir la cybersécurité de ces produits;
les exigences essentielles de cybersécurité relatives à la conception, au développement et à la production de produits comportant des éléments numériques, et les obligations qui incombent aux opérateurs économiques en ce qui concerne ces produits eu égard à la cybersécurité;
les exigences essentielles de cybersécurité relatives aux processus de gestion des vulnérabilités mis en place par les fabricants pour garantir la cybersécurité des produits comportant des éléments numériques durant la période d’utilisation prévue du produit, et les obligations incombant aux opérateurs économiques en ce qui concerne ces processus;
les règles relatives à la surveillance, y compris le contrôle, du marché et au contrôle de l’application des règles et exigences visées au présent article.
Champ d’application
Si votre produit comporte des éléments numériques et atteint le marché de l’UE, il est probablement couvert, sauf si une législation sectorielle (dispositifs médicaux, véhicules à moteur, aviation civile) s’applique déjà.
1. Le présent règlement s’applique aux produits comportant des éléments numériques mis à disposition sur le marché dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou à un réseau.
2. Le présent règlement ne s’applique pas aux produits comportant des éléments numériques auxquels s’appliquent les actes juridiques de l’Union suivants:
règlement (UE) 2017/745;
règlement (UE) 2017/746;
règlement (UE) 2019/2144.
3. Le présent règlement ne s’applique pas aux produits comportant des éléments numériques qui ont été certifiés conformément au règlement (UE) 2018/1139.
4. Le présent règlement ne s’applique pas aux équipements qui relèvent du champ d’application de la directive 2014/90/UE du Parlement européen et du Conseil (36).
5. L’application du présent règlement à des produits comportant des éléments numériques qui relèvent d’autres règles de l’Union fixant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles de cybersécurité énoncées à l’annexe I peut être limitée ou exclue lorsque:
cette limitation ou cette exclusion est compatible avec le cadre réglementaire général qui s’applique à ces produits; et
les règles sectorielles assurent un niveau de protection identique ou supérieur à celui prévu par le présent règlement.
La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour compléter le présent règlement en précisant si une telle limitation ou exclusion est nécessaire, quels sont les produits et règles concernés et quelle est la portée de la limitation, le cas échéant.
6. Le présent règlement ne s’applique pas aux pièces de rechange qui sont mises à disposition sur le marché pour remplacer des composants identiques dans des produits comportant des éléments numériques et qui sont fabriquées conformément aux mêmes spécifications que les composants qu’elles sont destinées à remplacer.
7. Le présent règlement ne s’applique pas aux produits comportant des éléments numériques qui sont développés ou modifiés exclusivement à des fins de sécurité nationale ou de défense, ni aux produits spécifiquement conçus pour traiter des informations classifiées.
8. Les obligations prévues dans le présent règlement n’impliquent pas la fourniture d’informations dont la divulgation serait contraire aux intérêts essentiels des États membres en matière de sécurité nationale, de sécurité publique ou de défense.
Définitions
L’article 3 définit les termes employés dans tout le règlement ; « produit comportant des éléments numériques », « période de support » et « vulnérabilité activement exploitée » y trouvent tous leur origine.
Aux fins du présent règlement, on entend par:
«produit comportant des éléments numériques»: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;
«traitement de données à distance»: tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou sous la responsabilité de ce dernier, et dont l’absence empêcherait le produit comportant des éléments numériques d’exécuter une de ses fonctions;
«cybersécurité»: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;
«logiciel»: la partie d’un système d’information électronique qui consiste en un code informatique;
«matériel informatique»: un système d’information électronique physique, ou des parties de celui-ci, capable de traiter, de stocker ou de transmettre des données numériques;
«composant»: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique;
«système d’information électronique»: un système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques;
«connexion logique»: une représentation virtuelle d’une connexion de données mise en œuvre au moyen d’une interface logicielle;
«connexion physique»: une connexion entre des systèmes d’information électroniques ou des composants mis en œuvre par des moyens physiques, y compris par des interfaces électriques, optiques ou mécaniques, des fils ou des ondes radio;
«connexion indirecte»: une connexion à un dispositif ou à un réseau, qui n’est pas établie directement, mais plutôt dans le cadre d’un système plus vaste qui peut être directement connecté à ce dispositif ou à ce réseau;
«point terminal»: tout dispositif connecté à un réseau et servant de point d’entrée à ce réseau;
«opérateur économique»: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;
«fabricant»: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;
«intendant de logiciels ouverts»: une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits;
«mandataire»: une personne physique ou morale établie dans l’Union ayant reçu mandat écrit du fabricant pour agir en son nom aux fins de l’accomplissement de tâches déterminées;
«importateur»: une personne physique ou morale établie dans l’Union qui met sur le marché un produit comportant des éléments numériques, lequel porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union;
«distributeur»: une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés;
«consommateur»: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;
«microentreprises», «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE;
«période d’assistance»: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;
«mise sur le marché»: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union;
«mise à disposition sur le marché»: la fourniture d’un produit comportant des éléments numériques destiné à être distribué ou utilisé sur le marché de l’Union dans le cadre d’une activité commerciale, à titre onéreux ou gratuit;
«utilisation prévue»: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique;
«utilisation raisonnablement prévisible»: une utilisation qui n’est pas nécessairement celle qui est prévue par le fabricant et qui figure dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique, mais qui est susceptible de résulter d’un comportement humain, d’opérations techniques ou d’interactions raisonnablement prévisibles;
«mauvaise utilisation raisonnablement prévisible»: l’utilisation d’un produit comportant des éléments numériques d’une manière qui n’est pas conforme à son utilisation prévue, mais qui peut résulter d’un comportement humain ou d’une interaction avec d’autres systèmes raisonnablement prévisibles;
«autorité notifiante»: l’autorité nationale chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle;
«évaluation de la conformité»: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées;
«organisme d’évaluation de la conformité»: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008;
«organisme notifié»: un organisme d’évaluation de la conformité désigné en application de l’article 43 et de toute autre législation d’harmonisation de l’Union pertinente;
«modification substantielle»: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;
«marquage CE»: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition;
«législation d’harmonisation de l’Union»: la législation de l’Union énumérée à l’annexe I du règlement (UE) 2019/1020 et toute autre législation de l’Union harmonisant les conditions de commercialisation des produits auxquels ledit règlement s’applique;
«autorité de surveillance du marché»: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020;
«norme internationale»: une norme internationale au sens de l’article 2, point 1) a), du règlement (UE) no 1025/2012;
«norme européenne»: une norme européenne au sens de l’article 2, point 1) b), du règlement (UE) no 1025/2012;
«norme harmonisée»: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;
«risque de cybersécurité»: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;
«risque de cybersécurité important»: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable;
«nomenclature des logiciels»: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques;
«vulnérabilité»: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;
«vulnérabilité exploitable»: une vulnérabilité susceptible d’être utilisée efficacement par un adversaire en conditions de fonctionnement effectives;
«vulnérabilité activement exploitée»: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système;
«incident»: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;
«incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques»: un incident qui entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions;
«incident évité»: un incident évité au sens de l’article 6, point 5), de la directive (UE) 2022/2555;
«cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;
«données à caractère personnel»: des données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679;
«logiciel libre et ouvert»: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable;
«rappel»: un rappel au sens de l’article 3, point 22), du règlement (UE) 2019/1020;
«retrait»: un retrait au sens de l’article 3, point 23), du règlement (UE) 2019/1020;
«CSIRT désigné comme coordinateur»: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555.
Libre circulation
1. Les États membres n’empêchent pas, pour les aspects relevant du présent règlement, la mise à disposition sur le marché de produits comportant des éléments numériques conformes au présent règlement.
2. Lors de foires commerciales, d’expositions, de démonstrations ou d’événements similaires, les États membres n’empêchent pas la présentation ou l’utilisation d’un produit comportant des éléments numériques non conforme au présent règlement, y compris ses prototypes, à condition que le produit porte une marque visible indiquant clairement qu’il n’est pas conforme au présent règlement et qu’il ne doit pas être mis à disposition sur le marché tant qu’il ne sera pas conforme au présent règlement.
3. Les États membres n’empêchent pas la mise à disposition sur le marché de logiciels inachevés qui ne sont pas conformes au présent règlement, à condition que le logiciel ne soit mis à disposition que pour une durée limitée nécessaire à des fins d’essai et qu’il porte une marque visible indiquant clairement que le logiciel n’est pas conforme au présent règlement et qu’il ne sera pas mis à disposition sur le marché à d’autres fins que les essais.
4. Le paragraphe 3 ne s’applique pas aux composants de sécurité visés dans la législation d’harmonisation de l’Union autre que le présent règlement.
Achats publics ou utilisation de produits comportant des éléments numériques
1. Le présent règlement n’empêche pas les États membres de soumettre les produits comportant des éléments numériques à des exigences supplémentaires de cybersécurité en cas d’achats publics ou d’utilisation de ces produits à des fins spécifiques, y compris lorsque ces produits sont achetés ou utilisés à des fins de sécurité nationale ou de défense, à condition que ces exigences soient conformes aux obligations des États membres prévues par le droit de l’Union et qu’elles soient nécessaires et proportionnées à la poursuite de ces fins.
2. Sans préjudice des directives 2014/24/UE et 2014/25/UE, lors des achats publics de produits comportant des éléments numériques relevant du champ d’application du présent règlement, les États membres veillent à la prise en compte, au cours du processus d’achat public, du respect des exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement, y compris la capacité du fabricant à traiter efficacement les vulnérabilités.
Exigences applicables aux produits comportant des éléments numériques
Les produits comportant des éléments numériques ne sont mis à disposition sur le marché que:
s’ils satisfont aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, à condition qu’ils soient correctement installés, entretenus et utilisés conformément à l’utilisation prévue ou dans des conditions raisonnablement prévisibles et, le cas échéant, que les mises à jour de sécurité nécessaires aient été installées; et
si les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II.
Produits importants comportant des éléments numériques
1. Les produits comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produit énoncée à l’annexe III sont considérés comme des produits importants comportant des éléments numériques et sont soumis aux procédures d’évaluation de la conformité visées à l’article 32, paragraphes 2 et 3. L’intégration dans un produit d’un produit comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produits énoncée à l’annexe III n’amène pas en tant que telle le produit dans lequel ledit produit comportant des éléments numériques a été intégré à être soumis aux procédures d’évaluation de la conformité visées à l’article 32, paragraphes 2 et 3.
2. Les catégories de produits comportant des éléments numériques visées au paragraphe 1 du présent article, réparties entre les classes I et II figurant à l’annexe III, remplissent au moins l’un des critères suivants:
le produit comportant des éléments numériques exécute des fonctions essentielles pour la cybersécurité d’autres produits, réseaux ou services, y compris la sécurisation des authentifications et des accès, la prévention et la détection des intrusions, la sécurité des points terminaux ou la protection des réseaux;
le produit comportant des éléments numériques exécute une fonction qui comporte un risque important d’effets néfastes du fait de son intensité et de sa capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de ses utilisateurs par une manipulation directe, par exemple une fonction du système central, y compris la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel.
3. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour modifier l’annexe III en ajoutant une nouvelle catégorie dans chaque classe de la liste des catégories de produits comportant des éléments numériques et en précisant la définition de celle-ci, en déplaçant une catégorie de produits d’une classe à l’autre ou en retirant une catégorie existante de cette liste. Lorsqu’elle évalue la nécessité de modifier la liste figurant à l’annexe III, la Commission tient compte des fonctionnalités liées à la cybersécurité ou de la fonction et du niveau de risque de cybersécurité que présentent les produits comportant des éléments numériques qui répondent aux critères visés au paragraphe 2 du présent article.
Les actes délégués visés au premier alinéa du présent paragraphe prévoient, le cas échéant, une période transitoire d’au moins 12 mois, en particulier lorsqu’une nouvelle catégorie de produits importants comportant des éléments numériques est ajoutée à la classe I ou à la classe II ou est déplacée de la classe I à la classe II, figurant à l’annexe III, avant que les procédures d’évaluation de la conformité pertinentes visées à l’article 32, paragraphes 2 et 3, ne deviennent d’application, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.
4. Au plus tard le 11 décembre 2025, la Commission adopte un acte d’exécution précisant la description technique des catégories de produits comportant des éléments numériques qui relèvent des classes I et II figurant à l’annexe III, ainsi que la description technique des catégories de produits comportant des éléments numériques qui figurent à l’annexe IV. Cet acte d’exécution est adopté en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
Produits critiques comportant des éléments numériques
1. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour compléter le présent règlement afin de déterminer quels produits comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produits qui figure à l’annexe IV du présent règlement doivent être tenus d’obtenir un certificat de cybersécurité européen au minimum au niveau d’assurance dit «substantiel» dans le cadre d’un schéma européen de certification de cybersécurité adopté en vertu du règlement (UE) 2019/881, afin de démontrer leur conformité aux exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement, ou à des parties de ces exigences, à condition qu’un schéma européen de certification de cybersécurité qui couvre ces catégories de produits comportant des éléments numériques ait été adopté en vertu du règlement (UE) 2019/881 et soit à la disposition des fabricants. Ces actes délégués précisent le niveau d’assurance nécessaire qui est proportionné au niveau de risque de cybersécurité associé aux produits comportant des éléments numériques et ils tiennent compte de l’utilisation prévue de ces produits, y compris la dépendance critique à leur égard d’entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555.
Avant d’adopter ces actes délégués, la Commission procède à une évaluation des effets potentiels sur le marché des mesures envisagées, ainsi qu’à des consultations des parties intéressées, y compris le groupe européen de certification de cybersécurité institué au titre du règlement (UE) 2019/881. L’évaluation prend en considération l’état de préparation et le niveau des capacités des États membres pour la mise en œuvre du schéma européen de certification de cybersécurité pertinent. Lorsque aucun acte délégué tel que visé au premier alinéa du présent paragraphe n’a été adopté, les produits comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produits qui figure à l’annexe IV sont soumis aux procédures d’évaluation de la conformité visées à l’article 32, paragraphe 3.
Les actes délégués visés au premier alinéa prévoient une période transitoire d’au moins six mois, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.
2. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour modifier l’annexe IV en ajoutant ou en retirant des catégories de produits critiques comportant des éléments numériques. Lorsqu’elle fixe ces catégories de produits critiques comportant des éléments numériques et le niveau d’assurance requis, conformément au paragraphe 1 du présent article, la Commission tient compte des critères visés à l’article 7, paragraphe 2, et veille à ce que les catégories de produits critiques comportant des éléments numériques remplissent au moins l’un des critères suivants:
il existe une dépendance critique d’entités essentielles visées à l’article 3 de la directive (UE) 2022/2555 à l’égard de la catégorie de produits comportant des éléments numériques;
des incidents et des vulnérabilités exploitées concernant la catégorie de produits comportant des éléments numériques pourrait entraîner de graves perturbations de chaînes d’approvisionnement critiques du marché intérieur.
Avant d’adopter ces actes délégués, la Commission procède à une évaluation du même type que celle visée au paragraphe 1.
Les actes délégués visés au premier alinéa prévoient une période transitoire d’au moins six mois, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.
Consultation des parties intéressées
1. Lors de l’élaboration des mesures de mise en œuvre du présent règlement, la Commission consulte les parties intéressées, telles que les autorités des États membres concernées, les entreprises du secteur privé, y compris les microentreprises et les petites et moyennes entreprises, la communauté des logiciels ouverts, les associations de consommateurs, le milieu universitaire et les organismes et organes compétents de l’Union, ainsi que les groupes d’experts établis au niveau de l’Union. En particulier, la Commission consulte ces parties intéressées et sollicite leur avis, de manière structurée, lorsque cela s’y prête:
au moment d’élaborer les orientations visées à l’article 26;
au moment de préparer les descriptions techniques spécifiques des catégories de produits figurant à l’annexe III conformément à l’article 7, paragraphe 4, d’évaluer la nécessité d’éventuelles mises à jour de la liste des catégories de produits conformément à l’article 7, paragraphe 3, et à l’article 8, paragraphe 2, ou de procéder à l’évaluation des effets potentiels sur le marché visée à l’article 8, paragraphe 1, sans préjudice de l’article 61;
au moment d’entreprendre des travaux préparatoires en vue de l’évaluation et du réexamen du présent règlement.
2. La Commission organise régulièrement des sessions de consultation et d’information, et au moins une fois par an, afin de recueillir l’avis des parties intéressées visées au paragraphe 1 sur la mise en œuvre du présent règlement.
Renforcement des compétences dans un environnement numérique cyberrésilient
Aux fins du présent règlement et afin de répondre aux besoins des professionnels à l’appui de la mise en œuvre du présent règlement, les États membres, avec, le cas échéant, le soutien de la Commission, du Centre européen de compétences en matière de cybersécurité et de l’ENISA, tout en respectant pleinement la responsabilité des États membres dans le domaine de l’éducation, favorisent des mesures et des stratégies visant:
à développer des compétences en matière de cybersécurité et à créer des outils organisationnels et technologiques pour garantir une disponibilité suffisante de professionnels qualifiés afin de soutenir les activités des autorités de surveillance du marché et des organismes d’évaluation de la conformité;
à renforcer la collaboration entre le secteur privé, les opérateurs économiques, y compris par la reconversion ou le perfectionnement des salariés des fabricants, les consommateurs, les prestataires de formation et les administrations publiques, élargissant ainsi les possibilités pour les jeunes d’accéder à des emplois dans le secteur de la cybersécurité.
Sécurité générale des produits
Par dérogation à l’article 2, paragraphe 1, troisième alinéa, point b), du règlement (UE) 2023/988, le chapitre III, section 1, les chapitres V et VII, et les chapitres IX à XI dudit règlement s’appliquent aux produits comportant des éléments numériques en ce qui concerne les aspects et les risques ou catégories de risques qui ne sont pas couverts par le présent règlement lorsque ces produits ne sont pas soumis à des exigences spécifiques prévues dans d’autres actes faisant partie de la législation d’harmonisation de l’Union au sens de l’article 3, point 27), du règlement (UE) 2023/988.
Systèmes d’IA à haut risque
1. Sans préjudice des exigences en matière d’exactitude et de robustesse énoncées à l’article 15 du règlement (UE) 2024/1689, les produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement et sont classés comme des systèmes d’IA à haut risque conformément à l’article 6 dudit règlement sont réputés conformes aux exigences de cybersécurité énoncées à l’article 15 dudit règlement:
lorsque ces produits satisfont aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I;
lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; et
lorsque le niveau de cyberprotection requis à l’article 15 du règlement (UE) 2024/1689 est démontré par la déclaration UE de conformité délivrée en vertu du présent règlement.
2. Pour les produits comportant des éléments numériques et les exigences de cybersécurité visés au paragraphe 1 du présent article, la procédure d’évaluation de la conformité pertinente prévue à l’article 43 du règlement (UE) 2024/1689 s’applique. Aux fins de cette évaluation, les organismes notifiés qui sont compétents pour contrôler la conformité des systèmes d’IA à haut risque au titre du règlement (UE) 2024/1689 sont également compétents pour contrôler la conformité des systèmes d’IA à haut risque qui relèvent du champ d’application du présent règlement aux exigences énoncées à l’annexe I du présent règlement, à condition que la conformité de ces organismes notifiés aux exigences prévues par l’article 39 du présent règlement ait été évaluée dans le cadre de la procédure de notification prévue par le règlement (UE) 2024/1689.
3. Par dérogation au paragraphe 2 du présent article, les produits importants comportant des éléments numériques énumérés à l’annexe III du présent règlement, qui font l’objet des procédures d’évaluation de la conformité prévues par l’article 32, paragraphe 2, points a) et b), et l’article 32, paragraphe 3, du présent règlement ainsi que les produits critiques comportant des éléments numériques énumérés à l’annexe IV du présent règlement qui doivent obtenir un certificat de cybersécurité européen au titre de l’article 8, paragraphe 1, du présent règlement ou, à défaut, qui font l’objet des procédures d’évaluation de la conformité prévues par l’article 32, paragraphe 3, du présent règlement, et qui sont également classés comme systèmes d’IA à haut risque au titre de l’article 6 du règlement (UE) 2024/1689, et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne prévue à l’annexe VI du règlement (UE) 2024/1689, sont soumis aux procédures d’évaluation de la conformité prévues par le présent règlement en ce qui concerne les exigences essentielles de cybersécurité énoncées dans le présent règlement.
4. Les fabricants de produits comportant des éléments numériques tels que visés au paragraphe 1 du présent article peuvent participer aux sas réglementaires en matière d’IA visés à l’article 57 du règlement (UE) 2024/1689.
OBLIGATIONS DES OPÉRATEURS ÉCONOMIQUES ET DISPOSITIONS RELATIVES AUX LOGICIELS LIBRES ET OUVERTS
Obligations incombant aux fabricants
Pour les fabricants, c’est l’article central : une évaluation des risques de cybersécurité, les exigences de l’annexe I, une période de support définie, des mises à jour de sécurité gratuites et un point de contact publié pour la divulgation des vulnérabilités.
1. Lorsqu’ils mettent sur le marché un produit comportant des éléments numériques, les fabricants s’assurent que ce produit a été conçu, développé et fabriqué conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I.
2. Aux fins du respect du paragraphe 1, les fabricants procèdent à une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques et tiennent compte des résultats de cette évaluation au cours des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit comportant des éléments numériques, en vue de réduire au minimum les risques de cybersécurité, de prévenir les incidents et d’en réduire au minimum leurs répercussions, y compris en ce qui concerne la santé et la sécurité des utilisateurs.
3. L’évaluation des risques de cybersécurité est documentée et mise à jour selon les besoins au cours d’une période d’assistance à déterminer conformément au paragraphe 8 du présent article. Cette évaluation des risques de cybersécurité comprend au moins une analyse des risques de cybersécurité fondée sur l’utilisation prévue et l’utilisation raisonnablement prévisible, ainsi que sur les conditions d’utilisation du produit comportant des éléments numériques, tels que l’environnement opérationnel ou les actifs à protéger, compte tenu de la durée prévue d’utilisation du produit. L’évaluation des risques de cybersécurité indique si et, dans l’affirmative, de quelle manière, les exigences de sécurité énoncées à l’annexe I, partie I, point 2), sont applicables au produit comportant des éléments numériques concerné et comment ces exigences sont mises en œuvre sur la base de l’évaluation du risque de cybersécurité. Elle indique également de quelle manière le fabricant doit appliquer l’annexe I, partie I, point 1), ainsi que les exigences relatives à la gestion des vulnérabilités énoncées à l’annexe I, partie II.
4. Lorsqu’il met sur le marché un produit comportant des éléments numériques, le fabricant inclut l’évaluation des risques de cybersécurité visée au paragraphe 3 du présent article dans la documentation technique requise conformément à l’article 31 et à l’annexe VII. Pour les produits comportant des éléments numériques mentionnés à l’article 12, qui relèvent aussi d’autres actes juridiques de l’Union, l’évaluation des risques de cybersécurité peut faire partie de l’évaluation des risques prévue par ces actes juridiques de l’Union. Lorsque certaines exigences essentielles de cybersécurité ne sont pas applicables au produit comportant des éléments numériques, le fabricant fait figurer une justification claire dans cette documentation technique.
5. Aux fins du respect de l’obligation énoncée au paragraphe 1, les fabricants font preuve de diligence raisonnable lorsqu’ils intègrent dans des produits comportant des éléments numériques des composants obtenus auprès de tiers, de sorte que ces composants ne compromettent pas la cybersécurité du produit comportant des éléments numériques, y compris lors de l’intégration de composants de logiciels libres et ouverts qui n’ont pas été mis à disposition sur le marché dans le cadre d’une activité commerciale.
6. Lorsqu’ils identifient une vulnérabilité dans un composant, y compris un composant logiciel ouvert, qui est intégré au produit comportant des éléments numériques, les fabricants signalent la vulnérabilité à la personne ou à l’entité qui assure la maintenance du composant, et s’attaquent et remédient à la vulnérabilité conformément aux exigences relatives à la gestion des vulnérabilités énoncées à l’annexe I, partie II. Lorsque les fabricants ont mis au point une modification logicielle ou matérielle pour remédier à la vulnérabilité de ce composant, ils partagent le code ou la documentation correspondants avec la personne ou l’entité qui fabrique le composant ou en assure la maintenance, dans un format lisible par machine s’il y a lieu.
7. Les fabricants documentent systématiquement, d’une manière proportionnée à la nature et à l’ampleur des risques de cybersécurité, les aspects pertinents pour la cybersécurité concernant le produit comportant des éléments numériques, y compris les vulnérabilités dont ils prennent connaissance et toute information pertinente fournie par des tiers, et, le cas échéant, mettent à jour l’évaluation des risques de cybersécurité du produit.
8. Lorsqu’ils mettent sur le marché un produit comportant des éléments numériques, et pendant la période d’assistance, les fabricants veillent à ce que les vulnérabilités de ce produit, y compris de ses composants, soient gérées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II.
Les fabricants fixent la période d’assistance de sorte qu’elle reflète la durée pendant laquelle le produit est censé pouvoir être utilisé, en tenant compte, en particulier, des attentes raisonnables des utilisateurs, de la nature du produit, y compris de son utilisation prévue, ainsi que du droit de l’Union applicable déterminant la durée de vie des produits comportant des éléments numériques. Lorsqu’ils déterminent la période d’assistance, les fabricants peuvent également tenir compte des périodes d’assistance des produits comportant des éléments numériques offrant une fonctionnalité similaire mis sur le marché par d’autres fabricants, de la disponibilité de l’environnement opérationnel, des périodes d’assistance des composants intégrés qui assurent des fonctions essentielles et proviennent de tiers, ainsi que des orientations pertinentes fournies par le groupe de coopération administrative (ADCO) institué en vertu de l’article 52, paragraphe 15, et par la Commission. Les éléments à prendre en compte pour définir la période d’assistance sont pris en compte de manière à garantir la proportionnalité.
Sans préjudice du deuxième alinéa, la période d’assistance est d’au moins cinq ans. Lorsque le produit comportant des éléments numériques est censé pouvoir être utilisé pendant moins de cinq ans, la période d’assistance correspond à la durée d’utilisation prévue.
Compte tenu des recommandations ADCO visées à l’article 52, paragraphe 16, la Commission peut adopter des actes délégués conformément à l’article 61 afin de compléter le présent règlement en précisant la période d’assistance minimale pour des catégories de produits spécifiques lorsque les données de surveillance du marché indiquent que les périodes d’assistance fixées sont insuffisantes.
Les fabricants font figurer dans la documentation technique visée à l’annexe VII les informations qui ont été prises en compte pour déterminer la période d’assistance du produit comportant des éléments numériques.
Les fabricants disposent de politiques et de procédures appropriées, notamment les politiques de divulgation coordonnée des vulnérabilités mentionnées à l’annexe I, partie II, point 5), pour traiter et corriger les vulnérabilités potentielles du produit comportant des éléments numériques signalées par des sources internes ou externes.
9. Les fabricants veillent à ce que chaque mise à jour de sécurité, visée à l’annexe I, partie II, point 8), qui a été mise à la disposition des utilisateurs au cours de la période d’assistance, reste disponible après son émission pendant dix ans au minimum ou pendant le reste de la période d’assistance, la période la plus longue étant retenue.
10. Lorsqu’un fabricant met sur le marché des versions ultérieures substantiellement modifiées d’un logiciel, il peut garantir la conformité avec l’exigence essentielle de cybersécurité énoncée à l’annexe I, partie II, point 2), uniquement pour la dernière version mise sur le marché, à condition que les utilisateurs des versions précédemment mises sur le marché aient accès gratuitement aux dernières versions mises sur le marché et ne doivent pas supporter des coûts supplémentaires pour adapter l’environnement matériel et logiciel dans lequel ils utilisent la version originale de ce produit.
11. Les fabricants peuvent conserver des archives logicielles publiques améliorant l’accès des utilisateurs aux versions antérieures. Dans ces cas, les utilisateurs sont clairement informés, d’une manière aisément accessible, des risques associés à l’utilisation de logiciels non pris en charge.
12. Avant de mettre sur le marché un produit comportant des éléments numériques, les fabricants établissent la documentation technique visée à l’article 31.
Ils appliquent ou font appliquer les procédures d’évaluation de la conformité choisies visées à l’article 32.
Lorsqu’il a été démontré, au moyen de cette procédure d’évaluation de la conformité, que le produit comportant des éléments numériques est conforme aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et que les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II, les fabricants établissent la déclaration UE de conformité conformément à l’article 28 et appose le marquage CE conformément à l’article 30.
13. Les fabricants tiennent la documentation technique et la déclaration UE de conformité à la disposition des autorités de surveillance du marché pendant une durée d’au moins dix ans après la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue.
14. Les fabricants veillent à ce que des procédures soient en place pour que la conformité avec le présent règlement des produits comportant des éléments numériques produits en série reste assurée. Les fabricants tiennent dûment compte des modifications du processus de développement et de production ou de la conception ou des caractéristiques du produit comportant des éléments numériques, ainsi que des modifications des normes harmonisées, des schémas européens de certification de cybersécurité ou des spécifications techniques visées à l’article 27 au regard desquelles la conformité du produit comportant des éléments numériques est déclarée ou en application desquelles sa conformité est vérifiée.
15. Les fabricants veillent à ce que leurs produits comportant des éléments numériques portent un numéro de type, de lot ou de série ou tout autre élément permettant leur identification ou, lorsque cela n’est pas possible, à ce que cette information soit fournie sur l’emballage ou dans un document accompagnant le produit comportant des éléments numériques.
16. Le fabricant indique son nom, sa raison sociale ou sa marque déposée et ses adresses postale, électronique ou autre moyen numérique, ainsi que, le cas échéant, l’adresse du site internet, auxquelles il peut être contacté sur le produit comportant des éléments numériques, sur son emballage ou dans un document l’accompagnant. Ces informations figurent également dans les informations et instructions destinées à l’utilisateur énoncées à l’annexe II. Les coordonnées sont indiquées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché.
17. Aux fins du présent règlement, les fabricants désignent un point de contact unique pour permettre aux utilisateurs de communiquer directement et rapidement avec lui, y compris afin de faciliter le signalement des vulnérabilités des produits comportant des éléments numériques.
Les fabricants veillent à ce que le point de contact unique soit facilement identifiable par les utilisateurs. Ils font également figurer le point de contact unique dans les informations et instructions destinées à l’utilisateur énoncées à l’annexe II.
Le point de contact unique permet aux utilisateurs de choisir leurs moyens de communication préférés, ces moyens n’étant pas limités aux outils automatisés.
18. Les fabricants veillent à ce que les produits comportant des éléments numériques soient accompagnés des informations et des instructions destinées à l’utilisateur énoncées à l’annexe II, sous forme papier ou électronique. Ces informations et instructions sont fournies dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché. Elles sont claires, compréhensibles, intelligibles et lisibles. Elles permettent une installation, un fonctionnement et une utilisation sécurisés des produits comportant des éléments numériques. Les fabricants tiennent les informations et instructions destinées à l’utilisateur énoncées à l’annexe II à la disposition des utilisateurs et des autorités de surveillance du marché pendant une durée d’au moins dix ans après la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue. Lorsque ces informations et instructions sont fournies en ligne, les fabricants veillent à ce qu’elles soient accessibles, faciles d’utilisation et disponibles en ligne pendant une durée d’au moins dix ans après la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue.
19. Les fabricants veillent à ce que la date de fin de la période d’assistance visée au paragraphe 8, y compris au moins le mois et l’année, soit précisée au moment de l’achat, d’une manière claire, compréhensible et aisément accessible et, le cas échéant, sur le produit comportant des éléments numériques, son emballage ou par des moyens numériques.
Lorsque cela est techniquement possible compte tenu de la nature du produit comportant des éléments numériques, les fabricants prévoient l’affichage d’une notification aux utilisateurs les informant que leur produit comportant des éléments numériques a atteint la fin de sa période d’assistance.
20. Les fabricants fournissent soit une copie de la déclaration UE de conformité, soit une déclaration UE de conformité simplifiée avec le produit comportant des éléments numériques. Dans le cas où une déclaration UE de conformité simplifiée est jointe, celle-ci contient l’adresse internet exacte à laquelle le texte complet de la déclaration UE de conformité est accessible.
21. Dès la mise sur le marché et pendant la période d’assistance, les fabricants qui considèrent ou ont des raisons de croire que le produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I prennent immédiatement les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus du fabricant en conformité, ou pour procéder à leur retrait ou à leur rappel, selon le cas.
22. Sur requête motivée d’une autorité de surveillance du marché, les fabricants communiquent à cette dernière, dans une langue aisément compréhensible par cette autorité, toutes les informations et tous les documents, sur support papier ou par voie électronique, nécessaires pour démontrer la conformité du produit comportant des éléments numériques et des processus mis en place par le fabricant aux exigences essentielles de cybersécurité énoncées à l’annexe I. Les fabricants coopèrent avec ladite autorité, à la demande de cette dernière, concernant toute mesure prise pour éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’ils ont mis sur le marché.
23. Un fabricant qui cesse ses activités et qui, de ce fait, n’est pas en mesure de se conformer au présent règlement informe, avant que cette cessation ne prenne effet, les autorités de surveillance du marché concernées, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits comportant des éléments numériques mis sur le marché concernés de la cessation imminente de ses activités.
24. La Commission peut, par voie d’actes d’exécution tenant compte des normes et bonnes pratiques européennes et internationales, préciser le format et les éléments de la nomenclature des logiciels visée à l’annexe I, partie II, point 1). Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
25. Afin d’évaluer la dépendance des États membres et de l’Union dans son ensemble à l’égard des composants logiciels, et en particulier des composants qui répondent aux critères de logiciels libres et ouverts, l’ADCO peut décider de procéder à une évaluation de la dépendance à l’échelle de l’Union pour des catégories spécifiques de produits comportant des éléments numériques. À cette fin, les autorités de surveillance du marché peuvent demander aux fabricants de ces catégories de produits comportant des éléments numériques de fournir les nomenclatures des logiciels pertinentes du matériel visées à l’annexe I, partie II, point 1). Sur la base de ces informations, les autorités de surveillance du marché peuvent fournir à l’ADCO des informations anonymisées et agrégées sur les dépendances logicielles. L’ADCO soumet un rapport sur les résultats de l’évaluation de la dépendance au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555.
Obligations en matière de communication d’informations incombant aux fabricants
Les vulnérabilités activement exploitées et les incidents graves doivent être signalés à l’ENISA et au CSIRT national ; alerte précoce sous 24 heures. Ces obligations s’appliquent à partir du 11 septembre 2026.
1. Un fabricant notifie toute vulnérabilité activement exploitée contenue dans le produit comportant des éléments numériques dont il prend connaissance simultanément au CSIRT désigné comme coordinateur conformément au paragraphe 7 du présent article, et à l’ENISA. Le fabricant notifie cette vulnérabilité activement exploitée par l’intermédiaire de la plateforme unique de signalement établie en vertu de l’article 16.
2. Aux fins de la notification visée au paragraphe 1, le fabricant soumet:
une alerte précoce de vulnérabilité activement exploitée, sans retard injustifié et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, en indiquant, le cas échéant, les États membres sur le territoire desquels il a connaissance que son produit comportant des éléments numériques a été mis à disposition;
à moins que les informations pertinentes n’aient déjà été communiquées, une notification de vulnérabilité, sans retard injustifié et, en tout état de cause, au plus tard 72 heures après avoir eu connaissance de la vulnérabilité activement exploitée, fournissant les informations générales disponibles sur le produit comportant des éléments numériques concerné, la nature générale de l’exploitation et de la vulnérabilité concernée, ainsi que toute mesure corrective ou d’atténuation prise et les mesures correctives ou d’atténuation que les utilisateurs peuvent prendre, et précisant, s’il y a lieu, le degré de sensibilité qu’il attribue aux informations notifiées;
à moins que les informations pertinentes n’aient déjà été communiquées, un rapport final, au plus tard 14 jours après la mise à disposition d’une mesure de correction ou d’atténuation, comprenant au moins les éléments suivants:
une description de la vulnérabilité, y compris de sa gravité et de ses répercussions;
le cas échéant, des informations concernant tout acteur malveillant ayant exploité ou exploitant la vulnérabilité;
des précisions concernant la mise à jour de sécurité ou les autres mesures correctives qui ont été mises en place pour remédier à la vulnérabilité.
3. Un fabricant notifie tout incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques dont il prend connaissance simultanément au CSIRT désigné comme coordinateur conformément au paragraphe 7 du présent article et à l’ENISA. Le fabricant notifie cet incident par l’intermédiaire de la plateforme unique de signalement établie en vertu de l’article 16.
4. Aux fins de la notification visée au paragraphe 3, le fabricant soumet:
une alerte précoce d’incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques, sans retard injustifié et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, indiquant, au minimum, si l’incident pourrait avoir été causé par des actes illicites ou malveillants et, le cas échéant, les États membres sur le territoire desquels il a connaissance que son produit comportant des éléments numériques a été mis à disposition;
à moins que les informations pertinentes n’aient déjà été communiquées, une notification d’incident, sans retard injustifié et, en tout état de cause, au plus tard 72 heures après avoir eu connaissance de l’incident, fournissant les informations générales, lorsqu’elles sont disponibles, sur la nature de l’incident, l’évaluation initiale de l’incident, ainsi que toute mesure corrective ou d’atténuation prise et les mesures correctives ou d’atténuation que les utilisateurs peuvent prendre, et précisant, le cas échéant, le degré de sensibilité qu’il attribue aux informations notifiées;
à moins que les informations pertinentes n’aient déjà été communiquées, dans un délai d’un mois à compter de la présentation de la notification d’incident visée au point b), un rapport final comprenant au moins les éléments suivants:
une description détaillée de l’incident, y compris de sa gravité et de ses répercussions;
le type de menace ou la cause profonde qui a probablement déclenché l’incident;
les mesures d’atténuation appliquées et en cours.
5. Aux fins du paragraphe 3, un incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques est considéré comme grave lorsque:
il entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions sensibles ou importantes; ou
il a conduit ou est susceptible de conduire à l’introduction ou à l’exécution d’un code malveillant dans un produit comportant des éléments numériques ou dans le réseau et les systèmes d’information d’un utilisateur du produit comportant des éléments numériques.
6. Si nécessaire, le CSIRT désigné comme coordinateur qui reçoit initialement la notification peut demander au fabricant de fournir un rapport intermédiaire de situation concernant la vulnérabilité activement exploitée ou l’incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques.
7. Les notifications visées aux paragraphes 1 et 3 du présent article sont soumises par l’intermédiaire de la plateforme unique de signalement visée à l’article 16 en utilisant l’un des points finaux de notification électronique visés à l’article 16, paragraphe 1. La notification est soumise au moyen du point final de notification électronique du CSIRT désigné comme coordinateur de l’État membre dans lequel le fabricant a son établissement principal dans l’Union et est simultanément mise à la disposition de l’ENISA.
Aux fins du présent règlement, un fabricant est réputé avoir son établissement principal dans l’Union dans l’État membre où sont principalement prises les décisions relatives à la cybersécurité des produits comportant des éléments numériques. Si un tel État membre ne peut être déterminé, l’établissement principal est considéré comme se trouvant dans l’État membre où le fabricant concerné possède l’établissement comptant le plus grand nombre de salariés dans l’Union.
Lorsqu’un fabricant n’a pas d’établissement principal dans l’Union, il soumet les notifications visées aux paragraphes 1 et 3 en utilisant le point final de notification électronique du CSIRT désigné comme coordinateur dans l’État membre déterminé conformément à l’ordre suivant, selon les informations dont dispose le fabricant:
l’État membre dans lequel le mandataire agissant au nom du fabricant pour le plus grand nombre de produits comportant des éléments numériques de ce fabricant est établi;
l’État membre dans lequel l’importateur qui met sur le marché le plus grand nombre de produits comportant des éléments numériques de ce fabricant est établi;
l’État membre dans lequel le distributeur qui met à disposition sur le marché le plus grand nombre de produits comportant des éléments numériques de ce fabricant est établi;
l’État membre dans lequel se trouvent le plus grand nombre d’utilisateurs de produits comportant des éléments numériques de ce fabricant.
En ce qui concerne le troisième alinéa, point d), un fabricant peut soumettre des notifications relatives à tout nouveau cas de vulnérabilité activement exploitée ou d’incident grave ayant un impact sur la sécurité du produit comportant des éléments numériques au même CSIRT désigné comme coordinateur que celui avec lequel il a communiqué la première fois.
8. Après avoir pris connaissance d’une vulnérabilité activement exploitée ou d’un incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques, le fabricant informe les utilisateurs du produit comportant des éléments numériques touchés et, s’il y a lieu, tous les utilisateurs de ladite vulnérabilité ou dudit incident et, si nécessaire, de toute mesure corrective ou d’atténuation des risques que les utilisateurs peuvent mettre en place pour atténuer les répercussions de cette vulnérabilité ou de cet incident, s’il y a lieu dans un format structuré, lisible par machine pouvant être facilement traité automatiquement. Lorsque le fabricant n’informe pas les utilisateurs du produit comportant des éléments numériques en temps utile, les CSIRT notifiés désignés comme coordinateurs peuvent fournir ces informations aux utilisateurs lorsqu’ils le jugent proportionné et nécessaire pour prévenir ou atténuer les répercussions de cette vulnérabilité ou de cet incident.
9. Au plus tard le 11 décembre 2025, la Commission adopte des actes délégués conformément à l’article 61 du présent règlement pour compléter le présent règlement en précisant les conditions d’application des motifs ayant trait à la cybersécurité en lien avec les retards de diffusion des notifications prévus à l’article 16, paragraphe 2, du présent règlement. La Commission coopère avec le réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555 et l’ENISA pour préparer les projets d’actes délégués.
10. La Commission peut, par voie d’actes d’exécution, préciser plus en détail le format et les procédures des notifications visées au présent article ainsi qu’aux articles 15 et 16. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2. La Commission coopère avec le réseau des CSIRT et l’ENISA pour préparer les projets d’actes d’exécution.
Signalement volontaire
1. Les fabricants mais aussi d’autres personnes physiques ou morales peuvent notifier toute vulnérabilité contenue dans un produit comportant des éléments numériques ainsi que les cybermenaces susceptibles d’affecter le profil de risque d’un produit comportant des éléments numériques, de manière volontaire, à un CSIRT désigné comme coordinateur ou à l’ENISA.
2. Les fabricants ainsi que d’autres personnes physiques ou morales peuvent notifier tout incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques ainsi que des incidents évités qui auraient pu entraîner un tel incident, de manière volontaire, à un CSIRT désigné comme coordinateur ou à l’ENISA.
3. Le CSIRT désigné comme coordinateur ou l’ENISA traite les notifications visées au paragraphes 1 et 2 du présent article conformément à la procédure prévue à l’article 16.
Le CSIRT désigné comme coordinateur peut accorder la priorité au traitement des notifications obligatoires par rapport aux notifications volontaires.
4. Lorsqu’une personne physique ou morale autre que le fabricant notifie une vulnérabilité activement exploitée ou un incident grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques conformément au paragraphe 1 ou 2, le CSIRT désigné comme coordinateur en informe le fabricant sans retard injustifié.
5. Les CSIRT désignés comme coordinateurs ainsi que l’ENISA garantissent la confidentialité et une protection appropriée des informations fournies par la personne physique ou morale à l’origine de la notification. Sans préjudice de la prévention et de la détection d’infractions pénales et des enquêtes et poursuites en la matière, un signalement volontaire n’a pas pour effet d’imposer à la personne physique ou morale à l’origine de la notification des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas fait la notification.
Mise en place d’une plateforme unique de signalement
1. Aux fins des notifications visées à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, et afin de simplifier les obligations de signalement des fabricants, l’ENISA met en place une plateforme unique de signalement. Les opérations quotidiennes de la plateforme unique de signalement sont administrées par l’ENISA, qui en assure le fonctionnement. L’architecture de la plateforme unique de signalement permet aux États membres et à l’ENISA de mettre en place leurs propres points finaux de notification électronique.
2. Après réception d’une notification, le CSIRT désigné comme coordinateur qui reçoit initialement la notification diffuse, sans retard, la notification via la plateforme unique de signalement aux CSIRT désignés comme coordinateurs sur le territoire desquels le fabricant a indiqué que le produit comportant des éléments numériques a été mis à disposition.
Dans des circonstances exceptionnelles et, en particulier, à la demande du fabricant et compte tenu du degré de sensibilité des informations notifiées indiqué par celui-ci en vertu de l’article 14, paragraphe 2, point a), du présent règlement, la diffusion de la notification peut être retardée pour des motifs justifiés ayant trait à la cybersécurité pour une période limitée à ce qui est strictement nécessaire, y compris lorsqu’une vulnérabilité fait l’objet d’une procédure de divulgation coordonnée des vulnérabilités au titre de l’article 12, paragraphe 1, de la directive (UE) 2022/2555. Lorsqu’un CSIRT décide de retarder la diffusion d’une notification, il en informe immédiatement l’ENISA et fournit à la fois une justification du report de la diffusion de la notification et une indication de la date à laquelle il diffusera la notification conformément à la procédure de diffusion prévue au présent paragraphe. L’ENISA peut soutenir le CSIRT pour l’application de motifs ayant trait à la cybersécurité en ce qui concerne le report de la diffusion de la notification.
Dans des circonstances particulièrement exceptionnelles, lorsque le fabricant indique, dans la notification visée à l’article 14, paragraphe 2, point b):
que la vulnérabilité notifiée a été activement exploitée par un acteur malveillant et que, selon les informations disponibles, elle n’a été exploitée dans aucun autre État membre que celui du CSIRT désigné comme coordinateur auquel le fabricant a notifié la vulnérabilité;
que toute diffusion ultérieure immédiate de la vulnérabilité notifiée entraînerait probablement la fourniture d’informations dont la divulgation serait contraire aux intérêts essentiels de cet État membre; ou
que la vulnérabilité notifiée présente un risque de cybersécurité imminent élevé en cas de poursuite de la diffusion.
Seules l’information qu’une notification a été effectuée par le fabricant, les informations générales sur le produit, les informations sur la nature générale de l’exploitation et les informations indiquant que des motifs ayant trait à la sécurité ont été soulevés sont mises simultanément à la disposition de l’ENISA jusqu’à ce que la notification complète soit diffusée aux CSIRT concernés et à l’ENISA. Lorsque, sur la base de ces informations, l’ENISA considère qu’il existe un risque systémique compromettant la sécurité du marché intérieur, elle recommande au CSIRT destinataire de diffuser la notification complète aux autres CSIRT désignés comme coordinateurs et à elle-même.
3. Après avoir reçu notification d’une vulnérabilité activement exploitée d’un produit comportant des éléments numériques ou d’un incident grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques, les CSIRT désignés comme coordinateurs fournissent aux autorités de surveillance du marché de leurs États membres respectifs les informations notifiées dont elles ont besoin pour s’acquitter des obligations qui leur incombent en vertu du présent règlement.
4. L’ENISA prend des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité de la plateforme unique de signalement et des informations soumises ou diffusées par l’intermédiaire de cette plateforme. Elle notifie sans retard injustifié tout incident de sécurité affectant la plateforme unique de signalement au réseau des CSIRT ainsi qu’à la Commission.
5. L’ENISA, en coopération avec le réseau des CSIRT, fournit et met en œuvre des spécifications pour les mesures techniques, opérationnelles et organisationnelles relatives à la mise en place, à la maintenance et au fonctionnement sécurisé de la plateforme unique de signalement visée au paragraphe 1, comprenant au moins les dispositions de sécurité liées à la mise en place, au fonctionnement et à la maintenance de la plateforme unique de signalement, ainsi que les points finaux de notification électronique mis en place par les CSIRT désignés comme coordinateurs au niveau national et par l’ENISA au niveau de l’Union, y compris les aspects procéduraux visant à garantir que, lorsqu’une vulnérabilité notifiée ne comporte pas de mesures correctives ou d’atténuation des risques, les informations relatives à cette vulnérabilité sont partagées conformément à des protocoles de sécurité stricts et sur la base du besoin d’en connaître.
6. Lorsqu’un CSIRT désigné comme coordinateur a été informé d’une vulnérabilité activement exploitée dans le cadre d’une procédure de divulgation coordonnée des vulnérabilités visée à l’article 12, paragraphe 1, de la directive (UE) 2022/2555, le CSIRT désigné comme coordinateur qui reçoit initialement la notification peut retarder la diffusion de la notification en question par l’intermédiaire de la plateforme unique de signalement pour des motifs justifiés ayant trait à la cybersécurité pour une période limitée à ce qui est strictement nécessaire et jusqu’à ce que les parties à la divulgation coordonnée des vulnérabilités concernées aient donné leur consentement. Cette exigence n’empêche pas les fabricants de notifier une telle vulnérabilité de manière volontaire conformément à la procédure prévue au présent article.
Autres dispositions liées au signalement
1. L’ENISA peut soumettre au réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE-CyCLONe) institué par l’article 16 de la directive (UE) 2022/2555 les informations notifiées conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, si elles sont pertinentes pour la gestion coordonnée au niveau opérationnel des incidents et crises de cybersécurité majeurs. Afin de déterminer cette pertinence, l’ENISA peut prendre en considération les analyses techniques effectuées par le réseau des CSIRT, lorsqu’elles existent.
2. Lorsque la sensibilisation du public est nécessaire pour prévenir ou atténuer un incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques ou pour traiter un incident en cours, ou lorsque la divulgation de l’incident est par ailleurs dans l’intérêt public, le CSIRT désigné comme coordinateur de l’État membre concerné peut, après consultation du fabricant concerné et, le cas échéant, en coopération avec l’ENISA, informer le public de l’incident ou exiger du fabricant qu’il le fasse.
3. Sur la base des notifications reçues conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, l’ENISA élabore tous les 24 mois un rapport technique sur les tendances émergentes en ce qui concerne les risques de cybersécurité dans les produits comportant des éléments numériques et le soumet au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555. Le premier rapport de ce type est présenté dans les 24 mois suivant le début de l’application des obligations prévues à l’article 14, paragraphes 1 et 3. L’ENISA inclut les informations pertinentes de ses rapports techniques dans son rapport sur l’état de la cybersécurité dans l’Union établi conformément à l’article 18 de la directive (UE) 2022/2555.
4. Le simple acte de notification conformément à l’article 14, paragraphes 1 et 3, ou à l’article 15, paragraphes 1 et 2, ne soumet pas la personne physique ou morale à l’origine de la notification à une responsabilité accrue.
5. Après qu’une mise à jour de sécurité ou une autre forme de mesure corrective ou d’atténuation est mise à disposition, l’ENISA ajoute, en accord avec le fabricant du produit comportant des éléments numériques concerné, la vulnérabilité connue du public notifiée conformément à l’article 14, paragraphe 1, ou à l’article 15, paragraphe 1, du présent règlement à la base de données européenne des vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555.
6. Les CSIRT désignés comme coordinateurs fournissent aux fabricants, et en particulier aux fabricants qui peuvent être considérés comme des microentreprises ou des petites ou moyennes entreprises, un service d’assistance en ce qui concerne les obligations de signalement énoncées à l’article 14.
Mandataires
1. Un fabricant peut, par mandat écrit, désigner un mandataire.
2. Les obligations énoncées à l’article 13, paragraphes 1 à 11, à l’article 13, paragraphe 12, premier alinéa, et à l’article 13, paragraphe 14, ne font pas partie du mandat confié au mandataire.
3. Le mandataire exécute les tâches spécifiées dans le mandat qu’il reçoit du fabricant. Le mandataire fournit une copie du mandat aux autorités de surveillance du marché à leur demande. Le mandat autorise au minimum le mandataire:
à tenir à la disposition des autorités de surveillance du marché la déclaration UE de conformité mentionnée à l’article 28 et la documentation technique mentionnée à l’article 31 pendant au moins dix ans à partir de la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue;
sur requête motivée d’une autorité de surveillance du marché, à communiquer à cette dernière toutes les informations et tous les documents nécessaires pour démontrer la conformité du produit comportant des éléments numériques;
à coopérer avec les autorités de surveillance du marché, à leur demande, concernant toute mesure adoptée pour éliminer les risques présentés par un produit comportant des éléments numériques relevant du mandat confié au mandataire.
Obligations incombant aux importateurs
1. Un importateur ne met sur le marché que des produits comportant des éléments numériques conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II.
2. Avant de mettre sur le marché un produit comportant des éléments numériques, l’importateur veille à ce que:
les procédures appropriées d’évaluation de la conformité visées à l’article 32 aient été menées à bien par le fabricant;
le fabricant ait établi la documentation technique;
le produit comportant des éléments numériques porte le marquage CE visé à l’article 30 et soit accompagné de la déclaration UE de conformité visée à l’article 13, paragraphe 20, ainsi que des informations et instructions destinées à l’utilisateur figurant à l’annexe II, rédigées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché;
le fabricant ait respecté les exigences prévues à l’article 13, paragraphes 15, 16 et 19.
Aux fins du présent paragraphe, les importateurs doivent être en mesure de fournir les documents nécessaires prouvant le respect des exigences énoncées dans le présent article.
3. Lorsqu’un importateur considère ou a des raisons de croire qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes au présent règlement, il ne met pas le produit sur le marché tant que ce produit ou les processus mis en place par le fabricant n’ont pas été mis en conformité avec le présent règlement. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe le fabricant et les autorités de surveillance du marché.
Lorsqu’un importateur a des raisons de croire qu’un produit comportant des éléments numériques peut présenter un risque de cybersécurité important à la lumière de facteurs de risque non techniques, il en informe les autorités de surveillance du marché. Dès réception de cette information, les autorités de surveillance du marché appliquent les procédures visées à l’article 54, paragraphe 2.
4. L’importateur indique son nom, sa raison sociale ou sa marque déposée et les adresses postale, électronique ou autre moyen numérique, ainsi que, le cas échéant, l’adresse du site internet auxquelles il peut être contacté sur le produit comportant des éléments numériques, sur l’emballage ou dans un document accompagnant le produit comportant des éléments numériques. Les coordonnées sont indiquées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché.
5. Tout importateur qui considère ou a des raisons de croire qu’un produit comportant des éléments numériques, qu’il a mis sur le marché n’est pas conforme au présent règlement prend immédiatement les mesures correctives nécessaires pour veiller à ce que ce produit comportant des éléments numériques soit mis en conformité avec le présent règlement, ou pour procéder au retrait ou au rappel du produit, si nécessaire.
Lorsqu’il prend connaissance d’une vulnérabilité du produit comportant des éléments numériques, l’importateur en informe le fabricant sans retard injustifié. En outre, si le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe immédiatement les autorités de surveillance du marché des États membres dans lesquels il a mis ce produit à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et toute mesure corrective adoptée.
6. Pendant au moins dix ans à partir de la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue, l’importateur tient à la disposition des autorités de surveillance du marché une copie de la déclaration UE de conformité et s’assure que la documentation technique peut être fournie à ces autorités, sur demande.
7. Sur requête motivée d’une autorité de surveillance du marché, l’importateur communique à cette dernière toutes les informations et tous les documents nécessaires, sur support papier ou par voie électronique, pour démontrer la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ainsi que la conformité des processus mis en place par le fabricant aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II, dans une langue aisément compréhensible par cette autorité. Il coopère avec cette autorité, à la demande de cette dernière, concernant toute mesure prise en vue d’éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’il a mis sur le marché.
8. Lorsque l’importateur d’un produit comportant des éléments numériques a connaissance du fait que le fabricant de ce produit a cessé ses activités et, de ce fait, n’est pas en mesure de se conformer aux obligations prévues par le présent règlement, l’importateur informe les autorités de surveillance du marché concernées de cette situation, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits concernés comportant des éléments numériques mis sur le marché.
Obligations des distributeurs
1. Lorsqu’ils mettent un produit comportant des éléments numériques à disposition sur le marché, les distributeurs agissent avec la diligence requise en ce qui concerne les exigences énoncées au présent règlement.
2. Avant de mettre un produit comportant des éléments numériques à disposition sur le marché, les distributeurs vérifient que:
le produit comportant des éléments numériques porte le marquage CE;
le fabricant et l’importateur se sont conformés aux obligations énoncées à l’article 13, paragraphes 15, 16, 18, 19 et 20, et à l’article 19, paragraphe 4, et ont communiqué tous les documents nécessaires au distributeur.
3. Lorsqu’un distributeur considère ou a des raisons de croire, sur la base des informations en sa possession, qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, il ne met pas le produit comportant des éléments numériques à disposition sur le marché tant que ce produit ou les processus mis en place par le fabricant n’a pas été mis en conformité avec le présent règlement. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, le distributeur en informe le fabricant et les autorités de surveillance du marché sans retard injustifié.
4. Les distributeurs sachant ou ayant des raisons de croire, sur la base des informations en sa possession, qu’un produit comportant des éléments numériques, qu’ils ont mis à disposition sur le marché, ou bien les processus mis en place par son fabricant ne sont pas conformes au présent règlement veillent à ce que soient prises les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus mis en place par son fabricant en conformité, ou pour retirer ou rappeler le produit, si nécessaire.
Lorsqu’ils prennent connaissance d’une vulnérabilité du produit comportant des éléments numériques, les distributeurs en informent le fabricant sans retard injustifié. En outre, si le produit comportant des éléments numériques présente un risque de cybersécurité important, les distributeurs en informent immédiatement les autorités de surveillance du marché des États membres dans lesquels ils ont mis ce produit à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et toute mesure corrective adoptée.
5. Sur requête motivée d’une autorité de surveillance du marché, les distributeurs communiquent à cette dernière toutes les informations et tous les documents, sur support papier ou par voie électronique, nécessaires pour démontrer la conformité du produit comportant des éléments numériques et des processus mis en place par son fabricant avec le présent règlement dans une langue aisément compréhensible par cette autorité. Ils coopèrent avec cette autorité, à sa demande, à toute mesure prise en vue d’éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’ils ont mis à disposition sur le marché.
6. Lorsque le distributeur d’un produit comportant des éléments numériques apprend, sur la base des informations en sa possession, que le fabricant de ce produit a cessé ses activités et, de ce fait, n’est pas en mesure de se conformer aux obligations prévues par le présent règlement, il informe sans retard injustifié les autorités de surveillance du marché concernées de cette situation, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits concernés comportant des éléments numériques mis sur le marché.
Cas dans lesquels les obligations des fabricants s’appliquent aux importateurs et aux distributeurs
Un importateur ou un distributeur est considéré comme un fabricant aux fins du présent règlement et est soumis au respect de l’article 13 et de l’article 14 lorsque cet importateur ou ce distributeur met un produit comportant des éléments numériques sur le marché sous son propre nom ou sa propre marque, ou lorsqu’il apporte une modification substantielle à un produit comportant des éléments numériques déjà mis sur le marché.
Autres cas dans lesquels les obligations des fabricants s’appliquent
1. Une personne physique ou morale, autre que le fabricant, l’importateur ou le distributeur, qui apporte une modification substantielle à un produit comportant des éléments numériques et met ce produit à disposition sur le marché est considérée comme un fabricant aux fins du présent règlement.
2. La personne visée au paragraphe 1 du présent article est soumise aux obligations énoncées à l’article 13 et à l’article 14 en ce qui concerne la partie du produit comportant des éléments numériques sur laquelle porte la modification substantielle, ou en ce qui concerne l’ensemble du produit si la modification substantielle a des répercussions sur la cybersécurité du produit comportant des éléments numériques dans son ensemble.
Identification des opérateurs économiques
1. Les opérateurs économiques fournissent aux autorités de surveillance du marché, sur demande, les informations suivantes:
le nom et l’adresse de tout opérateur économique qui lui a fourni un produit comportant des éléments numériques;
lorsqu’il dispose de ces informations, le nom et l’adresse de tout opérateur économique auquel il a fourni un produit comportant des éléments numériques.
2. Les opérateurs économiques sont en mesure de communiquer les informations visées au paragraphe 1 pendant dix ans à compter de la date à laquelle le produit comportant des éléments numériques leur a été fourni et pendant dix ans à compter de la date à laquelle ils l’ont fourni.
Obligations des intendants de logiciels ouverts
1. Les intendants de logiciels ouverts mettent en place et documentent de manière vérifiable une politique de cybersécurité afin de favoriser le développement d’un produit comportant des éléments numériques sécurisé ainsi qu’un traitement efficace des vulnérabilités par les développeurs de ce produit. Cette politique encourage également le signalement volontaire des vulnérabilités, prévu à l’article 15, par les développeurs de ce produit et tient compte de la nature spécifique de l’intendant de logiciels ouverts et des modalités juridiques et organisationnelles auxquelles il est soumis. Cette politique comprend, en particulier, des aspects liés à la documentation, au traitement et à la correction des vulnérabilités, ainsi qu’à la promotion du partage d’informations sur les vulnérabilités découvertes au sein de la communauté des logiciels ouverts.
2. Les intendants de logiciels ouverts coopèrent avec les autorités de surveillance du marché, à leur demande, en vue d’atténuer les risques de cybersécurité posés par un produit comportant des éléments numériques qui répond aux critères de logiciel libre et ouvert.
Sur demande motivée d’une autorité de surveillance du marché, les intendants de logiciels ouverts fournissent à cette autorité, dans une langue aisément compréhensible par celle-ci, la documentation visée au paragraphe 1, sur support papier ou sous forme électronique.
3. Les obligations prévues à l’article 14, paragraphe 1, s’appliquent aux intendants de logiciels ouverts dès lors qu’ils participent au développement des produits comportant des éléments numériques. Les obligations prévues à l’article 14, paragraphes 3 et 8, s’appliquent aux intendants de logiciels ouverts dès lors que des incidents graves ayant des répercussions sur la sécurité des produits comportant des éléments numériques touchent les réseaux et les systèmes d’information fournis par les intendants de logiciels ouverts pour le développement de ces produits.
Attestation de sécurité des logiciels libres et ouverts
Afin de faciliter le respect de l’obligation de diligence raisonnable énoncée à l’article 13, paragraphe 5, en particulier en ce qui concerne les fabricants qui intègrent des composants logiciels libres et ouverts dans leurs produits comportant des éléments numériques, la Commission est habilitée à adopter des actes délégués conformément à l’article 61 afin de compléter le présent règlement en mettant en place des programmes volontaires d’attestation de sécurité permettant aux développeurs ou aux utilisateurs de produits comportant des éléments numériques répondant aux critères de logiciel libre et ouvert ainsi qu’à d’autres tiers d’évaluer la conformité de ces produits à l’ensemble ou à une partie des exigences essentielles de cybersécurité ou d’autres obligations prévues par le présent règlement.
Orientations
1. Afin de faciliter la mise en œuvre et de veiller à sa cohérence, la Commission publie des orientations pour aider les opérateurs économiques à appliquer le présent règlement, en mettant tout particulièrement l’accent sur la nécessité de favoriser la conformité par les microentreprises et les petites et moyennes entreprises.
2. Lorsqu’elle entend fournir les orientations visées au paragraphe 1, la Commission aborde au moins les aspects suivants:
le champ d’application du présent règlement, en particulier les solutions de traitement de données à distance et les logiciels libres et ouverts;
l’application de périodes d’assistance pour certaines catégories particulières de produits comportant des éléments numériques;
des orientations destinées aux fabricants soumis au présent règlement qui sont également soumis à une législation d’harmonisation de l’Union autre que le présent règlement ou à d’autres actes juridiques connexes de l’Union;
la notion de modification substantielle.
La Commission tient également à jour une liste facile d’accès des actes délégués et des actes d’exécution adoptés en vertu du présent règlement.
3. Dans le cadre de l’élaboration des orientations visées au présent article, la Commission consulte les parties intéressées.
CONFORMITÉ DU PRODUIT COMPORTANT DES ÉLÉMENTS NUMÉRIQUES
Présomption de conformité
1. Les produits comportant des éléments numériques et les processus mis en place par le fabricant qui sont conformes à des normes harmonisées ou à des parties de normes harmonisées dont les références ont été publiées au Journal officiel de l’Union européenne sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I qui sont couvertes par ces normes ou parties de ces normes.
Conformément à l’article 10, paragraphe 1, du règlement (UE) no 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d’élaborer des normes harmonisées relatives aux exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement. Lorsqu’elle prépare des demandes de normalisation aux fins du présent règlement, la Commission s’efforce de tenir compte des normes européennes et internationales existantes en matière de cybersécurité qui sont en place ou en cours d’élaboration afin de simplifier l’élaboration de normes harmonisées, conformément au règlement (UE) no 1025/2012.
2. La Commission peut adopter des actes d’exécution qui établissent des spécifications communes couvrant les exigences techniques qui offrent un moyen de se conformer aux exigences essentielles de cybersécurité énoncées à l’annexe I en ce qui concerne les produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement.
Ces actes d’exécution ne sont adoptés que lorsque les conditions suivantes sont remplies:
la Commission, conformément à l’article 10, paragraphe 1, du règlement (UE) no 1025/2012, a demandé à une ou plusieurs organisations européennes de normalisation d’élaborer une norme harmonisée relative aux exigences essentielles de cybersécurité énoncées à l’annexe I et:
la demande n’a pas été acceptée;
les normes harmonisées répondant à cette demande ne sont pas présentées dans le délai fixé conformément à l’article 10, paragraphe 1, du règlement (UE) no 1025/2012; ou
les normes harmonisées ne sont pas conformes à la demande; et
aucune référence à des normes harmonisées couvrant les exigences essentielles pertinentes de cybersécurité énoncées à l’annexe I du présent règlement n’a été publiée au Journal officiel de l’Union européenne conformément au règlement (UE) no 1025/2012 et il n’est pas prévu que la publication d’une telle référence soit publiée dans un délai raisonnable.
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
3. Avant d’élaborer le projet d’acte d’exécution visé au paragraphe 2 du présent article, la Commission informe le comité visé à l’article 22 du règlement (UE) no 1025/2012 qu’elle considère que les conditions énoncées au paragraphe 2 du présent article sont remplies.
4. Lorsqu’elle élabore le projet d’acte d’exécution visé au paragraphe 2, la Commission tient compte de l’avis des organismes compétents et consulte dûment toutes les parties prenantes concernées.
5. Les produits comportant des éléments numériques et les processus mis en place par le fabricant qui sont conformes aux spécifications communes établies par des actes d’exécution visés au paragraphe 2 du présent article, ou à des parties de ces spécifications communes, sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I couvertes par ces spécifications communes ou parties de spécifications communes.
6. Lorsqu’une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission aux fins de la publication de sa référence au Journal officiel de l’Union européenne, la Commission évalue la norme harmonisée conformément au règlement (UE) no 1025/2012. Lorsque la référence d’une norme harmonisée est publiée au Journal officiel de l’Union européenne, la Commission abroge les actes d’exécution visés au paragraphe 2 du présent article, ou les parties de ces actes qui couvrent les mêmes exigences essentielles de cybersécurité que celles couvertes par cette norme harmonisée.
7. Lorsqu’un État membre estime qu’une spécification commune ne satisfait pas entièrement aux exigences essentielles de cybersécurité énoncées à l’annexe I, il en informe la Commission en lui fournissant une explication détaillée. La Commission examine cette explication détaillée et peut, s’il y a lieu, modifier l’acte d’exécution établissant la spécification commune en question.
8. Les produits comportant des éléments numériques et les processus mis en place par le fabricant pour lesquels une déclaration de conformité de l’Union ou un certificat de cybersécurité européen ont été délivrés dans le cadre d’un schéma européen de certification de cybersécurité adopté conformément au règlement (UE) 2019/881 sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, dans la mesure où celles-ci sont couvertes par la déclaration de conformité de l’Union ou le certificat de cybersécurité européen, ou des parties de ceux-ci.
9. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 du présent règlement pour compléter le présent règlement en précisant les schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 qui peuvent être utilisés afin de démontrer la conformité de produits comportant des éléments numériques avec les exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement, ou avec des parties de ces exigences. En outre, la délivrance d’un certificat de cybersécurité européen au titre de tels schémas, au minimum au niveau d’assurance dit «substantiel», supprime l’obligation d’un fabricant de procéder à une évaluation de la conformité par un tiers pour les exigences correspondantes, comme indiqué à l’article 32, paragraphe 2, points a) et b), et à l’article 32, paragraphe 3, points a) et b), du présent règlement.
Déclaration UE de conformité
1. La déclaration UE de conformité est établie par le fabricant conformément à l’article 13, paragraphe 12, et atteste que le respect des exigences essentielles de cybersécurité applicables énoncées à l’annexe I a été démontré.
2. La déclaration UE de conformité est établie selon le modèle figurant à l’annexe V et contient les éléments précisés dans les procédures d’évaluation de la conformité applicables prévues à l’annexe VIII. Cette déclaration est mise à jour en tant que de besoin. Elle est disponible dans les langues requises par l’État membre dans lequel le produit comportant des éléments numériques est mis sur le marché ou mis à disposition sur le marché.
La déclaration UE de conformité simplifiée visée à l’article 13, paragraphe 20, est établie selon le modèle figurant à l’annexe VI. Elle est disponible dans les langues requises par l’État membre dans lequel le produit comportant des éléments numériques est mis sur le marché ou mis à disposition sur le marché.
3. Lorsqu’un produit comportant des éléments numériques relève de plusieurs actes juridiques de l’Union imposant une déclaration UE de conformité, une seule déclaration UE de conformité est établie pour l’ensemble de ces actes juridiques. Cette déclaration mentionne les titres des actes juridiques de l’Union concernés, ainsi que les références de leur publication.
4. En établissant la déclaration UE de conformité, le fabricant assume la responsabilité de la conformité du produit comportant des éléments numériques.
5. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour compléter le présent règlement aux fins d’ajouter des éléments au contenu minimal de la déclaration UE de conformité prévu à l’annexe V afin de tenir compte des progrès techniques.
Principes généraux du marquage CE
Le marquage CE est soumis aux principes généraux énoncés à l’article 30 du règlement (CE) no 765/2008.
Règles et conditions d’apposition du marquage CE
1. Le marquage CE est apposé de manière visible, lisible et indélébile sur le produit comportant des éléments numériques. Lorsque la nature du produit comportant des éléments numériques ne le permet pas ou ne le justifie pas, il est apposé sur son emballage et sur la déclaration UE de conformité mentionnée à l’article 28 qui accompagne le produit comportant des éléments numériques. Pour les produits comportant des éléments numériques qui se présentent sous la forme d’un logiciel, le marquage CE est apposé soit sur la déclaration UE de conformité mentionnée à l’article 28, soit sur le site internet qui accompagne le logiciel. Dans ce dernier cas, la section correspondante du site internet est aisément et directement accessible aux consommateurs.
2. En raison de la nature du produit comportant des éléments numériques, la hauteur du marquage CE apposé sur le produit comportant des éléments numériques peut être inférieure à 5 mm, à condition qu’il reste visible et lisible.
3. Le marquage CE est apposé avant que le produit comportant des éléments numériques ne soit mis sur le marché. Il peut être suivi d’un pictogramme ou de tout autre marquage indiquant un risque en matière de cybersécurité ou un usage particulier énoncés dans les actes d’exécution visés au paragraphe 6.
4. Le marquage CE est suivi du numéro d’identification de l’organisme notifié, lorsque cet organisme participe à la procédure d’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) visée à l’article 32.
Le numéro d’identification de l’organisme notifié est apposé par l’organisme lui-même ou, sur instruction de celui-ci, par le fabricant ou le mandataire du fabricant.
5. Les États membres s’appuient sur les mécanismes existants pour assurer la bonne application du régime régissant le marquage CE et prennent les mesures nécessaires en cas d’usage abusif de ce marquage. Lorsque le produit comportant des éléments numériques relève d’une législation d’harmonisation de l’Union, autre que le présent règlement, qui prévoit aussi l’apposition du marquage CE, le marquage CE indique que le produit satisfait également aux exigences énoncées dans cette autre législation d’harmonisation de l’Union.
6. La Commission peut, par voie d’actes d’exécution, définir des spécifications techniques pour les étiquettes, les pictogrammes ou tout autre marquage en lien avec la sécurité des produits comportant des éléments numériques, leurs périodes d’assistance ainsi que des mécanismes visant à promouvoir leur utilisation et à sensibiliser le public à la sécurité des produits comportant des éléments numériques. Lors de l’élaboration des projets d’actes d’exécution, la Commission consulte les parties prenantes concernées et, s’il a déjà été établi en vertu de l’article 52, paragraphe 15, l’ADCO. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
Documentation technique
1. La documentation technique réunit l’ensemble des informations ou des précisions utiles concernant les moyens employés par le fabricant pour garantir la conformité du produit comportant des éléments numériques et des processus mis en place par le fabricant aux exigences essentielles de cybersécurité énoncées à l’annexe I. Elle contient, au minimum, les éléments énumérés à l’annexe VII.
2. La documentation technique est établie avant que le produit comportant des éléments numériques ne soit mis sur le marché et fait l’objet de mises à jour régulières, le cas échéant, au moins pendant la période d’assistance.
3. Pour les produits comportant des éléments numériques visés à l’article 12, qui relèvent aussi d’autres actes juridiques de l’Union prévoyant une documentation technique, une seule documentation technique est établie, contenant les informations visées à l’annexe VII ainsi que les informations requises en vertu de ces actes juridiques de l’Union.
4. La documentation technique et la correspondance se rapportant à toute procédure d’évaluation de la conformité sont rédigées dans une langue officielle de l’État membre dans lequel est établi l’organisme notifié ou dans une langue acceptée par celui-ci.
5. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour compléter le présent règlement en ajoutant des éléments à inclure dans la documentation technique figurant à l’annexe VII pour tenir compte des progrès techniques ainsi que des évolutions rencontrées dans le processus de mise en œuvre du présent règlement. À cette fin, la Commission s’efforce de faire en sorte que la charge administrative pesant sur les microentreprises et les petites et moyennes entreprises soit proportionnée.
Procédures d’évaluation de la conformité pour les produits comportant des éléments numériques
1. Le fabricant effectue une évaluation de la conformité du produit comportant des éléments numériques et des processus mis en place par le fabricant pour déterminer si les exigences essentielles de cybersécurité énoncées à l’annexe I sont respectées. Le fabricant démontre la conformité avec les exigences essentielles de cybersécurité en suivant l’une des procédures suivantes:
la procédure de contrôle interne (module A) visée à l’annexe VIII;
la procédure d’examen UE de type (module B) prévue à l’annexe VIII, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VIII;
l’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VIII; ou
lorsqu’il est disponible et s’il y a lieu, un schéma européen de certification de cybersécurité en vertu de l’article 27, paragraphe 9.
2. Lorsque, lors de l’évaluation de la conformité d’un produit important comportant des éléments numériques qui relève de la classe I figurant à l’annexe III et des processus mis en place par son fabricant avec les exigences essentielles de cybersécurité énoncées à l’annexe I, le fabricant n’a pas appliqué ou n’a appliqué qu’en partie des normes harmonisées, des spécifications communes ou des schémas européens de certification de cybersécurité au minimum au niveau d’assurance dit «substantiel» visés à l’article 27, ou lorsque ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité n’existent pas, le produit comportant des éléments numériques concerné et les processus mis en place par le fabricant sont soumis, pour ce qui a trait à ces exigences essentielles de cybersécurité, à l’une des procédures suivantes:
la procédure d’examen UE de type (module B) prévue à l’annexe VIII, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VIII; ou
une évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VIII.
3. Lorsque le produit est un produit important comportant des éléments numériques qui relève de la classe II figurant à l’annexe III, le fabricant démontre la conformité avec les exigences essentielles de cybersécurité énoncées à l’annexe I en suivant l’une des procédures suivantes:
la procédure d’examen UE de type (module B) prévue à l’annexe VIII, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VIII;
une évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VIII; ou
lorsqu’il est disponible et s’il y a lieu, un schéma européen de certification de cybersécurité conformément à l’article 27, paragraphe 9, du présent règlement au minimum au niveau d’assurance dit «substantiel» en vertu du règlement (UE) 2019/881.
4. Les produits critiques comportant des éléments numériques répertoriés à l’annexe IV démontrent la conformité avec les exigences essentielles de cybersécurité énoncées à l’annexe I au moyen de l’une des procédures suivantes:
un schéma européen de certification de cybersécurité, conformément à l’article 8, paragraphe 1; ou
lorsque les conditions énoncées à l’article 8, paragraphe 1, ne sont pas remplies, l’une des procédures visées au paragraphe 3 du présent article.
5. Les fabricants de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et relèvent des catégories énoncées à l’annexe III ont la faculté de démontrer la conformité avec les exigences essentielles de cybersécurité énoncées à l’annexe I en utilisant l’une des procédures visées au paragraphe 1 du présent article, à condition que la documentation technique visée à l’article 31 soit mise à la disposition du public au moment de la mise sur le marché de ces produits.
6. Les intérêts et besoins spécifiques des microentreprises et des petites et moyennes entreprises, y compris les jeunes pousses, sont pris en compte lors de la fixation des redevances imposées pour les procédures d’évaluation de la conformité, et ces redevances sont réduites proportionnellement auxdits intérêts et besoins spécifiques.
Mesures de soutien pour les microentreprises et les petites et moyennes entreprises, y compris les jeunes pousses
1. Les États membres entreprennent, le cas échéant, les actions suivantes, adaptées aux besoins des microentreprises et des petites entreprises:
organiser des activités spécifiques de sensibilisation et de formation sur l’application du présent règlement;
mettre en place un canal de communication spécifique avec les microentreprises et les petites entreprises et, le cas échéant, les autorités publiques locales afin de fournir des conseils et de répondre aux questions à propos de la mise en œuvre du présent règlement;
soutenir les activités d’essai et d’évaluation de la conformité, y compris, le cas échéant, avec le soutien du Centre de compétences européen en matière de cybersécurité.
2. Les États membres peuvent, le cas échéant, mettre en place des sas réglementaires en matière de cyberrésilience. Ces sas réglementaires prévoient des environnements d’essai contrôlés pour les produits innovants comportant des éléments numériques afin de faciliter leur développement, leur conception, leur validation et leur mise à l’essai aux fins de se conformer au présent règlement pendant une période de temps limitée avant la mise sur le marché. La Commission et, le cas échéant, l’ENISA peuvent fournir un soutien technique, des conseils et des outils pour la mise en place et le fonctionnement de sas réglementaires. Les sas réglementaires sont mis en place sous la surveillance et le contrôle et avec le soutien directs des autorités de surveillance du marché. Les États membres informent la Commission et les autres autorités de surveillance du marché de la mise en place d’un sas réglementaire par l’intermédiaire de l’ADCO. Les sas réglementaires n’ont pas d’incidence sur les pouvoirs des autorités compétentes en matière de contrôle et de mesures correctives. Les États membres garantissent un accès ouvert, équitable et transparent aux sas réglementaires et, en particulier, facilitent l’accès des microentreprises et des petites entreprises, y compris les jeunes pousses.
3. Conformément à l’article 26, la Commission fournit des orientations aux microentreprises et aux petites et moyennes entreprises en ce qui concerne la mise en œuvre du présent règlement.
4. La Commission fait connaître le soutien financier disponible dans le cadre réglementaire des programmes de l’Union existants, notamment dans le but d’alléger la charge financière pesant sur les microentreprises et les petites entreprises.
5. Les microentreprises et les petites entreprises peuvent fournir tous les éléments de la documentation technique indiqués à l’annexe VII en utilisant un format simplifié. À cette fin, la Commission définit, par voie d’actes d’exécution, le formulaire de documentation technique simplifié adapté aux besoins des microentreprises et des petites entreprises, y compris la manière dont les éléments énoncés à l’annexe VII doivent être fournis. Lorsqu’une microentreprise ou une petite entreprise choisit de fournir les informations énoncées à l’annexe VII d’une manière simplifiée, elle utilise le formulaire visé au présent paragraphe. Les organismes notifiés acceptent ce formulaire aux fins de l’évaluation de la conformité.
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
Accords de reconnaissance mutuelle
Compte tenu du niveau de développement technique et de l’approche en matière d’évaluation de la conformité d’un pays tiers, l’Union peut conclure des accords de reconnaissance mutuelle avec des pays tiers, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne, afin de promouvoir et de faciliter le commerce international.
NOTIFICATION DES ORGANISMES D’ÉVALUATION DE LA CONFORMITÉ
Notification
1. Les États membres notifient à la Commission et aux autres États membres les organismes autorisés à procéder à l’évaluation de la conformité conformément au présent règlement.
2. Les États membres, au plus tard le 11 décembre 2026, s’efforcent d’assurer la disponibilité, en nombre suffisant, d’organismes notifiés dans l’Union pour effectuer des évaluations de la conformité, afin d’éviter les goulets d’étranglement et les obstacles à l’entrée sur le marché.
Autorités notifiantes
1. Chaque État membre désigne une autorité notifiante responsable de la mise en place et de l’application des procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité ainsi qu’à leur contrôle, y compris le respect de l’article 41.
2. Les États membres peuvent décider que l’évaluation et le contrôle visés au paragraphe 1 sont effectués par un organisme d’accréditation national au sens du règlement (CE) no 765/2008 et conformément à ses dispositions.
3. Lorsque l’autorité notifiante délègue ou confie d’une autre façon l’évaluation, la notification ou le contrôle visés au paragraphe 1 du présent article à un organisme qui n’appartient pas au secteur public, cet organisme est une personne morale et se conforme mutatis mutandis aux dispositions de l’article 37. En outre, cet organisme prend ses dispositions pour assumer les responsabilités qui découlent de ses activités.
4. L’autorité notifiante assume la pleine responsabilité des tâches accomplies par l’organisme visé au paragraphe 3.
Exigences concernant les autorités notifiantes
1. Une autorité notifiante est établie de manière à éviter tout conflit d’intérêts avec les organismes d’évaluation de la conformité.
2. Une autorité notifiante est organisée et fonctionne de façon à garantir l’objectivité et l’impartialité de ses activités.
3. Une autorité notifiante est organisée de telle sorte que chaque décision concernant la notification d’un organisme d’évaluation de la conformité est prise par des personnes compétentes différentes de celles qui ont réalisé l’évaluation.
4. Une autorité notifiante ne propose ni ne fournit aucune des activités réalisées par les organismes d’évaluation de la conformité, ni aucun service de conseil sur une base commerciale ou concurrentielle.
5. Une autorité notifiante garantit la confidentialité des informations qu’elle obtient.
6. Une autorité notifiante dispose d’un personnel compétent en nombre suffisant pour la bonne exécution de ses tâches.
Obligation des autorités notifiantes en matière d’information
1. Les États membres informent la Commission de leurs procédures concernant l’évaluation et la notification des organismes d’évaluation de la conformité ainsi que le contrôle des organismes notifiés, et de toute modification en la matière.
2. La Commission rend publiques les informations visées au paragraphe 1.
Exigences relatives aux organismes notifiés
1. Aux fins de la notification, un organisme d’évaluation de la conformité répond aux exigences prévues aux paragraphes 2 à 12.
2. Un organisme d’évaluation de la conformité est constitué en vertu du droit national et possède la personnalité juridique.
3. Un organisme d’évaluation de la conformité est un organisme tiers indépendant de l’organisation ou du produit comportant des éléments numériques qu’il évalue.
Un organisme appartenant à une association d’entreprises ou à une fédération professionnelle qui représente des entreprises participant à la conception, au développement, à la production, à la fourniture, à l’assemblage, à l’utilisation ou à l’entretien des produits comportant des éléments numériques qu’il évalue peut, à condition que son indépendance et que l’absence de tout conflit d’intérêts soient démontrées, être considéré comme étant un tel organisme tiers.
4. Un organisme d’évaluation de la conformité, ses cadres supérieurs et le personnel chargé d’exécuter les tâches d’évaluation de la conformité ne peuvent être le concepteur, le développeur, le fabricant, le fournisseur, l’importateur, le distributeur, l’installateur, l’acheteur, le propriétaire, l’utilisateur ou le responsable de l’entretien des produits comportant des éléments numériques qu’ils évaluent, ni le mandataire d’aucune de ces parties. Cela n’exclut pas l’utilisation de produits évalués qui sont nécessaires au fonctionnement de l’organisme d’évaluation de la conformité, ou l’utilisation de ces produits à des fins personnelles.
Un organisme d’évaluation de la conformité, ses cadres supérieurs et le personnel chargé d’exécuter les tâches d’évaluation de la conformité n’interviennent pas directement dans la conception, le développement, la production, l’importation, la distribution, la commercialisation, l’installation, l’utilisation ou l’entretien des produits comportant des éléments numériques qu’ils évaluent ou ne représentent pas les parties engagées dans ces activités. Ils ne participent à aucune activité qui peut entrer en conflit avec l’indépendance de leur jugement ou l’intégrité des activités d’évaluation de la conformité pour lesquelles ils sont notifiés. Cela vaut en particulier pour les services de conseil.
Les organismes d’évaluation de la conformité veillent à ce que les activités de leurs filiales ou sous-traitants n’aient pas d’incidence sur la confidentialité, l’objectivité ou l’impartialité de leurs activités d’évaluation de la conformité.
5. Les organismes d’évaluation de la conformité et leur personnel accomplissent les activités d’évaluation de la conformité avec la plus haute intégrité professionnelle et la compétence technique requise dans le domaine spécifique et sont à l’abri de toute pression ou incitation, notamment d’ordre financier, susceptible d’influencer leur jugement ou les résultats de leurs activités d’évaluation de la conformité, en particulier de la part de personnes ou de groupes de personnes intéressés par ces résultats.
6. Un organisme d’évaluation de la conformité est capable d’exécuter toutes les tâches d’évaluation de la conformité visées à l’annexe VIII et pour lesquelles il a été notifié, que ces tâches soient exécutées par lui-même ou en son nom et sous sa responsabilité.
En toutes circonstances et pour chaque procédure d’évaluation de la conformité et tout type ou toute catégorie de produits comportant des éléments numériques pour lesquels il a été notifié, l’organisme d’évaluation de la conformité dispose à suffisance:
du personnel requis ayant les connaissances techniques et l’expérience suffisante et appropriée pour exécuter les tâches d’évaluation de la conformité;
de descriptions des procédures à utiliser pour évaluer la conformité, garantissant la transparence et la capacité de reproduction de ces procédures. L’organisme dispose de politiques et de procédures appropriées faisant la distinction entre les tâches qu’il exécute en tant qu’organisme notifié et d’autres activités;
de procédures pour accomplir ses activités qui tiennent dûment compte de la taille des entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, du degré de complexité de la technologie du produit en question et de la nature en masse, ou série, du processus de production.
Un organisme d’évaluation de la conformité dispose des moyens nécessaires à la bonne exécution des tâches techniques et administratives liées aux activités d’évaluation de la conformité et a accès à tous les équipements ou installations nécessaires.
7. Le personnel chargé de l’exécution des activités d’évaluation de la conformité possède:
une solide formation technique et professionnelle correspondant à l’ensemble des activités d’évaluation de la conformité pour lesquelles l’organisme d’évaluation de la conformité a été notifié;
une connaissance satisfaisante des exigences applicables aux évaluations qu’il effectue et l’autorité nécessaire pour effectuer ces évaluations;
une connaissance et une compréhension adéquates des exigences essentielles de cybersécurité énoncées à l’annexe I, des normes harmonisées et des spécifications communes applicables ainsi que des dispositions pertinentes de la législation d’harmonisation de l’Union et de ses actes d’exécution;
l’aptitude à rédiger les attestations, procès-verbaux et rapports qui constituent la matérialisation des évaluations effectuées.
8. L’impartialité des organismes d’évaluation de la conformité, de leurs cadres supérieurs et du personnel effectuant l’évaluation est garantie.
La rémunération des cadres supérieurs et du personnel chargé de l’évaluation au sein d’un organisme d’évaluation de la conformité ne dépend ni du nombre d’évaluations effectuées, ni de leurs résultats.
9. Les organismes d’évaluation de la conformité souscrivent une assurance couvrant leur responsabilité civile, à moins que cette responsabilité ne soit couverte par leur État membre sur la base du droit national ou que l’évaluation de la conformité ne soit effectuée sous la responsabilité directe de l’État membre.
10. Le personnel d’un organisme d’évaluation de la conformité est lié par le secret professionnel pour toutes les informations dont il prend connaissance dans l’exercice de ses fonctions dans le cadre de l’annexe VIII ou de toute disposition de droit national lui donnant effet, sauf à l’égard des autorités de surveillance du marché de l’État membre où il exerce ses activités. Les droits de propriété sont protégés. L’organisme d’évaluation de la conformité dispose de procédures documentées garantissant le respect du présent paragraphe.
11. Les organismes d’évaluation de la conformité participent aux activités de normalisation pertinentes et aux activités du groupe de coordination des organismes notifiés institué en vertu de l’article 51, ou veillent à ce que leur personnel d’évaluation en soit informé, et appliquent comme lignes directrices les décisions et les documents administratifs résultant du travail de ce groupe.
12. Les organismes d’évaluation de la conformité agissent conformément à un ensemble de conditions cohérentes, justes, proportionnées et raisonnables, tout en évitant de créer une charge inutile pour les opérateurs économiques, notamment en tenant compte des intérêts des microentreprises et des petites et moyennes entreprises pour ce qui est des redevances.
Présomption de conformité des organismes notifiés
Lorsqu’un organisme d’évaluation de la conformité démontre sa conformité avec les critères fixés dans les normes harmonisées concernées, ou dans des parties de ces normes, dont les références ont été publiées au Journal officiel de l’Union européenne, il est présumé répondre aux exigences énoncées à l’article 39 dans la mesure où les normes harmonisées applicables couvrent ces exigences.
Filiales et sous-traitants des organismes notifiés
1. Lorsqu’un organisme notifié sous-traite des tâches spécifiques dans le cadre de l’évaluation de la conformité ou a recours à une filiale, il s’assure que le sous-traitant ou la filiale répond aux exigences énoncées à l’article 39 et informe l’autorité notifiante en conséquence.
2. Les organismes notifiés assument l’entière responsabilité des tâches accomplies par les sous-traitants ou filiales, quel que soit leur lieu d’établissement.
3. Des activités ne peuvent être sous-traitées ou réalisées par une filiale qu’avec l’accord du fabricant.
4. Les organismes notifiés tiennent à la disposition de l’autorité notifiante les documents pertinents concernant l’évaluation des qualifications du sous-traitant ou de la filiale et le travail exécuté par celui-ci ou celle-ci en vertu du présent règlement.
Demande de notification
1. Un organisme d’évaluation de la conformité soumet une demande de notification à l’autorité notifiante de l’État membre dans lequel il est établi.
2. Cette demande est accompagnée d’une description des activités d’évaluation de la conformité, de la ou des procédures d’évaluation de la conformité et du ou des produits comportant des éléments numériques pour lesquels cet organisme se déclare compétent, ainsi que, le cas échéant, d’un certificat d’accréditation délivré par un organisme national d’accréditation, qui atteste que l’organisme d’évaluation de la conformité remplit les exigences prévues à l’article 39.
3. Lorsque l’organisme d’évaluation de la conformité ne peut produire le certificat d’accréditation, il présente à l’autorité notifiante toutes les preuves documentaires nécessaires à la vérification, à la reconnaissance et au contrôle régulier de sa conformité avec les exigences prévues à l’article 39.
Procédure de notification
1. Les autorités notifiantes ne notifient que les organismes d’évaluation de la conformité qui satisfont aux exigences prévues à l’article 39.
2. L’autorité notifiante notifie la Commission et les autres États membres à l’aide du système d’information New Approach Notified and Designated Organisations mis en place et géré par la Commission.
3. La notification comprend des informations complètes sur les activités d’évaluation de la conformité, le ou les modules d’évaluation de la conformité et le ou les produits comportant des éléments numériques concernés, ainsi que l’attestation de compétence correspondante.
4. Lorsqu’une notification n’est pas fondée sur le certificat d’accréditation visé à l’article 42, paragraphe 2, l’autorité notifiante fournit à la Commission et aux autres États membres les preuves documentaires qui attestent de la compétence de l’organisme d’évaluation de la conformité et des dispositions en place pour garantir que cet organisme sera régulièrement contrôlé et continuera à satisfaire aux exigences prévues à l’article 39.
5. L’organisme concerné ne peut effectuer les activités propres à un organisme notifié que si aucune objection n’est émise par la Commission ou les autres États membres dans un délai de deux semaines à compter d’une notification dans laquelle il est fait usage d’un certificat d’accréditation, ou dans un délai de deux mois, s’il n’en est pas fait usage.
Seul un tel organisme est considéré comme un organisme notifié aux fins du présent règlement.
6. La Commission et les autres États membres sont avertis de toute modification pertinente apportée ultérieurement à la notification.
Numéros d’identification et liste des organismes notifiés
1. La Commission attribue un numéro d’identification à chaque organisme notifié.
Elle attribue un seul numéro, même si l’organisme est notifié au titre de plusieurs actes juridiques de l’Union.
2. La Commission rend publique la liste des organismes notifiés au titre du présent règlement et y mentionne les numéros d’identification qui leur ont été attribués et les activités pour lesquelles ils ont été notifiés.
La Commission veille à ce que cette liste soit tenue à jour.
Modifications apportées à la notification
1. Lorsqu’une autorité notifiante a établi ou a été informée qu’un organisme notifié ne répond plus aux exigences prévues à l’article 39, ou qu’il ne s’acquitte pas de ses obligations, elle soumet la notification à des restrictions, la suspend ou la retire, selon le cas, en fonction de la gravité du non-respect de ces exigences ou du non-acquittement de ces obligations. Elle en informe immédiatement la Commission et les autres États membres.
2. En cas de restriction, de suspension ou de retrait d’une notification, ou lorsque l’organisme notifié a cessé ses activités, l’État membre notifiant prend les mesures qui s’imposent pour faire en sorte que les dossiers dudit organisme soient traités par un autre organisme notifié ou tenus à la disposition des autorités notifiantes et des autorités de surveillance du marché compétentes qui en font la demande.
Contestation de la compétence des organismes notifiés
1. La Commission enquête sur tous les cas dans lesquels elle nourrit des doutes ou est avertie de doutes quant à la compétence d’un organisme notifié pour remplir les exigences qui lui sont applicables et s’acquitter des responsabilités qui lui incombent, ou quant au fait qu’il continue à remplir ces exigences et à s’acquitter de ces responsabilités.
2. L’État membre notifiant communique à la Commission, sur demande, toutes les informations relatives au fondement de la notification ou au maintien de la compétence de l’organisme concerné.
3. La Commission s’assure que toutes les informations sensibles obtenues au cours de ses enquêtes soient traitées de manière confidentielle.
4. Lorsque la Commission établit qu’un organisme notifié ne répond pas ou ne répond plus aux exigences relatives à sa notification, elle en informe l’État membre notifiant et l’invite à prendre les mesures correctives qui s’imposent, y compris la dénotification si nécessaire.
Obligations opérationnelles des organismes notifiés
1. Les organismes notifiés réalisent les évaluations de la conformité dans le respect des procédures d’évaluation de la conformité prévues à l’article 32 et à l’annexe VIII.
2. Les évaluations de la conformité sont effectuées de manière proportionnée, en évitant d’imposer des charges inutiles aux opérateurs économiques. Les organismes d’évaluation de la conformité accomplissent leurs activités en tenant dûment compte de la taille des entreprises, en particulier en ce qui concerne les microentreprises et les petites et moyennes entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, de leur degré de complexité, du niveau du risque pour la cybersécurité des produits comportant des éléments numériques et de la technologie en question et de la nature en masse, ou série, du processus de production.
3. Les organismes notifiés respectent toutefois le degré de rigueur et le niveau de protection requis pour la conformité des produits comportant des éléments numériques avec le présent règlement.
4. Lorsqu’un organisme notifié constate que les exigences énoncées à l’annexe I ou dans les normes harmonisées correspondantes ou les spécifications communes telles que visées à l’article 27 n’ont pas été remplies par un fabricant, il invite celui-ci à prendre les mesures correctives appropriées et ne délivre pas de certificat de conformité.
5. Lorsque, au cours du contrôle de la conformité faisant suite à la délivrance d’un certificat de conformité, un organisme notifié constate qu’un produit comportant des éléments numériques ne respecte plus les exigences prévues par le présent règlement, il exige du fabricant qu’il prenne les mesures correctives appropriées et suspend ou retire le certificat si nécessaire.
6. Lorsque des mesures correctives ne sont pas prises ou n’ont pas l’effet requis, l’organisme notifié soumet le certificat à des restrictions, le suspend ou le retire, selon le cas.
Recours contre les décisions des organismes notifiés
Les États membres veillent à ce que les décisions des organismes notifiés soient susceptibles de recours.
Obligation des organismes notifiés en matière d’information
1. Les organismes notifiés communiquent à l’autorité notifiante les éléments suivants:
tout refus, restriction, suspension ou retrait d’un certificat;
toute circonstance ayant une incidence sur la portée et les conditions de la notification;
toute demande d’information reçue des autorités de surveillance du marché concernant des activités d’évaluation de la conformité;
sur demande, les activités d’évaluation de la conformité réalisées dans le cadre de leur notification et toute autre activité réalisée, y compris les activités transfrontières et sous-traitées.
2. Les organismes notifiés fournissent aux autres organismes notifiés au titre du présent règlement qui effectuent des activités similaires d’évaluation de la conformité couvrant les mêmes produits comportant des éléments numériques des informations pertinentes sur les questions relatives aux résultats négatifs de l’évaluation de la conformité et, sur demande, aux résultats positifs.
Partage d’expérience
La Commission veille à l’organisation du partage d’expérience entre les autorités nationales des États membres responsables de la politique de notification.
Coordination des organismes notifiés
1. La Commission assure la mise en place et le bon fonctionnement d’une coordination et d’une coopération appropriées des organismes notifiés sous la forme d’un groupe transsectoriel d’organismes notifiés.
2. Les États membres veillent à ce que les organismes qu’ils ont notifiés participent aux travaux de ce groupe, directement ou par l’intermédiaire de représentants désignés.
SURVEILLANCE DU MARCHÉ ET CONTRÔLE DE L’APPLICATION DE LA LÉGISLATION
Surveillance du marché et contrôle des produits comportant des éléments numériques sur le marché de l’Union
1. Le règlement (UE) 2019/1020 s’applique aux produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement.
2. Chaque État membre désigne une ou plusieurs autorités de surveillance du marché chargées de veiller à la mise en œuvre effective du présent règlement. Les États membres peuvent désigner une autorité existante ou une nouvelle autorité qui agit en tant qu’autorité de surveillance du marché aux fins du présent règlement.
3. Les autorités de surveillance du marché désignées en vertu du paragraphe 2 du présent article sont également chargées d’effectuer des activités de surveillance du marché en ce qui concerne les obligations des intendants de logiciels ouverts prévues à l’article 24. Lorsqu’une autorité de surveillance du marché constate qu’un intendant de logiciels ouverts ne respecte pas les obligations énoncées audit article, elle demande audit intendant de veiller à ce que toutes les mesures correctives appropriées soient prises. Les intendants de logiciels ouverts veillent à ce que toutes les mesures correctives appropriées soient prises en ce qui concerne les obligations qui leur incombent en vertu du présent règlement.
4. Le cas échéant, les autorités de surveillance du marché coopèrent avec les autorités nationales de certification de cybersécurité désignées en vertu de l’article 58 du règlement (UE) 2019/881 et échangent régulièrement des informations. Les autorités de surveillance du marché désignées coopèrent et échangent régulièrement des informations avec les CSIRT désignés comme coordinateurs et avec l’ENISA en ce qui concerne le contrôle de la mise en œuvre des obligations en matière de communication d’informations prévues à l’article 14 du présent règlement.
5. Les autorités de surveillance du marché peuvent demander à un CSIRT désigné comme coordinateur ou à l’ENISA de fournir des conseils techniques sur des questions liées à la mise en œuvre et à l’application du présent règlement. Lorsqu’elles mènent une enquête en vertu de l’article 54, les autorités de surveillance du marché peuvent demander au CSIRT désigné comme coordinateur ou à l’ENISA de fournir une analyse à l’appui des évaluations de conformité de produits comportant des éléments numériques.
6. Le cas échéant, les autorités de surveillance du marché coopèrent avec d’autres autorités de surveillance du marché désignées sur la base d’une législation d’harmonisation de l’Union autre que le présent règlement et échangent des informations régulièrement.
7. Les autorités de surveillance du marché coopèrent, s’il y a lieu, avec les autorités chargées de la surveillance du droit de l’Union en matière de protection des données. Cette coopération consiste notamment à informer ces autorités de toute conclusion pertinente pour l’exercice de leurs compétences, y compris lors de la publication d’orientations et de conseils en vertu du paragraphe 10, si ces orientations et conseils concernent le traitement de données à caractère personnel.
Les autorités chargées de la surveillance du droit de l’Union en matière de protection des données sont habilitées à demander toute documentation rédigée ou tenue à jour en vertu du présent règlement et à y accéder lorsque l’accès à ces documents est nécessaire à l’accomplissement de leurs tâches. Elles informent les autorités de surveillance du marché désignées de l’État membre concerné de toute demande en ce sens.
8. Les États membres veillent à ce que les autorités de surveillance du marché désignées disposent de ressources financières et techniques suffisantes, y compris, le cas échéant, d’outils de traitement automatisé, ainsi que de ressources humaines dotées des compétences nécessaires en matière de cybersécurité pour mener à bien les tâches qui leur sont confiées au titre du présent règlement.
9. La Commission encourage et facilite les échanges d’expériences entre les autorités de surveillance du marché désignées.
10. Avec le soutien de la Commission et, le cas échéant, des CSIRT et de l’ENISA, les autorités de surveillance du marché peuvent fournir des orientations et des conseils aux opérateurs économiques sur la mise en œuvre du présent règlement.
11. Les autorités de surveillance du marché informent les consommateurs de l’endroit où déposer des réclamations qui pourraient indiquer un non-respect du présent règlement, conformément à l’article 11 du règlement (UE) 2019/1020, et leur donnent des informations sur les points et modalités d’accès aux mécanismes qui facilitent le signalement des vulnérabilités, des incidents et des cybermenaces susceptibles d’affecter des produits comportant des éléments numériques.
12. Les autorités de surveillance du marché facilitent, le cas échéant, la coopération avec les parties prenantes concernées, notamment des organisations scientifiques, de recherche et de consommateurs.
13. Chaque année, les autorités de surveillance du marché communiquent à la Commission les résultats des activités de surveillance du marché pertinentes. Les autorités de surveillance du marché désignées communiquent sans retard à la Commission et aux autorités nationales de la concurrence concernées toute information recueillie dans le cadre des activités de surveillance du marché qui pourrait présenter un intérêt potentiel pour l’application du droit de la concurrence de l’Union.
14. Pour les produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement et sont classés comme systèmes d’IA à haut risque en vertu de l’article 6 du règlement (UE) 2024/1689, les autorités de surveillance du marché désignées aux fins dudit règlement sont les autorités responsables des activités de surveillance du marché requises en vertu du présent règlement. Les autorités de surveillance du marché désignées en vertu du règlement (UE) 2024/1689 coopèrent, le cas échéant, avec les autorités de surveillance du marché désignées en vertu du présent règlement et, en ce qui concerne le contrôle de la mise en œuvre des obligations en matière de communication d’informations prévues à l’article 14 du présent règlement, avec les CSIRT désignés comme coordinateurs et l’ENISA. Les autorités de surveillance du marché désignées en vertu du règlement (UE) 2024/1689 informent en particulier les autorités de surveillance du marché désignées en vertu du présent règlement de toute conclusion pertinente pour la réalisation de leurs tâches liées à la mise en œuvre du présent règlement.
15. L’ADCO est établi pour l’application uniforme du présent règlement, conformément à l’article 30, paragraphe 2, du règlement (UE) 2019/1020. L’ADCO se compose de représentants des autorités de surveillance du marché désignées et, si nécessaire, de représentants des bureaux de liaison uniques. L’ADCO traite également de questions spécifiques liées aux activités de surveillance du marché en ce qui concerne les obligations imposées aux intendants de logiciels ouverts.
16. Les autorités de surveillance du marché contrôlent la manière dont les fabricants ont appliqué les critères indiqués à l’article 13, paragraphe 8, en déterminant la période d’assistance pour leurs produits comportant des éléments numériques.
L’ADCO publie sous une forme accessible au public et conviviale des statistiques pertinentes sur les catégories de produits comportant des éléments numériques, y compris leur période d’assistance moyenne, telle que déterminée par le fabricant conformément à l’article 13, paragraphe 8, et fournit des orientations qui comprennent des périodes d’assistance indicatives pour les catégories de produits comportant des éléments numériques.
Lorsque les données donnent à penser que les périodes d’assistance sont insuffisantes pour des catégories spécifiques de produits comportant des éléments numériques, l’ADCO peut adresser des recommandations aux autorités de surveillance du marché afin qu’elles concentrent leurs activités sur ces catégories de produits comportant des éléments numériques.
Accès aux données et à la documentation
Lorsque cela est nécessaire pour évaluer la conformité des produits comportant des éléments numériques et des processus mis en place par leurs fabricants aux exigences essentielles de cybersécurité énoncées à l’annexe I, les autorités de surveillance du marché, sur demande motivée, ont accès, dans une langue qu’elles comprennent facilement, aux données requises pour évaluer la conception, le développement, la production et le traitement des vulnérabilités de ces produits, y compris la documentation interne correspondante de l’opérateur économique concerné.
Procédure au niveau national concernant les produits comportant des éléments numériques qui présentent un risque de cybersécurité important
1. Lorsque l’autorité de surveillance du marché d’un État membre a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques, y compris son traitement des vulnérabilités, présente un risque de cybersécurité important, elle procède sans retard injustifié et, le cas échéant, en coopération avec le CSIRT concerné, à une évaluation de la conformité de ce produit avec l’ensemble des exigences prévues par le présent règlement. Les opérateurs économiques concernés coopèrent avec l’autorité de surveillance du marché en tant que de besoin.
Si, au cours de cette évaluation, l’autorité de surveillance du marché constate que le produit comportant des éléments numériques ne respecte pas les exigences prévues par le présent règlement, elle invite sans retard l’opérateur économique en cause à prendre toutes les mesures correctives appropriées pour mettre le produit comportant des éléments numériques en conformité avec ces exigences, le retirer du marché ou le rappeler dans un délai raisonnable, proportionné à la nature du risque de cybersécurité, que l’autorité de surveillance du marché prescrit.
L’autorité de surveillance du marché informe l’organisme notifié concerné en conséquence. L’article 18 du règlement (UE) 2019/1020 s’applique aux mesures correctives.
2. Lorsqu’elles déterminent l’importance d’un risque de cybersécurité visé au paragraphe 1 du présent article, les autorités de surveillance du marché tiennent également compte des facteurs de risque non techniques, en particulier de ceux établis à la suite des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555. Lorsqu’une autorité de surveillance du marché a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques présente un risque de cybersécurité important à la lumière de facteurs de risque non techniques, elle en informe les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555 et coopère avec ces autorités en tant que de besoin.
3. Lorsque l’autorité de surveillance du marché considère que la non-conformité n’est pas limitée à son territoire national, elle informe la Commission et les autres États membres des résultats de l’évaluation et des mesures qu’elle a prescrites à l’opérateur économique.
4. L’opérateur économique s’assure que toutes les mesures correctives appropriées sont prises pour tous les produits comportant des éléments numériques concernés qu’il a mis à disposition sur le marché dans toute l’Union.
5. Lorsque l’opérateur économique ne prend pas les mesures correctives adéquates dans le délai visé au paragraphe 1, deuxième alinéa, l’autorité de surveillance du marché adopte toutes les mesures provisoires appropriées pour interdire ou restreindre la mise à disposition du produit comportant des éléments numériques sur son marché national ou pour procéder à son retrait de ce marché ou à son rappel.
L’autorité notifie sans retard ces mesures à la Commission et aux autres États membres.
6. Les informations visées au paragraphe 5 contiennent toutes les précisions disponibles, notamment en ce qui concerne les données nécessaires pour identifier le produit comportant des éléments numériques non conforme, l’origine de ce produit comportant des éléments numériques, la nature de la non-conformité alléguée et du risque encouru, ainsi que la nature et la durée des mesures nationales adoptées et les arguments avancés par l’opérateur économique concerné. En particulier, l’autorité de surveillance du marché indique si la non-conformité découle d’une ou plusieurs des causes suivantes:
la non-conformité du produit comportant des éléments numériques ou des processus mis en place par le fabricant avec les exigences essentielles de cybersécurité énoncées à l’annexe I;
des lacunes dans les normes harmonisées, les schémas européens de certification de cybersécurité ou les spécifications communes visés à l’article 27.
7. Les autorités de surveillance du marché des États membres autres que l’autorité de surveillance du marché de l’État membre qui a entamé la procédure informent sans retard la Commission et les autres États membres de toute mesure adoptée et de toute information supplémentaire dont elles disposent à propos de la non-conformité du produit comportant des éléments numériques concerné et, en cas de désaccord avec la mesure nationale notifiée, de leurs objections.
8. Lorsque, dans les trois mois suivant la réception de la notification visée au paragraphe 5 du présent article, aucune objection n’a été émise par un État membre ou par la Commission à l’encontre d’une mesure provisoire prise par un État membre, cette mesure est réputée justifiée. Cette disposition est sans préjudice des droits procéduraux de l’opérateur économique concerné conformément à l’article 18 du règlement (UE) 2019/1020.
9. Les autorités de surveillance du marché de tous les États membres veillent à ce que les mesures restrictives appropriées, comme le retrait de leur marché, soient prises sans retard à l’égard du produit comportant des éléments numériques concerné.
Procédure de sauvegarde de l’Union
1. Lorsque, dans un délai de trois mois suivant la réception de la notification visée à l’article 54, paragraphe 5, un État membre soulève des objections à l’encontre d’une mesure prise par un autre État membre ou que la Commission considère que la mesure est contraire à la législation de l’Union, la Commission entame sans retard des consultations avec l’État membre et le ou les opérateurs économiques concernés et procède à l’évaluation de la mesure nationale. En fonction des résultats de cette évaluation, la Commission décide si la mesure nationale est justifiée ou non dans un délai de neuf mois suivant la notification visée à l’article 54, paragraphe 5, et communique cette décision à l’État membre concerné.
2. Si la mesure nationale est jugée justifiée, tous les États membres prennent les mesures nécessaires pour s’assurer du retrait du produit comportant des éléments numériques non conforme de leur marché et ils en informent la Commission. Si la mesure nationale n’est pas jugée justifiée, l’État membre concerné la retire.
3. Lorsque la mesure nationale est jugée justifiée et que la non-conformité du produit comportant des éléments numériques est imputée à des lacunes dans les normes harmonisées, la Commission applique la procédure prévue à l’article 11 du règlement (UE) no 1025/2012.
4. Lorsque la mesure nationale est jugée justifiée et que la non-conformité du produit comportant des éléments numériques est imputée à des lacunes dans un schéma européen de certification de cybersécurité visé à l’article 27, la Commission examine s’il y a lieu de modifier ou d’abroger l’acte délégué adopté conformément à l’article 27, paragraphe 9, qui précise la présomption de conformité concernant ce schéma de certification.
5. Lorsque la mesure nationale est jugée justifiée et que la non-conformité du produit comportant des éléments numériques est imputée à des lacunes dans les spécifications communes visées à l’article 27, la Commission examine s’il y a lieu de modifier ou d’abroger tout acte d’exécution adopté en vertu de l’article 27, paragraphe 2, qui établit ces spécifications communes.
Procédure au niveau de l’Union concernant les produits comportant des éléments numériques qui présentent un risque de cybersécurité important
1. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques présentant un risque de cybersécurité important n’est pas conforme aux exigences prévues par le présent règlement, elle en informe les autorités de surveillance du marché concernées. Lorsque les autorités de surveillance du marché procèdent à une évaluation de ce produit comportant des éléments numériques susceptible de présenter un risque de cybersécurité important en ce qui concerne sa conformité avec les exigences prévues par le présent règlement, les procédures visées aux articles 54 et 55 s’appliquent.
2. Lorsque la Commission a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques présente un risque de cybersécurité important à la lumière de facteurs de risque non techniques, elle en informe les autorités de surveillance du marché concernées et, le cas échéant, les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555 et coopère avec ces autorités en tant que de besoin. La Commission examine également la pertinence des risques recensés pour ce produit comportant des éléments numériques au regard de ses tâches en ce qui concerne les évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques prévues à l’article 22 de la directive (UE) 2022/2555, et consulte, le cas échéant, le groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555 et l’ENISA.
3. Dans des circonstances qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons suffisantes de considérer que le produit comportant des éléments numériques visé au paragraphe 1 demeure non conforme aux exigences prévues par le présent règlement et qu’aucune mesure effective n’a été prise par les autorités de surveillance du marché concernées, la Commission procède à une évaluation de la conformité et peut demander à l’ENISA de fournir une analyse afin d’étayer cette évaluation. La Commission en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent avec l’ENISA en tant que de besoin.
4. Se fondant sur l’évaluation visée au paragraphe 3, la Commission peut décider qu’une mesure corrective ou restrictive est nécessaire au niveau de l’Union. À cette fin, elle consulte sans retard les États membres concernés et le ou les opérateurs économiques concernés.
5. Sur la base de la consultation visée au paragraphe 4 du présent article, la Commission peut adopter des actes d’exécution afin de fournir des mesures correctives ou restrictives au niveau de l’Union, y compris en exigeant le retrait du marché ou le rappel des produits comportant des éléments numériques concernés, dans un délai raisonnable, proportionné à la nature du risque. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
6. La Commission communique immédiatement à l’opérateur ou aux opérateurs économiques concernés les actes d’exécution visés au paragraphe 5. Les États membres exécutent ces actes d’exécution sans retard et en informent la Commission.
7. Les paragraphes 3 à 6 sont applicables pendant la durée de la situation exceptionnelle qui a justifié l’intervention de la Commission, pour autant que le produit comportant des éléments numériques concerné ne soit pas mis en conformité avec le présent règlement.
Produits conformes comportant des éléments numériques qui présentent un risque de cybersécurité important
1. L’autorité de surveillance du marché d’un État membre exige d’un opérateur économique qu’il prenne toutes les mesures appropriées lorsque, après avoir effectué une évaluation au titre de l’article 54, elle constate que, bien qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant soient conformes au présent règlement, ils présentent un risque de cybersécurité important ainsi qu’un risque pour:
la santé ou la sécurité des personnes;
le respect des obligations découlant du droit de l’Union ou du droit national visant à protéger les droits fondamentaux;
la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services proposés au moyen d’un système d’information électronique par des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555; ou
d’autres aspects de la protection de l’intérêt public.
Les mesures visées au premier alinéa peuvent comprendre des mesures visant à garantir que le produit comportant des éléments numériques concerné et les processus mis en place par le fabricant ne présentent plus les risques pertinents lors de la mise à disposition sur le marché, le retrait du marché du produit comportant des éléments numériques concerné ou son rappel, et sont proportionnées à la nature de ces risques.
2. Le fabricant ou les autres opérateurs économiques concernés s’assurent que des mesures correctives sont prises pour tous les produits comportant des éléments numériques concernés qu’ils ont mis à disposition sur le marché dans toute l’Union dans le délai établi par l’autorité de surveillance du marché de l’État membre visée au paragraphe 1.
3. L’État membre informe immédiatement la Commission et les autres États membres des mesures prises en application du paragraphe 1. Ces informations comprennent toutes les précisions disponibles, notamment les données nécessaires pour identifier les produits comportant des éléments numériques concernés, leur origine et leur chaîne d’approvisionnement, la nature du risque couru, ainsi que la nature et la durée des mesures nationales adoptées.
4. La Commission entame sans retard des consultations avec les États membres et l’opérateur économique en cause et évalue les mesures nationales prises. En fonction des résultats de cette évaluation, la Commission décide si la mesure est justifiée ou non et, si nécessaire, propose des mesures appropriées.
5. La Commission communique la décision visée au paragraphe 4 aux États membres.
6. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques, bien que conforme au présent règlement, présente les risques visés au paragraphe 1 du présent article, elle en informe les autorités de surveillance du marché concernées et peut leur demander de procéder à une évaluation et de suivre les procédures visées à l’article 54 et aux paragraphes 1, 2 et 3 du présent article.
7. Dans des circonstances qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons suffisantes de considérer que le produit comportant des éléments numériques visé au paragraphe 6 continue de présenter les risques visés au paragraphe 1, et qu’aucune mesure effective n’a été prise par les autorités nationales de surveillance du marché concernées, la Commission procède à une évaluation des risques présentés par ledit produit comportant des éléments numériques, peut demander à l’ENISA de fournir une analyse afin d’étayer cette évaluation et en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent avec l’ENISA en tant que de besoin.
8. Se fondant sur l’évaluation visée au paragraphe 7, la Commission peut décider qu’une mesure corrective ou restrictive est nécessaire au niveau de l’Union. À cette fin, elle consulte sans retard les États membres concernés et le ou les opérateurs économiques concernés.
9. Sur la base de la consultation visée au paragraphe 8 du présent article, la Commission peut adopter des actes d’exécution afin de décider de mesures correctives ou restrictives au niveau de l’Union, y compris en exigeant le retrait du marché ou le rappel des produits comportant des éléments numériques concernés, dans un délai raisonnable, proportionné à la nature du risque. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
10. La Commission communique immédiatement à l’opérateur ou aux opérateurs économiques concernés les actes d’exécution visés au paragraphe 9. Les États membres exécutent ces actes d’exécution sans retard et en informent la Commission.
11. Les paragraphes 6 à 10 sont applicables pendant la durée de la situation exceptionnelle qui a justifié l’intervention de la Commission et aussi longtemps que le produit comportant des éléments numériques concerné continue de présenter les risques visés au paragraphe 1.
Non-conformité formelle
1. Lorsque l’autorité de surveillance du marché d’un État membre fait l’une des constatations ci-après, elle invite le fabricant concerné à mettre un terme à la non-conformité en question:
le marquage CE a été apposé en violation de l’article 29 ou 30;
le marquage CE n’a pas été apposé;
la déclaration UE de conformité n’a pas été établie;
la déclaration UE de conformité n’a pas été établie correctement;
le numéro d’identification de l’organisme notifié, qui participe à la procédure d’évaluation de la conformité, le cas échéant, n’a pas été apposé;
la documentation technique n’est pas disponible ou n’est pas complète.
2. Si la non-conformité visée au paragraphe 1 persiste, l’État membre concerné prend toutes les mesures appropriées pour restreindre ou interdire la mise à disposition du produit comportant des éléments numériques sur le marché ou pour faire en sorte que le produit soit rappelé ou retiré du marché.
Activités conjointes des autorités de surveillance du marché
1. Les autorités de surveillance du marché peuvent convenir avec d’autres autorités compétentes de mener des activités conjointes visant à garantir la cybersécurité et la protection des consommateurs en ce qui concerne des produits spécifiques comportant des éléments numériques mis sur le marché ou mis à disposition sur le marché, en particulier des produits comportant des éléments numériques dont il est souvent constaté qu’ils présentent des risques de cybersécurité.
2. La Commission ou l’ENISA proposent des activités conjointes de contrôle du respect du présent règlement à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations relatives à une non-conformité potentielle, dans plusieurs États membres, de produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement, aux exigences prévues par le présent règlement.
3. Les autorités de surveillance du marché et, le cas échéant, la Commission, veillent à ce que l’accord portant sur la réalisation d’activités conjointes n’engendre pas de concurrence déloyale entre les opérateurs économiques et n’influe pas négativement sur l’objectivité, l’indépendance et l’impartialité des parties à l’accord.
4. Une autorité de surveillance du marché peut utiliser toutes les informations obtenues à la suite des activités conjointes menées dans le cadre des enquêtes qu’elle entreprend.
5. L’autorité de surveillance du marché concernée et, le cas échéant, la Commission, mettent à la disposition du public l’accord sur les activités conjointes, y compris le nom des parties concernées.
Opérations «coup de balai»
1. Les autorités de surveillance du marché mènent des actions de contrôle coordonnées et simultanées (ci-après dénommées «opérations “coup de balai”») concernant certains produits ou catégories de produits comportant des éléments numériques afin de vérifier le respect du présent règlement ou de détecter des infractions à celui-ci. Ces opérations «coup de balai» peuvent comprendre des inspections des produits comportant des éléments numériques acquis sous une fausse identité.
2. Sauf accord contraire des autorités de surveillance du marché participantes, les opérations «coup de balai» sont coordonnées par la Commission. Le coordinateur de l’opération «coup de balai» met, s’il y a lieu, les résultats agrégés de l’opération à la disposition du public.
3. Lorsque, dans l’exécution de ses tâches, y compris sur la base des notifications reçues en vertu de l’article 14, paragraphes 1 et 3, l’ENISA identifie des catégories de produits comportant des éléments numériques pour lesquelles des opérations «coup de balai» peuvent être organisées, elle soumet une proposition d’opération «coup de balai» au coordinateur visé au paragraphe 2 du présent article pour examen par les autorités de surveillance du marché.
4. Lorsqu’elles mènent des opérations «coup de balai», les autorités de surveillance du marché participantes peuvent faire usage des pouvoirs d’enquête prévus aux articles 52 à 58, ainsi que des autres pouvoirs qui leur sont conférés par le droit national.
5. Les autorités de surveillance du marché peuvent inviter des fonctionnaires de la Commission et d’autres personnes les accompagnant habilitées par la Commission à participer aux opérations «coup de balai».
POUVOIRS DÉLÉGUÉS ET PROCÉDURE DE COMITÉ
Exercice de la délégation
1. Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions prévues au présent article.
2. Le pouvoir d’adopter des actes délégués visé à l’article 2, paragraphe 5, deuxième alinéa, à l’article 7, paragraphe 3, à l’article 8, paragraphes 1 et 2, à l’article 13, paragraphe 8, quatrième alinéa, à l’article 14, paragraphe 9, à l’article 25, à l’article 27, paragraphe 9, à l’article 28, paragraphe 5, et à l’article 31, paragraphe 5, est conféré à la Commission pour une période de cinq ans à compter du 10 décembre 2024. La Commission élabore un rapport relatif à la délégation de pouvoir au plus tard neuf mois avant la fin de la période de cinq ans. La délégation de pouvoir est tacitement prorogée pour des périodes d’une durée identique, sauf si le Parlement européen ou le Conseil s’oppose à cette prorogation trois mois au plus tard avant la fin de chaque période.
3. La délégation de pouvoir visée à l’article 2, paragraphe 5, deuxième alinéa, à l’article 7, paragraphe 3, à l’article 8, paragraphes 1 et 2, à l’article 13, paragraphe 8, quatrième alinéa, à l’article 14, paragraphe 9, à l’article 25, à l’article 27, paragraphe 9, à l’article 28, paragraphe 5, et à l’article 31, paragraphe 5, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.
4. Avant l’adoption d’un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer».
5. Aussitôt qu’elle adopte un acte délégué, la Commission le notifie simultanément au Parlement européen et au Conseil.
6. Un acte délégué adopté en vertu de l’article 2, paragraphe 5, deuxième alinéa, de l’article 7, paragraphe 3, de l’article 8, paragraphe 1 ou 2, de l’article 13, paragraphe 8, quatrième alinéa, de l’article 14, paragraphe 9, de l’article 25, de l’article 27, paragraphe 9, de l’article 28, paragraphe 5, ou de l’article 31, paragraphe 5, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil, ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.
Comité
1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.
2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.
3. Lorsque l’avis du comité doit être obtenu par procédure écrite, ladite procédure est close sans résultat lorsque, dans le délai pour émettre un avis, le président du comité le décide ou un membre du comité le demande.
CONFIDENTIALITÉ ET SANCTIONS
Confidentialité
1. Toutes les parties intervenant dans l’application du présent règlement respectent la confidentialité des informations et des données obtenues dans l’exécution de leurs tâches et activités de manière à protéger, en particulier:
les droits de propriété intellectuelle et les informations confidentielles de nature commerciale ou les secrets d’affaires des personnes physiques ou morales, y compris le code source, à l’exception des cas visés à l’article 5 de la directive (UE) 2016/943 du Parlement européen et du Conseil (37);
l’application effective du présent règlement, notamment en ce qui concerne les inspections, les investigations ou les audits;
les intérêts en matière de sécurité nationale et publique;
l’intégrité des procédures pénales ou administratives.
2. Sans préjudice du paragraphe 1, les informations échangées à titre confidentiel entre les autorités de surveillance du marché et entre celles-ci, d’une part, et la Commission, d’autre part, ne sont pas divulguées sans l’accord préalable de l’autorité de surveillance du marché dont elles émanent.
3. Les paragraphes 1 et 2 sont sans effet sur les droits et obligations de la Commission, des États membres et des organismes notifiés en matière d’échange d’informations et de diffusion de mises en garde et sur les obligations d’information incombant aux personnes concernées en vertu du droit pénal des États membres.
4. La Commission et les États membres peuvent échanger, si nécessaire, des informations sensibles avec les autorités compétentes de pays tiers avec lesquels ils ont conclu des accords bilatéraux ou multilatéraux en matière de confidentialité garantissant un niveau de protection approprié.
Sanctions
Le non-respect des exigences essentielles peut entraîner des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu.
1. Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Les États membres informent la Commission, sans retard, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures.
2. Le non-respect des exigences de cybersécurité énoncées à l’annexe I et avec les obligations énoncées aux articles 13 et 14 fait l’objet d’une amende administrative pouvant aller jusqu’à 15 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2,5 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
3. Le non-respect des obligations établies aux articles 18 à 23, à l’article 28, à l’article 30, paragraphes 1 à 4, à l’article 31, paragraphes 1 à 4, à l’article 32, paragraphes 1, 2 et 3, à l’article 33, paragraphe 5, et aux articles 39, 41, 47, 49 et 53 fait l’objet d’une amende administrative pouvant aller jusqu’à 10 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
4. La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 5 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 1 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
5. Pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas sont prises en considération et il est dûment tenu compte des éléments suivants:
la nature, la gravité et la durée de l’infraction et de ses conséquences;
la question de savoir si des amendes administratives ont déjà été imposées par les mêmes ou d’autres autorités de surveillance du marché au même opérateur économique pour une infraction similaire;
la taille, en particulier en ce qui concerne les microentreprises, les petites et moyennes entreprises, y compris les jeunes entreprises, et la part de marché de l’opérateur économique qui commet l’infraction.
6. Les autorités de surveillance du marché qui appliquent des amendes administratives communiquent ces informations aux autorités de surveillance du marché des autres États membres au moyen du système d’information et de communication visé à l’article 34 du règlement (UE) 2019/1020.
7. Chaque État membre établit les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.
8. En fonction du système juridique des États membres, les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que les amendes sont imposées par les juridictions nationales compétentes ou d’autres organismes, en fonction des compétences établies au niveau national dans ces États membres. L’application de ces règles dans ces États membres a un effet équivalent.
9. Des amendes administratives peuvent être imposées, en fonction des circonstances propres à chaque cas, en plus de toute autre mesure corrective ou restrictive appliquée par les autorités de surveillance du marché pour la même infraction.
10. Par dérogation aux paragraphes 3 à 9, les amendes administratives visées auxdits paragraphes ne s’appliquent pas:
aux fabricants considérés comme des microentreprises ou des petites entreprises en cas de non-respect du délai visé à l’article 14, paragraphe 2, point a), ou à l’article 14, paragraphe 4, point a);
à toute violation du présent règlement par les intendants de logiciels ouverts.
Actions représentatives
La directive (UE) 2020/1828 est applicable aux actions représentatives intentées en raison des infractions commises par des opérateurs économiques aux dispositions du présent règlement qui portent atteinte ou risquent de porter atteinte aux intérêts collectifs des consommateurs.
DISPOSITIONS TRANSITOIRES ET FINALES
Modification du règlement (UE) 2019/1020
À l’annexe I du règlement (UE) 2019/1020, le point suivant est ajouté:
«72.
Règlement (UE) 2024/2847 du Parlement européen et du Conseil (*1).
Modification de la directive (UE) 2020/1828
À l’annexe I de la directive (UE) 2020/1828, le point suivant est ajouté:
«69)
Règlement (UE) 2024/2847 du Parlement européen et du Conseil (*2).
Modification du règlement (UE) no 168/2013
Dans la partie C1, dans le tableau, de l’annexe II du règlement (UE) no 168/2013 du Parlement européen et du Conseil (38), l’entrée suivante est ajoutée:
«
»
Dispositions transitoires
1. Les attestations d’examen UE de type et les décisions d’approbation délivrées en ce qui concerne les exigences de cybersécurité applicables aux produits comportant des éléments numériques qui sont soumis à d’autres législations d’harmonisation de l’Union restent valables jusqu’au 11 juin 2028, à moins qu’elles n’expirent avant cette date, ou sauf disposition contraire dans toute autre législation d’harmonisation de l’Union, auquel cas elles restent valables conformément à cette législation.
2. Les produits comportant des éléments numériques qui ont été mis sur le marché avant le 11 décembre 2027 ne sont soumis aux exigences énoncées dans le présent règlement que si, à compter de cette date, ces produits font l’objet d’une modification substantielle.
3. Par dérogation au paragraphe 2 du présent article, les obligations prévues à l’article 14 s’appliquent à tous les produits comportant des éléments numériques relevant du champ d’application du présent règlement qui ont été mis sur le marché le 11 décembre 2027.
Évaluation et réexamen
1. Au plus tard le 11 décembre 2030 et tous les quatre ans par la suite, la Commission présente un rapport sur l’évaluation et le réexamen du présent règlement au Parlement européen et au Conseil. Ces rapports sont rendus publics.
2. Au plus tard le 11 septembre 2028, la Commission, après consultation de l’ENISA et du réseau des CSIRT, présente au Parlement européen et au Conseil un rapport pour évaluer l’efficacité de la plateforme unique de signalement prévue à l’article 16, ainsi que les répercussions de l’application des motifs liés à la cybersécurité visés à l’article 16, paragraphe 2, par les CSIRT désignés comme coordinateurs sur l’efficacité de la plateforme unique de signalement en ce qui concerne la diffusion en temps utile des notifications reçues à d’autres CSIRT concernés.
Entrée en vigueur et application
En vigueur le 10 décembre 2024 · obligations de signalement à partir du 11 septembre 2026 · application complète à partir du 11 décembre 2027.
1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
2. Le présent règlement est applicable à partir du 11 décembre 2027.
Toutefois, l’article 14 est applicable à partir du 11 septembre 2026 et le chapitre IV (articles 35 à 51) à partir du 11 juin 2026.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Strasbourg, le 23 octobre 2024.