RAPPORT sur la proposition de règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020

26.7.2023 - (COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD)) - ***I

Commission de l’industrie, de la recherche et de l’énergie
Rapporteur pour avis: Nicola Danti
Rapporteur pour avis de la commission associée conformément à l’article 57 du règlement intérieur:
Morten Løkkegaard, commission du marché intérieur et de la protection des consommateurs

Amendements

• 001-001 (PDF - 506 KB)
• 001-001 (DOC - 137 KB)
• 002-002 (PDF - 722 KB)
• 002-002 (DOC - 188 KB)
• 003-003 (PDF - 109 KB)
• 003-003 (DOC - 70 KB)

PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN

sur la proposition de règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020

(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

– vu la proposition de la Commission au Parlement européen et au Conseil (COM(2022)0454),

– vu l’article 294, paragraphe 2, et l’article 114 du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission C9‑0308/2022),

– vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

– vu l’avis du Comité économique et social européen du 14 décembre 2022[1],

– vu l’article 59 de son règlement intérieur,

– vu l’avis de la commission du marché intérieur et de la protection des consommateurs,

– vu le rapport de la commission de l’industrie, de la recherche et de l’énergie (A9-0253/2023),

1. arrête la position en première lecture figurant ci-après;

2. demande à la Commission de modifier la fiche financière qui accompagne la proposition en ajoutant au tableau des effectifs de l’Agence de l’Union européenne pour la cybersécurité (ENISA) 9,0 postes à plein temps, et en affectant les crédits supplémentaires correspondants, afin de garantir que les obligations incombant à l’ENISA au titre du présent règlement pourront être remplies et de faire en sorte que les obligations existantes incombant à l’Agence au titre d’autres actes législatifs de l’Union ne soient pas compromises;

3. demande à la Commission de le saisir à nouveau, si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

4. charge sa Présidente de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

Amendement  1

AMENDEMENTS DU PARLEMENT EUROPÉEN[*]

à la proposition de la Commission

---------------------------------------------------------

Proposition de

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020 et la directive (UE) 2020/1828 (législation sur la cyberrésilience)

(Texte présentant de l’intérêt pour l’EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen[2],

vu l’avis du Comité des régions[3],

statuant conformément à la procédure législative ordinaire,

considérant ce qui suit:

(1) La cybersécurité est l’un des grands enjeux de l’Union, et le nombre et la diversité des dispositifs connectés ne cesseront d’augmenter dans les prochaines années. Les cyberattaques sont une question d’intérêt public, car elles ont des répercussions considérables non seulement sur l’économie de l’Union, mais également sur la démocratie ainsi que sur la sécurité et la santé des consommateurs. Il est dès lors nécessaire de renforcer l’approche de l’Union en matière de cybersécurité, d’aborder la cyberrésilience au niveau de l’Union et d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme concernant les exigences essentielles en matière de cybersécurité aux fins de la mise sur le marché de l’Union de produits comportant des éléments numériques. Deux problèmes majeurs représentant des coûts supplémentaires pour les utilisateurs et la société devraient être réglés: d’une part, le niveau de cybersécurité des produits comportant des éléments numériques est faible, comme en témoignent les vulnérabilités généralisées et le manque de mises à jour de sécurité déployées de manière cohérente pour y remédier, et, d’autre part, les utilisateurs n’ont pas suffisamment accès aux informations et ne les comprennent pas bien, ce qui les empêche de choisir des produits dotés de propriétés de cybersécurité adéquates ou de les utiliser de manière sécurisée.

(2) Le présent règlement vise à définir les conditions aux limites pour le développement de produits comportant des éléments numériques sécurisés en faisant en sorte que les produits matériels et logiciels mis sur le marché présentent moins de vulnérabilités et que les fabricants prennent la sécurité au sérieux tout au long du cycle de vie d’un produit. Il a également pour but de créer des conditions permettant aux utilisateurs de prendre en considération la cybersécurité lorsqu’ils sélectionnent et utilisent des produits comportant des éléments numériques, en améliorant par exemple la transparence sur la durée de l’assistance assurée pour les produits mis sur le marché.

(3) La législation pertinente de l’Union actuellement en vigueur comprend plusieurs ensembles de règles horizontales qui traitent de certains aspects liés à la cybersécurité sous différents angles, y compris des mesures destinées à améliorer la sécurité de la chaîne d’approvisionnement numérique. Toutefois, la législation existante de l’Union relative à la cybersécurité, dont le règlement (UE) 2019/881 du Parlement européen et du Conseil[4] et la directive (UE) 2022/2555 du Parlement européen et du Conseil[5], ne couvre pas directement les exigences contraignantes en matière de sécurité des produits comportant des éléments numériques.

(4) Bien que la législation de l’Union en vigueur s’applique à certains produits comportant des éléments numériques, il n’existe pas de cadre réglementaire horizontal de l’Union établissant des exigences complètes en matière de cybersécurité pour tous les produits comportant des éléments numériques. Les différents actes et initiatives adoptés à ce jour aux niveaux européen et national n’abordent qu’en partie les problèmes et risques recensés concernant la cybersécurité, ce qui a pour effet de créer une mosaïque législative au sein du marché intérieur et d’accroître l’insécurité juridique tant pour les fabricants que pour les utilisateurs de ces produits et d’alourdir inutilement la charge imposée aux entreprises et organisations pour se conformer à un certain nombre d’exigences pour des types de produits similaires. La cybersécurité de ces produits revêt une dimension transfrontière particulièrement forte, étant donné que les produits fabriqués dans un pays sont souvent utilisés par des organisations et des consommateurs dans l’ensemble du marché intérieur. Il est donc nécessaire de réglementer cette question au niveau de l’Union afin de garantir aux entreprises, en particulier aux micro, petites et moyennes entreprises, un cadre réglementaire harmonisé et clair. Le paysage réglementaire de l’Union devrait être harmonisé en introduisant des exigences en matière de cybersécurité pour les produits comportant des éléments numériques. Il convient en outre de garantir la sécurité des opérateurs et des utilisateurs dans l’ensemble de l’Union, ainsi que de renforcer l’harmonisation du marché unique et la proportionnalité pour les microentreprises et les petites et moyennes entreprises, en créant des conditions plus viables pour les opérateurs économiques désireux de pénétrer sur le marché de l’Union.

(4 bis) Du fait de sa nature transversale, le présent règlement ne manquera pas d’avoir une incidence sur des segments très différents de l’économie de l’Union. Par conséquent, il importe de tenir compte des spécificités de chaque secteur et de veiller à ce que les exigences en matière de cybersécurité énoncées dans le présent règlement soient proportionnelles aux risques. La Commission devrait donc publier des lignes directrices expliquant de manière claire et détaillée comment il convient d’appliquer le présent règlement. Ces lignes directrices devraient notamment comprendre une explication détaillée du champ d’application, en particulier de la notion de «traitement de données à distance» et de ses implications pour les développeurs de logiciels libres et ouverts, des critères employés pour déterminer comment les produits critiques comportant des éléments numériques sont classés et de l’interaction entre le présent règlement et d’autres actes législatifs de l’Union.

(4 ter) Une entreprise exerçant des activités en ligne peut offrir toute une gamme de services différents. Selon la nature des services fournis, une même entité peut relever de plusieurs catégories différentes d’opérateurs économiques. Lorsqu’une entité fournit des services d’intermédiation en ligne pour un produit comportant des éléments numériques et est fournisseur d’une place de marché en ligne au sens de l’article 3, point 14, du règlement (UE) 2023/988 du Parlement européen et du Conseil[6], elle n’est pas considérée comme un opérateur économique au sens du présent règlement. Lorsque la même entité est fournisseur d’une place de marché en ligne et agit comme opérateur économique au sens du présent règlement, pour la vente de produits comportant des éléments numériques, elle devrait relever du champ d’application du présent règlement quant à ces produits. Les dispositions du règlement (UE) 2023/988 sont pleinement applicables au présent règlement. Les places de marché en ligne jouant un rôle de premier plan pour ce qui est de permettre le commerce électronique, elles devraient s’efforcer de coopérer avec les autorités de surveillance du marché des États membres pour veiller à ce que les produits achetés par leur intermédiaire respectent les exigences de cybersécurité énoncées dans le présent règlement.

(5) Au niveau de l’Union, divers documents programmatiques et politiques, tels que la stratégie de cybersécurité de l’Union pour la décennie numérique[7], les conclusions du Conseil du 2 décembre 2020 et du 23 mai 2022 ou encore la résolution du Parlement européen du 10 juin 2021[8], appelaient à l’adoption par l’Union d’exigences spécifiques en matière de cybersécurité pour les produits numériques ou connectés, étant donné que plusieurs pays à travers le monde introduisaient des mesures pour réglementer cette question de leur propre initiative. Dans le rapport final de la conférence sur l’avenir de l’Europe[9], les citoyens ont préconisé de «renforcer le rôle de l’Union dans la lutte contre les menaces de cybersécurité». Afin de permettre à l’Union de jouer un rôle de premier plan sur la scène internationale dans le domaine de la cybersécurité, il importe d’établir un cadre réglementaire global et ambitieux.

(6) Pour accroître le niveau global de cybersécurité de tous les produits comportant des éléments numériques mis sur le marché intérieur, il est nécessaire d’introduire des exigences de cybersécurité essentielles, axées sur l’objectif et technologiquement neutres pour ces produits, qui s’appliquent horizontalement.

(7) Dans certaines conditions, tous les produits comportant des éléments numériques intégrés ou connectés à un système d’information électronique plus vaste peuvent servir de vecteur d’attaque pour des acteurs malveillants. En conséquence, même le matériel et les logiciels considérés comme moins critiques peuvent faciliter une première compromission d’un appareil ou d’un réseau, permettant à des acteurs malveillants d’obtenir un accès privilégié à un système ou de se déplacer latéralement entre différents systèmes. Les fabricants devraient donc veiller à ce que tous les produits connectables comportant des éléments numériques soient conçus et développés conformément aux exigences essentielles énoncées dans le présent règlement. Cela comprend à la fois les produits qui peuvent être connectés physiquement via des interfaces matérielles et les produits qui sont connectés logiquement, notamment par des connecteurs logiciels, tuyauteries, fichiers, interfaces de programmation d’application ou tout autre type d’interface logicielle. Étant donné que les menaces de cybersécurité peuvent se propager via divers produits comportant des éléments numériques avant d’atteindre une cible donnée, par exemple en enchaînant plusieurs exploits de vulnérabilité, les fabricants devraient également assurer la cybersécurité des produits qui ne sont connectés qu’indirectement à d’autres dispositifs ou réseaux.

(8) La définition d’exigences en matière de cybersécurité des produits comportant des éléments numériques aux fins de leur mise sur le marché renforcera la cybersécurité de ces produits, tant pour les consommateurs que pour les entreprises. Parmi ces exigences figurent également des exigences de mise sur le marché applicables aux produits de consommation destinés aux consommateurs vulnérables, tels que les jouets et les moniteurs pour bébés. Ces exigences garantiront, en outre, que la cybersécurité est intégrée à tous les stades des chaînes d’approvisionnement, rendant ainsi plus sûrs les produits finaux comportant des éléments numériques. En retour, cette garantie d’intégration assurera un avantage concurrentiel aux fabricants établis ou représentés dans l’Union, qui seront en mesure de faire de la cybersécurité de leurs produits un argument publicitaire.

(9) Le présent règlement garantit un niveau élevé de cybersécurité des produits comportant des éléments numériques et de leurs solutions intégrées de traitement de données à distance. Ces solutions de traitement de données à distance relatives à un produit comportant des éléments numériques s’entendent de tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant du produit concerné ou en son nom, et dont l’absence empêcherait ledit produit d’exécuter l’une de ses fonctions essentielles. Par exemple, les fonctionnalités en nuage fournies par le fabricant d’appareils domestiques intelligents qui permettent aux utilisateurs de contrôler l’appareil à distance devraient relever du champ d’application du présent règlement. En revanche, les sites internet qui ne sont pas inextricablement liés à un produit comportant des éléments numériques ou les services en nuage échappant à la responsabilité du fabricant ne devraient pas être considérés comme des solutions de traitement de données à distance au sens du présent règlement. La directive (UE) 2022/2555 met en place des exigences en matière de cybersécurité et de signalement des incidents pour les entités essentielles et importantes, telles que les infrastructures critiques, en vue d’accroître la résilience des services qu’elles fournissent. Bien que la directive (UE) 2022/2555 s’applique aux services d’informatique en nuage et aux modèles de services en nuage et que le présent règlement ne s’applique pas aux services, tels que les logiciels en tant que service (SaaS), les plateformes-services (PaaS) ou les infrastructures-services (IaaS), les services peuvent relever du champ d’application du présent règlement pour autant qu’ils répondent à la définition des solutions de traitement de données à distance.  ▌

(9 bis) Les logiciels et données qui sont librement partagés, auxquels les utilisateurs peuvent librement accéder et qu’ils peuvent librement utiliser, modifier et redistribuer, dans une version modifiée ou non, peuvent contribuer à la recherche et à l’innovation sur le marché. Une étude menée par la Commission européenne[10] montre également que les logiciels libres et ouverts peuvent contribuer au produit intérieur brut (PIB) de l’Union européenne à hauteur de 65 milliards à 95 milliards d’EUR et peuvent offrir des possibilités notables de croissance à l’économie de l’Union. Les utilisateurs sont autorisés à exploiter, copier, distribuer, étudier, modifier et améliorer les logiciels et données, y compris les modèles au moyen de licences libres et ouvertes. Pour favoriser le développement et le déploiement de logiciels libres et ouverts, en particulier par les microentreprises et les petites et moyennes entreprises, y compris les jeunes pousses, les organisations à but non lucratif, les chercheurs universitaires et les particuliers, le présent règlement devrait s’appliquer aux produits logiciels libres et ouverts dans des cas précis, afin de tenir compte du fait qu’il existe différents modèles de développement de logiciels distribués et développés dans le cadre de licences publiques.

(10) Seuls les logiciels libres et ouverts mis à disposition sur le marché dans le cadre d’une activité commerciale ▌ devraient ▌ être couverts par le présent règlement. ▌ L’évaluation permettant de déterminer si un produit libre et ouvert est mis à disposition dans le cadre d’une activité commerciale devrait être effectuée produit par produit en examinant le modèle de développement et la phase de fourniture du produit libre et ouvert comportant des éléments numériques.

(10 bis) Par exemple, si dans un modèle de développement entièrement décentralisé, aucune entité commerciale unique n’exerce de contrôle sur ce qui est accepté dans la base de code du projet, il y a lieu d’en déduire que le produit a été développé dans un cadre non commercial. En revanche, lorsqu’un logiciel libre et ouvert est développé par une seule et même organisation ou une communauté asymétrique, dans lesquelles une seule et même organisation dégage des recettes tirées de son utilisation dans des relations d’affaires, il convient de considérer qu’il s’agit là d’une activité commerciale. De même, si les principaux contributeurs à des projets libres et ouverts sont des développeurs employés par des entités commerciales et si ces développeurs ou l’employeur peuvent exercer un contrôle sur les modifications qui sont acceptées dans la base de code, le projet devrait, de manière générale, être considéré comme ayant un caractère commercial.

(10 ter) En ce qui concerne la phase de fourniture, dans le cas d’un logiciel libre et ouvert, l’activité commerciale peut être caractérisée non seulement par le prix facturé pour un produit, mais également par le prix des services d’assistance technique, lorsque ces prix ne servent pas qu’à la seule récupération des coûts réels, par la fourniture d’une plate-forme logicielle par l’intermédiaire de laquelle le fabricant monétise d’autres services, ou par l’utilisation de données à caractère personnel pour des raisons autres qu’aux seules fins d’améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel. Le fait d’accepter des dons sans intention lucrative ne devrait pas être considéré comme constitutif d’une activité commerciale, sauf si ces dons sont réalisés par des entités commerciales et ont un caractère récurrent.

(10 quater) Les développeurs contribuant à titre individuel à des projets libres et ouverts ne devraient pas être soumis aux obligations du présent règlement.

(10 quinquies) Le seul fait d’héberger des logiciels libres et ouverts sur des répertoires ouverts ne constitue pas en soi une mise à disposition sur le marché d’un produit comportant des éléments numériques. À ce titre, la plupart des gestionnaires de progiciels et des plates-formes d’hébergement de codes et de collaboration ne devraient pas être considérés comme des distributeurs au sens du présent règlement.

(10 sexies) Pour que les produits soient conçus, développés et produits conformément aux exigences essentielles prévues à l’annexe I, section 1, les fabricants devraient faire preuve de diligence raisonnable lorsqu’ils intègrent des composants obtenus auprès de tiers, y compris dans le cas de logiciels libres et ouverts n’ayant pas été mis à disposition sur le marché. Le niveau approprié de diligence raisonnable dépend de la nature et du niveau du risque que présente le composant et peut comporter une ou plusieurs des mesures suivantes: s’assurer si le composant porte déjà le marquage CE, contrôler l’historique des mises à jour de sécurité, vérifier s’il est exempt des vulnérabilités enregistrées dans la base de données européenne des vulnérabilités ou dans d’autres bases de données publiques ou réaliser des essais de sécurité supplémentaires. Lorsque, dans l’exercice de sa diligence raisonnable, le fabricant du produit décèle une vulnérabilité dans un composant, y compris un composant libre et ouvert, il devrait en informer le développeur du composant, s’attaquer et remédier à la vulnérabilité et, le cas échéant, fournir au développeur le correctif de sécurité appliqué. Le fabricant devrait être tenu, dès qu’il met le produit sur le marché, de veiller à ce que les vulnérabilités soient traitées tout au long de la période d’assistance, y compris pour les composants libres et ouverts intégrés dans le produit comportant des éléments numériques.

(10 septies) Le manque de compétences professionnelles dans le domaine de la cybersécurité est un problème essentiel auquel il convient de s’attaquer pour la bonne application du présent règlement. Il y a lieu d’accorder une attention particulière au déficit de compétences chez les fabricants, les autorités de surveillance du marché et les organismes notifiés. Par conséquent, conformément à la communication de la Commission intitulée «Remédier à la pénurie de talents dans le secteur de la cybersécurité pour renforcer la compétitivité, la croissance et la résilience de l’UE (“L’académie des compétences en matière de cybersécurité”)», des mesures spécifiques devraient être mises en place au niveau de l’Union et des États membres pour évaluer l’état et l’évolution du marché du travail en matière de cybersécurité ainsi que pour créer des synergies en ce qui concerne les offres d’éducation et de formation en matière de cybersécurité, avec notamment pour souci de combler les écarts entre les hommes et les femmes dans le secteur, dans le but d’établir, à l’échelon de l’Union, une approche commune de la formation à la cybersécurité.

(11) Un internet sécurisé est indispensable au fonctionnement des infrastructures critiques et à la société dans son ensemble. La directive (UE) 2022/2555 vise à garantir un niveau élevé de cybersécurité des services fournis par des entités essentielles et importantes, y compris les fournisseurs d’infrastructures numériques qui soutiennent les fonctions essentielles de l’internet ouvert, assurent l’accès à l’internet et les services internet. Il est donc important que les produits comportant des éléments numériques dont les fournisseurs d’infrastructures numériques ont besoin pour assurer le fonctionnement de l’internet soient développés de manière sécurisée et qu’ils respectent les normes de sécurité de l’internet bien établies. Le présent règlement, qui s’applique à tous les matériels et logiciels connectables, vise également à faciliter le respect, par les fournisseurs d’infrastructures numériques, des exigences de la chaîne d’approvisionnement en vertu de la directive (UE) 2022/2555, en veillant à ce que les produits comportant des éléments numériques qu’ils utilisent pour la fourniture de leurs services soient développés de manière sécurisée et à ce qu’ils aient accès à des mises à jour de sécurité en temps utile pour ces produits.

(12) Le règlement (UE) 2017/745 du Parlement européen et du Conseil[11] établit des règles relatives aux dispositifs médicaux et le règlement (UE) 2017/746 du Parlement européen et du Conseil[12] définit des règles relatives aux dispositifs médicaux de diagnostic in vitro. Ces deux règlements traitent des risques de cybersécurité et suivent des approches particulières qui sont également abordées dans le présent règlement. Plus précisément, les règlements (UE) 2017/745 et (UE) 2017/746 établissent des exigences essentielles pour les dispositifs médicaux qui fonctionnent au moyen d’un système électronique ou sont eux-mêmes des logiciels. Certains logiciels non intégrés et l’approche du cycle de vie complet relèvent également du champ d’application de ces règlements. Ces exigences obligent les fabricants à développer et à fabriquer leurs produits en appliquant des principes de gestion des risques et en définissant des exigences concernant les mesures de sécurité informatique, ainsi que les procédures d’évaluation de la conformité correspondantes. En outre, des orientations spécifiques sur la cybersécurité des dispositifs médicaux sont en place depuis décembre 2019[13]. Elles fournissent aux fabricants de dispositifs médicaux, notamment de dispositifs de diagnostic in vitro, des orientations quant à la manière de satisfaire à toutes les exigences essentielles pertinentes énoncées à l’annexe I de ces règlements en ce qui concerne la cybersécurité. Les produits comportant des éléments numériques relevant de l’un ou l’autre de ces règlements ne devraient donc pas être soumis au présent règlement.

(12 bis) Les produits comportant des éléments numériques qui sont développés exclusivement à des fins de sécurité nationale ou à des fins militaires et les produits spécifiquement conçus pour traiter des informations classifiées ne relèvent pas du champ d’application du présent règlement. Toutefois, les États membres sont invités à veiller à ce que ces produits bénéficient d’un niveau de protection analogue, voire supérieur, à celui appliqué aux produits relevant du champ d’application du présent règlement.

(13) Le règlement (UE) 2019/2144 du Parlement européen et du Conseil[14] établit des exigences pour la réception par type des véhicules, ainsi que de leurs systèmes et composants, et introduit certaines exigences en matière de cybersécurité, notamment concernant le fonctionnement d’un système de gestion de cybersécurité certifié et les mises à jour logicielles. Il couvre entre autres les politiques et processus des organisations en matière de cyber-risques liés à l’ensemble du cycle de vie des véhicules, des équipements et des services, conformément aux réglementations des Nations unies applicables en matière de spécifications techniques et de cybersécurité[15], et prévoit des procédures spécifiques d’évaluation de la conformité. Dans le domaine de l’aviation, l’objectif principal du règlement (UE) 2018/1139 du Parlement européen et du Conseil[16] est d’établir et de maintenir un niveau uniforme élevé de sécurité dans l’aviation civile dans l’Union. Ce règlement crée un cadre pour les exigences essentielles en matière de navigabilité des produits, pièces et équipements aéronautiques, y compris les logiciels, qui tiennent compte des obligations de protection contre les menaces relatives à la sécurité de l’information. Les produits comportant des éléments numériques auxquels s’applique le règlement (UE) 2019/2144 et les produits certifiés conformément au règlement (UE) 2018/1139 ne sont donc pas soumis aux exigences essentielles et aux procédures d’évaluation de la conformité énoncées dans le présent règlement. Le processus de certification prévu par le règlement (UE) 2018/1139 garantit le niveau d’assurance visé par le présent règlement.

(14) Le présent règlement établit des règles horizontales de cybersécurité qui ne sont pas spécifiques aux secteurs ou à certains produits comportant des éléments numériques. Néanmoins, des règles sectorielles ou spécifiques aux produits pourraient être introduites au niveau de l’Union, établissant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles établies par le présent règlement. Dans de tels cas, l’application du présent règlement aux produits comportant des éléments numériques relevant d’autres règles de l’Union établissant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles énoncées à l’annexe I du présent règlement peut être limitée ou exclue lorsque cette limitation ou exclusion est compatible avec le cadre réglementaire global applicable à ces produits et lorsque les règles sectorielles permettent d’atteindre un niveau de protection identique à celui prévu par le présent règlement. La Commission est habilitée à adopter des actes délégués pour modifier le présent règlement en identifiant de tels produits et règles. S’agissant de la législation de l’Union en vigueur à laquelle ces limitations ou exclusions devraient s’appliquer, le présent règlement contient des dispositions spécifiques visant à clarifier sa relation avec cette législation de l’Union.

(14 bis) Afin de garantir que les produits mis à disposition sur le marché pourront être réparés de manière efficace et que leur durabilité pourra être prolongée, il convient de prévoir une dérogation pour les pièces de rechange. Tel devrait être le cas des pièces de rechange destinées à réparer des produits anciens ayant été mis à disposition avant la date d’application du présent règlement, mais aussi des pièces de rechange qui ont déjà fait l’objet d’une procédure d’évaluation de la conformité en application du présent règlement et qui sont fournies par le même fabricant.

(14 ter) Le règlement (UE) 2022/2554 du Parlement européen et du Conseil[17] définit une série d’exigences visant à garantir la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières. La Commission devrait contrôler la mise en œuvre du présent règlement dans le secteur financier afin d’en garantir la compatibilité et d’éviter les chevauchements pour les produits comportant des éléments numériques susceptibles de relever également du règlement (UE) 2022/2554.

(14 quater) Les véhicules agricoles et forestiers qui entrent dans le champ d’application du règlement (UE) nº 167/2013 du Parlement européen et du Conseil[18] relèvent aussi du présent règlement. Les futures modifications du règlement (UE) nº 167/2013 devraient éviter les chevauchements réglementaires.

(15) Le règlement délégué (UE) 2022/30 de la Commission[19] précise que les exigences essentielles énoncées à l’article 3, paragraphe 3, point d) (dommages au réseau et mauvaise utilisation des ressources du réseau), point e) (données à caractère personnel et vie privée) et point f) (fraude), de la directive 2014/53/UE s’appliquent à certains équipements radio. La [décision d’exécution (UE) XXX/2022 de la Commission relative à une demande de normalisation adressée aux organisations européennes de normalisation] fixe des exigences pour l’élaboration de normes spécifiques précisant la manière dont ces trois exigences essentielles doivent être traitées. Les exigences essentielles établies par le présent règlement comprennent tous les éléments des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE. En outre, les exigences essentielles énoncées dans le présent règlement sont alignées sur les objectifs des exigences relatives à des normes spécifiques incluses dans cette demande de normalisation. Par conséquent, lorsque la Commission ▌ modifie le règlement délégué (UE) 2022/30 de sorte qu’il cesse de s’appliquer à certains produits soumis au présent règlement, la Commission et les organisations européennes de normalisation devraient tenir compte des travaux de normalisation menés dans le cadre de la décision d’exécution C(2022)5637 de la Commission relative à une demande de normalisation du règlement délégué RED [règlement (UE) 2022/30] lors de l’élaboration et du développement de normes harmonisées visant à faciliter la mise en œuvre du présent règlement. Si des fabricants se conforment au présent règlement avant sa date d’application, ils devraient être considérés comme se conformant également au règlement délégué (UE) 2022/30 de la Commission jusqu’à ce que celle-ci abroge ledit règlement délégué.

(16) La directive 85/374/CEE du Conseil[20] complète le présent règlement. Cette directive établit des règles en matière de responsabilité du fait des produits défectueux afin que les victimes puissent demander réparation lorsqu’un dommage a été causé par de tels produits. Elle établit le principe selon lequel le fabricant d’un produit est responsable des dommages causés par un défaut de sécurité de son produit, indépendamment de la faute («responsabilité objective»). Lorsqu’un tel défaut de sécurité consiste en un manque de mises à jour de sécurité après la mise sur le marché du produit, et qu’il en résulte des dommages, la responsabilité du fabricant pourrait être engagée. Le présent règlement devrait faire obligation aux fabricants de fournir de telles mises à jour de sécurité.

(17) Le présent règlement devrait s’appliquer sans préjudice du règlement (UE) 2016/679 du Parlement européen et du Conseil[21], et notamment de ses dispositions en vue de la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent ledit règlement. De telles opérations pourraient être intégrées dans un produit comportant des éléments numériques. La protection des données dès la conception et par défaut ainsi que la cybersécurité en général sont des éléments clés du règlement (UE) 2016/679. En protégeant les consommateurs et les organisations contre les risques de cybersécurité, les exigences essentielles en matière de cybersécurité énoncées dans le présent règlement doivent également contribuer à renforcer la protection des données à caractère personnel et de la vie privée des personnes. Des synergies en matière de normalisation et de certification sur les aspects de la cybersécurité devraient être envisagées dans le cadre de la coopération entre la Commission, les organisations européennes de normalisation, l’Agence de l’Union européenne pour la cybersécurité (ENISA), le comité européen de la protection des données institué par le règlement (UE) 2016/679 et les autorités nationales de contrôle de la protection des données. Il convient également de créer des synergies entre le présent règlement et la législation de l’Union en matière de protection des données dans le domaine de la surveillance du marché et du contrôle de l’application. À cette fin, les autorités nationales de surveillance du marché désignées en vertu du présent règlement devraient coopérer avec les autorités chargées de surveiller l’application de la législation de l’Union en matière de protection des données. Ces dernières devraient également avoir accès aux informations nécessaires à l’accomplissement de leurs tâches.

(18) Dans la mesure où leurs produits relèvent du champ d’application du présent règlement, les émetteurs de portefeuilles européens d’identité numérique visés à l’article [article 6 bis, paragraphe 2, du règlement (UE) nº 910/2014, tel que modifié par la proposition de règlement modifiant le règlement (UE) nº 910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité numérique] devraient se conformer à la fois aux exigences essentielles horizontales établies par le présent règlement et aux exigences de sécurité spécifiques établies par l’article [article 6 bis du règlement (UE) nº 910/2014, tel que modifié par la proposition de règlement modifiant le règlement (UE) nº 910/2014 en ce qui concerne l’établissement d’un cadre européen pour une identité numérique]. Afin de faciliter la conformité, les émetteurs de portefeuilles devraient pouvoir démontrer la conformité des portefeuilles européens d’identité numérique aux exigences énoncées respectivement dans les deux actes en certifiant leurs produits dans le cadre d’un schéma européen de certification de cybersécurité établi en vertu du règlement (UE) 2019/881 et pour lequel la Commission a établi, par acte d’exécution, une présomption de conformité pour le présent règlement, dans la mesure où le certificat, ou des parties de celui-ci, couvre ces exigences.

(18 bis) Lorsqu’ils procèdent à des achats de produits comportant des éléments numériques, les États membres devraient donner la priorité aux produits bénéficiant d’un niveau élevé de cybersécurité et d’une période d’assistance appropriée, afin d’améliorer leur capacité à répondre aux cybermenaces, ainsi que de garantir l’utilisation efficace des ressources publiques. En outre, les États membres devraient s’assurer que les fabricants remédient d’urgence et au plus tôt aux vulnérabilités qui affectent les produits comportant des éléments numériques objet desdits achats lorsque ces produits présentent un profil de risque important.

(19) Certaines tâches prévues par le présent règlement devraient être exécutées par l’ENISA, conformément à l’article 3, paragraphe 2, du règlement (UE) 2019/881. L’ENISA devrait notamment recevoir des notifications des fabricants concernant les vulnérabilités activement exploitées des produits comportant des éléments numériques ainsi que les incidents importants ayant une incidence sur la sécurité de ces produits. Les vulnérabilités à signalement obligatoire concernent les cas où un acteur exécute un code malveillant sur un produit comportant des éléments numériques afin de porter atteinte à la sécurité, par exemple en exploitant les failles des fonctions d’identification et d’authentification. Les vulnérabilités qui sont découvertes sans intention malveillante pour les besoins d’essais, d’enquêtes, de correction ou de divulgation de bonne foi afin de renforcer la sécurité ou la sûreté du propriétaire du système et de ses utilisateurs ne devraient pas faire l’objet de notifications obligatoires. Un incident important ayant une incidence sur la sécurité du produit comportant des éléments numériques s’entend d’un incident de cybersécurité qui peut porter gravement atteinte aux processus de développement, de production et d’entretien du fabricant et qui, par contrecoup, peut avoir d’importantes répercussions sur la sécurité de ses produits. Un tel incident important pourrait notamment désigner la situation dans laquelle l’auteur d’une attaque a réussi à corrompre le canal de diffusion par lequel le fabricant publie ses mises à jour de sécurité à l’intention des utilisateurs.

(19 bis) L’ENISA devrait également transmettre ces notifications aux centres de réponse aux incidents de sécurité informatique (CSIRT) concernés ou, respectivement, aux points de contact uniques pertinents des États membres désignés conformément à l’article [article X] de la directive (UE) 2022/2555, et informer les autorités de surveillance du marché concernées de la vulnérabilité notifiée. L’ENISA devrait veiller à ce que ces notifications soient reçues, stockées et transmises par l’intermédiaire de circuits sécurisés, et à ce que soient mis en place des protocoles clairs en ce qui concerne les personnes autorisées à accéder à ces notifications ainsi que les modalités de leur transmission ultérieure. L’ENISA devrait garantir la confidentialité de ces notifications, notamment en ce qui concerne les vulnérabilités pour lesquelles une mise à jour de sécurité n’est pas encore disponible. Sur la base des informations qu’elle recueille, l’ENISA devrait préparer un rapport technique bisannuel sur les tendances émergentes concernant les risques de cybersécurité dans les produits comportant des éléments numériques et le soumettre au groupe de coopération visé dans la directive (UE) 2022/2555. En outre, eu égard à son expertise et à son mandat, l’ENISA devrait être en mesure de soutenir le processus de mise en œuvre du présent règlement. Elle devrait notamment pouvoir proposer des activités conjointes à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations concernant une non-conformité potentielle au présent règlement, dans plusieurs États membres, de produits comportant des éléments numériques ou recenser les catégories de produits pour lesquelles des actions de contrôle coordonnées simultanées devraient être organisées. Dans des circonstances exceptionnelles, à la demande de la Commission, l’ENISA devrait être en mesure de procéder à des évaluations portant sur des produits comportant des éléments numériques spécifiques qui présentent un risque de cybersécurité important, lorsqu’une intervention immédiate est nécessaire pour préserver le bon fonctionnement du marché intérieur.

(20) Le marquage CE devrait être apposé sur les produits comportant des éléments numériques pour indiquer de manière visible, lisible et indélébile leur conformité avec le présent règlement, afin qu’ils puissent circuler librement dans le marché intérieur. Les États membres devraient s’abstenir de créer des entraves injustifiées à la mise sur le marché de produits comportant des éléments numériques qui satisfont aux exigences fixées dans le présent règlement et portent le marquage CE. En outre, lors de foires commerciales, d’expositions, de démonstrations ou d’événements similaires, les États membres ne devraient pas empêcher la présentation et l’utilisation de prototypes de produits comportant des éléments numériques.

(21) Afin de garantir que les fabricants puissent mettre à disposition des logiciels à des fins d’essai avant de soumettre leurs produits à une évaluation de la conformité, les États membres ne devraient pas empêcher la mise à disposition, dans une version non destinée à la production, de logiciels inachevés, tels que des versions alpha, des versions beta ou des versions candidates à la diffusion, pour autant que la version en question ne soit mise à disposition que pendant le temps nécessaire pour la tester et recueillir des commentaires. Les fabricants devraient veiller à ce que les logiciels mis à disposition dans ces conditions ne soient diffusés qu’après une évaluation des risques et soient conformes, dans la mesure du possible, aux exigences de sécurité relatives aux propriétés des produits comportant des éléments numériques imposées par le présent règlement. Les fabricants devraient également mettre en œuvre les exigences de gestion des vulnérabilités dans la mesure du possible. Les fabricants ne devraient pas forcer les utilisateurs à passer à des versions uniquement diffusées à des fins d’essais.

(22) Afin de garantir que les produits comportant des éléments numériques, lorsqu’ils sont mis sur le marché, ne présentent pas de risques de cybersécurité pour les personnes et les organisations, il convient de fixer des exigences essentielles pour ces produits. Lorsque ces produits sont modifiés ultérieurement, par des moyens physiques ou numériques, d’une manière qui n’est pas prévue par le fabricant et qui peut impliquer qu’ils ne satisfont plus aux exigences essentielles pertinentes, la modification devrait être considérée comme substantielle. Par exemple, les mises à jour de sécurité, mises à jour de logiciels ou réparations nécessaires, telles qu’une modification mineure du code source de nature à améliorer la sécurité et le fonctionnement, ne devraient pas être considérées comme des modifications substantielles pour autant qu’elles ne modifient pas un produit déjà mis sur le marché d’une manière qui soit susceptible d’en compromettre la conformité aux exigences applicables ou de modifier l’utilisation prévue pour laquelle le produit a été évalué. C’est généralement le cas des nouvelles versions des logiciels qui visent à améliorer les performances et à corriger des vulnérabilités. D’une manière générale, les mises à jour mineures de fonctionnalités, telles que des améliorations visuelles, l’ajout de nouvelles langues à l’interface utilisateur ou d’un nouvel ensemble de pictogrammes, ne devraient pas être considérées comme des modifications substantielles. Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques doit être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel modifie les fonctions, le type ou les performances initialement prévues du produit et que ces modifications n’ont pas été prévues dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque a augmenté en raison de la mise à jour du logiciel, comme il en va, en général, des révisions de logiciels. La Commission devrait publier des lignes directrices sur la manière de déterminer ce qui constitue une modification substantielle.

(23) Conformément à la notion généralement établie de modification substantielle pour les produits régis par la législation d’harmonisation de l’Union, chaque fois que se produit une modification substantielle de nature à affecter la conformité d’un produit au présent règlement ou lorsque l’utilisation prévue de ce produit change, il convient de vérifier la conformité du produit comportant des éléments numériques et, le cas échéant, de le soumettre à une nouvelle évaluation de la conformité. Le cas échéant, si le fabricant a recours à une évaluation de la conformité faisant intervenir un tiers, les modifications susceptibles d’entraîner des modifications substantielles devraient être notifiées à ce dernier.

(24) La remise à neuf, l’entretien et la réparation d’un produit comportant des éléments numériques, tels que définis dans le règlement [règlement sur l’écoconception], n’entraînent pas nécessairement une modification substantielle du produit, par exemple si l’utilisation et les fonctionnalités prévues ne sont pas modifiées et que le niveau de risque demeure inchangé. Toutefois, la mise à niveau d’un produit par le fabricant pourrait entraîner des modifications dans la conception et le développement du produit et donc avoir une incidence sur son utilisation prévue et sa conformité aux exigences énoncées dans le présent règlement.

(25) Les produits comportant des éléments numériques devraient être considérés comme critiques si l’exploitation de vulnérabilités potentielles de cybersécurité dans ces produits peut avoir de graves répercussions en raison, entre autres, de la fonctionnalité liée à la cybersécurité ou de l’utilisation prévue. En particulier, les vulnérabilités de produits comportant des éléments numériques qui ont une fonctionnalité liée à la cybersécurité, tels que les éléments sécurisés, peuvent provoquer une propagation des problèmes de sécurité tout au long de la chaîne d’approvisionnement. La gravité des effets d’un incident de cybersécurité peut également augmenter selon l’utilisation prévue du produit, par exemple s’il est employé dans un cadre industriel ou dans le contexte d’une entité essentielle du type visé à l’annexe [annexe I] de la directive (UE) 2022/2555 ou ▌l’exécution de fonctions critiques ou sensibles, qui ont une incidence sur la santé, la sécurité ou les droits fondamentaux.

(26) Les produits critiques comportant des éléments numériques devraient être soumis à des procédures d’évaluation de la conformité plus strictes, tout en conservant une approche proportionnée. À cette fin, les produits critiques comportant des éléments numériques devraient être divisés en deux catégories, reflétant le niveau de risque de cybersécurité lié à ces catégories de produits. Un cyberincident potentiel impliquant des produits de classe II pourrait avoir des conséquences négatives plus importantes qu’un incident impliquant des produits de classe I, par exemple en raison de la nature de leur fonction liée à la cybersécurité ou de leur utilisation prévue dans des environnements à haut risque, et ces produits devraient donc faire l’objet d’une procédure d’évaluation de la conformité plus stricte.

(27) Les catégories de produits critiques comportant des éléments numériques figurant à l’annexe III du présent règlement devraient être considérées comme regroupant les produits possédant les fonctionnalités essentielles du type figurant à l’annexe III du présent règlement. Par exemple, l’annexe III du présent règlement énumère les produits qui sont définis par leur fonctionnalité de base comme des microprocesseurs à usage général de classe I. Par conséquent, les microprocesseurs à usage général sont soumis à une évaluation de conformité obligatoire par un tiers. Ce n’est pas le cas pour d’autres produits qui ne sont pas explicitement mentionnés à l’annexe III du présent règlement et qui peuvent intégrer un microprocesseur à usage général. La Commission devrait adopter des actes délégués [au plus tard six mois après l’entrée en vigueur du présent règlement] pour préciser les définitions des catégories de produits relevant des classes I et II, telles qu’elles figurent à l’annexe III. Afin que la clarté et la sécurité juridiques et la prévisibilité soient assurées aux parties prenantes pour leur mise en conformité avec le présent règlement, la liste de l’annexe III ne devrait pouvoir être modifiée qu’au plus tôt deux ans après l’entrée en vigueur du présent règlement, puis pas avant deux ans plus tard. La Commission devrait mettre en place un processus dans le cadre duquel un produit proposé comme produit critique pourra être examiné selon une procédure collaborative par toutes les parties prenantes concernées, y compris les fabricants et les utilisateurs, afin d’évaluer le risque de sécurité posé par les éventuels problèmes de cybersécurité du produit, de déterminer si et dans quelle mesure qualifier le produit de critique réduirait ce risque et d’évaluer les coûts associés au fait de qualifier le produit de critique, avant d’adopter les actes délégués y afférents.

(27 bis) La Commission devrait créer un groupe d’experts sur la cyberrésilience (ci-après le «groupe d’experts»), de composition vaste et variée. Le groupe d’experts devrait apporter son soutien à la Commission pour garantir la bonne mise en œuvre du présent règlement, par exemple, en la conseillant sur les éventuelles modifications à apporter à la liste de produits critiques figurant à l’annexe III ou en réfléchissant à la manière dont les normes européennes et internationales peuvent contribuer à la mise en conformité avec les exigences essentielles du présent règlement. La Commission devrait consulter le groupe d’experts et procéder à des consultations publiques lors de l’élaboration d’actes délégués ou d’actes d’exécution en application du présent règlement en veillant à ce que toutes les parties prenantes puissent y apporter leurs nécessaires contributions.

(28) Le présent règlement aborde les risques de cybersécurité de manière ciblée. Les produits comportant des éléments numériques peuvent toutefois présenter d’autres risques pour la sécurité qui ne sont pas toujours liés à la cybersécurité, mais qui peuvent être la conséquence d’une atteinte à la sécurité. Ces risques devraient continuer à être réglementés par d’autres actes législatifs pertinents de l’Union relatifs aux produits. Si aucune autre législation d’harmonisation de l’Union ne leur est applicable, ils devraient être soumis au règlement (UE) 2023/988. Par conséquent, compte tenu du caractère ciblé du présent règlement, par dérogation à l’article 2, paragraphe 1, troisième alinéa, point b), du règlement (UE) 2023/988, le chapitre III, section 1, les chapitres V et VII, et les chapitres IX à XI du règlement (UE) 2023/988 devraient s’appliquer aux produits comportant des éléments numériques en ce qui concerne les risques pour la sécurité qui ne sont pas couverts par le présent règlement, si ces produits ne sont pas soumis à des exigences spécifiques imposées par une autre législation d’harmonisation de l’Union au sens de l’article 3, point 25), du règlement (UE) 2023/988.

(29) Les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article 6 du règlement[22] [règlement sur l’IA] qui relèvent du champ d’application du présent règlement devraient satisfaire aux exigences essentielles énoncées dans celui-ci. Lorsque ces systèmes d’IA à haut risque satisfont aux exigences essentielles du présent règlement, ils devraient être réputés conformes aux exigences en matière de cybersécurité énoncées à l’article [article 15] du règlement [règlement sur l’IA], dans la mesure où ces exigences sont couvertes par la déclaration UE de conformité, ou par certaines parties de celle-ci, délivrée en vertu du présent règlement. S’agissant des procédures d’évaluation de la conformité relatives aux exigences essentielles de cybersécurité d’un produit comportant des éléments numériques couvert par le présent règlement et classé comme système d’IA à haut risque, les dispositions pertinentes de l’article 43 du règlement [règlement sur l’IA] devraient de manière générale s’appliquer en lieu et place des dispositions correspondantes du présent règlement. Toutefois, l’application de cette règle ne devrait pas entraîner de réduction du niveau d’assurance nécessaire pour les produits critiques comportant des éléments numériques couverts par le présent règlement. Par conséquent, par dérogation à cette règle, les systèmes d’IA à haut risque qui relèvent du champ d’application du règlement [règlement sur l’IA] et sont également considérés comme des produits critiques comportant des éléments numériques en vertu du présent règlement et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI du règlement [règlement sur l’IA] devraient être soumis aux dispositions du présent règlement relatives à l’évaluation de la conformité en ce qui concerne les exigences essentielles énoncées dans celui-ci. Dans ce cas, pour tous les autres aspects couverts par le règlement [règlement sur l’IA], les dispositions correspondantes relatives à l’évaluation de la conformité fondée sur le contrôle interne énoncées à l’annexe VI du règlement [règlement sur IA] devraient s’appliquer.

(30) Les machines et produits connexes relevant du champ d’application du règlement (UE) 2023/1230 du Parlement européen et du Conseil[23] qui sont des produits comportant des éléments numériques au sens du présent règlement et pour lesquelles une déclaration de conformité a été délivrée sur la base du présent règlement devraient être considérés comme conformes aux exigences essentielles de santé et de sécurité énoncées à l’[annexe III, sections 1.1.9 et 1.2.1] du règlement (UE) 2023/1230, en ce qui concerne la protection contre la corruption ainsi que la sécurité et la fiabilité des systèmes de contrôle, pour autant que la conformité à ces exigences soit démontrée par la déclaration UE de conformité délivrée au titre du présent règlement.

(31) Le règlement [proposition de règlement relatif à l’espace européen des données de santé] complète les exigences essentielles énoncées dans le présent règlement. Les systèmes de dossiers médicaux électroniques («systèmes DME») relevant du champ d’application du règlement [proposition de règlement relatif à l’espace européen des données de santé] qui sont des produits comportant des éléments numériques au sens du présent règlement devraient donc également satisfaire aux exigences essentielles énoncées dans le présent règlement. Leurs fabricants devraient démontrer la conformité comme l’exige le règlement [proposition de règlement relatif à l’espace européen des données de santé]. Pour faciliter la mise en conformité, les fabricants peuvent établir une documentation technique unique contenant les éléments requis par les deux actes législatifs. Étant donné que le présent règlement ne couvre pas le SaaS en tant que tel, les systèmes DME proposés par l’intermédiaire du modèle de licence et de livraison du SaaS ne relèvent pas du champ d’application du présent règlement. De même, les systèmes DME mis au point et utilisés en interne ne relèvent pas du champ d’application du présent règlement, car ils ne sont pas mis sur le marché.

(32) Afin de garantir la sécurité des produits comportant des éléments numériques au moment de leur mise sur le marché et tout au long de leur cycle de vie, il est nécessaire de définir des exigences essentielles en matière de gestion de la vulnérabilité et des exigences essentielles en matière de cybersécurité concernant les propriétés des produits comportant des éléments numériques. Les fabricants devraient se conformer à toutes les exigences essentielles liées à la gestion des vulnérabilités tout au long de la période d’assistance, mais ils devraient en outre déterminer les autres exigences essentielles liées aux propriétés du produit pertinentes pour le type de produit concerné. À cette fin, les fabricants devraient entreprendre une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques afin de recenser les risques et les exigences essentielles pertinents, de mettre à disposition leurs produits sans vulnérabilité exploitable connue susceptible d’avoir une incidence sur la sécurité de ces produits et d’appliquer de manière appropriée des normes harmonisées, des spécifications communes ou des normes internationales appropriées.

(32 bis) Il convient que les fabricants déterminent la durée de la période d’assistance pendant laquelle ils veilleront à ce que les vulnérabilités soient traitées, en tenant dûment compte de divers critères, dont la durée de vie prévue du produit, la nature même de celui-ci, la disponibilité de l’environnement opérationnel, les attentes des utilisateurs, en particulier celles des consommateurs, et, si possible, la période d’assistance d’autres composants principaux intégrés dans le produit. Les fabricants devraient veiller à ce que la période d’assistance réponde de manière adéquate à la nécessité de promouvoir la cybersécurité sur le marché de l’Union et soit fixée en tenant dûment compte de la durée pendant laquelle un produit comportant des éléments numériques est censé être disponible sur le marché. Les autorités de surveillance du marché devraient s’assurer activement que les fabricants appliquent ces critères de manière adéquate. Les autorités de surveillance du marché et la Commission devraient recueillir et analyser des données sur les périodes d’assistance définies par les fabricants et les durées de vie prévues des produits, afin de s’assurer que le présent règlement remplit son but, qui est de favoriser la cybersécurité des produits comportant des éléments numériques. Ces analyses devraient notamment éclairer la Commission dans son évaluation du présent règlement une fois entré en application.

(32 ter) Les fabricants devraient veiller, lorsque cela est techniquement réalisable, à ce qu’une distinction claire soit établie entre les mises à jour de sécurité et les mises à jour de fonctionnalités des produits comportant des éléments numériques. Les mises à jour de sécurité, qui visent à diminuer le niveau de risque ou à remédier aux vulnérabilités éventuelles, devraient être installées automatiquement, en particulier en ce qui concerne les produits de consommation. Les utilisateurs devraient conserver la possibilité de désactiver cette fonctionnalité à l’aide d’un mécanisme clair et facile à utiliser. Lorsque le fabricant cesse de garantir le traitement des vulnérabilités du produit comportant des éléments numériques, il devrait en informer les utilisateurs de manière simple et claire au moyen, par exemple, de l’affichage d’une notification conviviale.

(32 quater) Lorsque des fabricants ont fixé une période d’assistance inférieure à cinq ans et qu’ils ne proposent plus de traitement des vulnérabilités pour le produit comportant des éléments numériques, ils devraient pouvoir mettre leur code source à la disposition des entreprises qui souhaitent fournir des mises à jour de sécurité et d’autres services similaires. Cet accès ne devrait être assuré que dans le cadre d’un accord contractuel qui protège la propriété du produit comportant des éléments numériques et empêche la diffusion du code source auprès du public, sauf lorsque ce code a déjà été fourni sous licence libre et ouverte.

(33) Afin d’améliorer la sécurité des produits comportant des éléments numériques mis sur le marché intérieur, il est nécessaire d’établir des exigences essentielles.Ces exigences essentielles ne devraient pas porter atteinte aux évaluations coordonnées des risques de l’Union portant sur les chaînes d’approvisionnement critiques et établies par ▌ la directive (UE) 2022/2555▌, qui tiennent compte à la fois des facteurs de risque techniques et, le cas échéant, non techniques, tels que l’influence indue d’un pays tiers sur les fournisseurs. En outre, elles devraient s’exercer sans préjudice des prérogatives des États membres d’établir des exigences supplémentaires qui tiennent compte de facteurs non techniques afin de garantir un niveau élevé de résilience, y compris celles définies dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée des risques de la sécurité des réseaux 5G à l’échelle de l’Union et dans la boîte à outils de l’UE sur la cybersécurité 5G convenue par le groupe de coopération SRI conformément à la directive (UE) 2022/2555.

(34) Afin de garantir que les CSIRT nationaux et le guichet unique désigné conformément à ▌la directive (UE) 2022/2555 reçoivent les informations nécessaires à l’accomplissement de leurs tâches et à l’élévation du niveau global de cybersécurité des entités essentielles et importantes, et afin de garantir le fonctionnement efficace des autorités de surveillance du marché, les fabricants de produits comportant des éléments numériques devraient notifier à l’ENISA les vulnérabilités activement exploitées. Étant donné que la plupart des produits comportant des éléments numériques sont commercialisés sur l’ensemble du marché intérieur, toute vulnérabilité exploitée dans un de ces produits devrait être considérée comme une menace pour le fonctionnement du marché intérieur. Les fabricants devraient également ▌communiquer les vulnérabilités corrigées à la base de données européenne sur les vulnérabilités établie en vertu de la directive (UE) 2022/2555 et gérée par l’ENISA▌.L’ENISA devrait également publier les vulnérabilités notifiées dans la base de données européenne sur les vulnérabilités et devrait disposer d’une procédure appropriée en matière de publication afin de laisser suffisamment de temps aux fabricants, d’une part, pour développer les mises à jour de sécurité nécessaires, et aux utilisateurs, d’autre part, pour mettre en œuvre ces mises à jour ou prendre toute autre mesure corrective ou d’atténuation. La base de données européenne sur les vulnérabilités devrait aider les fabricants à détecter les vulnérabilités exploitables constatées dans leurs produits afin que des produits sûrs soient mis sur le marché.

(34 bis) L’Union doit tirer le meilleur parti possible de son ouverture économique, tout en réduisant au minimum les risques résultant des dépendances économiques à l’égard des fournisseurs à haut risque, grâce à un cadre stratégique commun pour la sécurité économique de l’Union[24]. Les dépendances à l’égard de fournisseurs à haut risque de produits critiques comportant des éléments numériques représentent un risque stratégique auquel il faut s’attaquer au niveau de l’Union, en particulier lorsque les produits critiques comportant des éléments numériques sont destinés à être utilisés par des entités essentielles du type visé dans la directive (UE) 2022/2555. Ces risques peuvent être liés à la juridiction dont relève le fabricant, aux caractéristiques de son actionnariat et aux liens de contrôle qui le rattachent au gouvernement d’un pays tiers où il est établi, en particulier si le pays se livre à des activités d’espionnage économique ou si sa législation impose un accès arbitraire aux opérations ou aux données de l’entreprise de quelque nature qu’elles soient, y compris les données commercialement sensibles, et peut imposer des obligations à des fins de renseignement sans garde-fous démocratiques ni mécanisme de contrôle ni procédure régulière ni droit de recours devant une juridiction indépendante. Les autorités de surveillance du marché et la Commission devraient adresser des conseils et des recommandations ciblées aux opérateurs économiques afin que les mesures correctives appropriées soient mises en place lorsqu’il existe des raisons suffisantes de considérer qu’un produit comportant des éléments numériques présente un risque de cybersécurité important au vu de tels facteurs de risque non techniques.

(35) Les fabricants devraient également signaler à l’ENISA tout incident important ayant des répercussions sur la sécurité du produit comportant des éléments numériques. Nonobstant les obligations de signalement d’incidents prévues par la directive (UE) 2022/2555 pour les entités essentielles et importantes, il est essentiel que l’ENISA, les guichets uniques désignés par les États membres conformément à l’article [article X] de la directive (UE) 2022/2555 et les autorités de surveillance du marché reçoivent des informations des fabricants de produits comportant des éléments numériques leur permettant d’évaluer la sécurité de ces produits. Afin de garantir que les utilisateurs puissent réagir rapidement aux incidents importants ayant un impact sur la sécurité de leurs produits comportant des éléments numériques, les fabricants devraient également informer leurs utilisateurs de tout incident de ce type et, le cas échéant, de toute mesure corrective que les utilisateurs peuvent mettre en œuvre pour atténuer l’impact de l’incident, par exemple en publiant des informations pertinentes sur leur site internet ou, lorsque le fabricant est en mesure de contacter les utilisateurs et lorsque les risques le justifient, en contactant directement les utilisateurs.

(35 bis) Les fabricants et autres entités et acteurs devraient également pouvoir signaler spontanément à l’ENISA d’autres incidents de cybersécurité, cybermenaces, incidents évités et toute autre vulnérabilité.

(35 ter) L’ENISA devrait mettre en place un mécanisme de signalement numérique sécurisé qui, destiné à simplifier la communication d’informations par les fabricants, devrait servir de point d’entrée unique pour les obligations en matière de communication d’informations établies en vertu du présent règlement. Il arrive souvent qu’en vertu d’obligations de notification incluses dans différents instruments juridiques, les fabricants de produits comportant des éléments numériques aient à signaler à différentes autorités à la fois un incident particulier du fait des caractéristiques de ce dernier. Le mécanisme institué pourrait, dans la mesure du possible, permettre la communication d’informations au titre d’autres actes législatifs de l’Union tels que le règlement (UE) 2016/679, la directive (UE) 2022/2555 et la directive 2002/58/CE du Parlement européen et du Conseil[25]. Il pourrait également servir à réaliser les notifications spontanées que les fabricants et autres entités et acteurs sont amenés à effectuer. L’ENISA devrait s’assurer qu’ils sont dotés de procédures leur permettant de traiter les informations classifiées de manière sécurisée et confidentielle.

(35 quater) Dans certains États membres, les entités et les personnes physiques qui recherchent des vulnérabilités peuvent encourir une responsabilité pénale et civile. La Commission devrait publier des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et l’instauration d’une exemption de responsabilité civile pour leurs activités.

(36) Les fabricants de produits comportant des éléments numériques devraient mettre en place des politiques de divulgation coordonnée des vulnérabilités afin de faciliter le signalement desdites vulnérabilités par des personnes ou des entités soit directement au fabricant soit indirectement et, sur demande, de manière anonyme, par l’intermédiaire des CSIRT désignés comme coordinateurs aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. Les politiques de divulgation coordonnée des vulnérabilités mises en place par les fabricants devraient définir un processus structuré dans lequel les vulnérabilités sont signalées à un fabricant de manière à lui donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. Étant donné que les informations sur les vulnérabilités exploitables dans les produits comportant des éléments numériques largement utilisés peuvent être vendues à des prix élevés sur le marché noir, les fabricants de ces produits devraient pouvoir utiliser, dans le cadre de leurs politiques de divulgation coordonnée des vulnérabilités, des programmes visant à encourager le signalement des vulnérabilités en veillant à ce que les personnes ou les entités soient reconnues et récompensées pour leurs efforts (dans le cadre de programmes dits de «prime aux bogues»).

(36 bis) Les États membres et l’ENISA devraient veiller à ce que les vulnérabilités signalées en application du présent règlement ne soient pas utilisées par des organismes publics à des fins de renseignement ou de surveillance ou à des fins offensives. 

(37) Afin de faciliter l’analyse de la vulnérabilité, les fabricants devraient répertorier et documenter les composants contenus dans les produits comportant des éléments numériques, notamment en établissant une nomenclature des logiciels. Une nomenclature des logiciels peut fournir à ceux qui fabriquent, achètent et exploitent des logiciels des informations de nature à améliorer leur compréhension de la chaîne d’approvisionnement, ce qui présente de multiples avantages. Elle peut plus particulièrement aider les fabricants et les utilisateurs à suivre les vulnérabilités et les risques émergents nouvellement apparus. Il est particulièrement important pour les fabricants de s’assurer que leurs produits ne contiennent pas de composants vulnérables développés par des tiers. Toutefois, les fabricants ne devraient pas être tenus de rendre publique la nomenclature des logiciels, car cela pourrait avoir des conséquences inattendues sur la cybersécurité de leurs produits comportant des éléments numériques.

(38) Afin de faciliter l’évaluation de la conformité aux exigences établies par le présent règlement, il convient de prévoir une présomption de conformité pour les produits dont les éléments numériques sont conformes à des normes harmonisées, qui traduisent les exigences essentielles du présent règlement en spécifications techniques détaillées et sont adoptées conformément au règlement (UE) nº 1025/2012 du Parlement européen et du Conseil[26]. Le règlement (UE) nº 1025/2012 prévoit une procédure pour la formulation d’objections à l’encontre de normes harmonisées lorsque celles-ci ne satisfont pas pleinement aux exigences du présent règlement. Le processus de normalisation devrait garantir une représentation équilibrée des intérêts et la participation effective des parties prenantes de la société civile, y compris des organisations de consommateurs. Il convient également de tenir compte des normes internationales afin de simplifier l’élaboration de normes harmonisées et la mise en œuvre du présent règlement et de réduire les obstacles techniques non tarifaires au commerce.

(38 bis) Compte tenu de l’étendue du champ d’application du présent règlement, l’élaboration en temps utile de normes harmonisées représente un défi de taille. La Commission devrait veiller à ce que des normes harmonisées soient mises en place avant la date d’application du présent règlement afin d’assurer sa bonne mise en œuvre.

(39) Le règlement (UE) 2019/881 établit un cadre européen de certification volontaire de cybersécurité pour les produits, processus et services TIC. Les schémas européens de certification de cybersécurité peuvent offrir un cadre commun de confiance pour les utilisateurs des produits comportant des éléments numériques relevant du présent règlement. Le présent règlement devrait dès lors créer des synergies avec le règlement (UE) 2019/881. Afin de faciliter l’évaluation de la conformité aux exigences énoncées dans le présent règlement, les produits comportant des éléments numériques qui sont certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma de cybersécurité conformément au règlement (UE) 2019/881 et qui ont été désignés par la Commission dans un acte d’exécution sont présumés conformes aux exigences essentielles du présent règlement pour autant que le certificat ou la déclaration de conformité ou des parties de ceux-ci couvrent ces exigences. La nécessité de nouveaux schémas européens de certification de cybersécurité pour les produits comportant des éléments numériques devrait être évaluée à la lumière du présent règlement. Ces futurs schémas européens de certification de cybersécurité, destinés à couvrir les produits comportant des éléments numériques, devraient tenir compte des exigences essentielles énoncées dans le présent règlement et faciliter le respect de celui-ci. Il convient d’habiliter la Commission à préciser, au moyen d’actes délégués, les schémas européens de certification de cybersécurité qui peuvent être utilisés pour démontrer la conformité des produits comportant des éléments numériques aux exigences essentielles énoncées dans le présent règlement. En outre, afin d’éviter une charge administrative excessive pour les fabricants, il ne devrait y avoir aucune obligation pour les fabricants de faire procéder à une évaluation de conformité par un tiers conformément au présent règlement pour les exigences correspondantes lorsqu’un certificat de cybersécurité a été délivré au titre desdits schémas européens de certification de cybersécurité, à un niveau substantiel ou élevé.

(39 bis) Afin de faciliter le respect du présent règlement, la Commission devrait mettre à jour le programme de travail glissant de l’Union et demander à l’ENISA de préparer les schémas candidats manquants conformément à l’article 48 du règlement (UE) 2019/881.

(40) Dès l’entrée en vigueur de l’acte d’exécution établissant le [règlement d’exécution (UE)°.../... de la Commission du XXX relatif au schéma européen de certification de cybersécurité fondé sur des critères communs] (CCUE) portant sur les produits matériels couverts par le présent règlement, tels que les modules de sécurité matériels et les microprocesseurs, la Commission peut préciser, au moyen d’un acte d’exécution, comment la certification CCUE crée une présomption de conformité aux exigences essentielles visées à l’annexe I du présent règlement ou à certaines de ses parties. En outre, cet acte d’exécution peut définir comment un certificat délivré au titre de la CCUE élimine l’obligation pour les fabricants d’avoir recours à une évaluation par un tiers, comme l’exige le présent règlement, pour les exigences correspondantes.

(41) En l’absence de normes harmonisées ou lorsque les normes harmonisées ne répondent pas suffisamment aux exigences essentielles du présent règlement, la Commission devrait pouvoir adopter des spécifications communes au moyen d’actes délégués après avoir tenu compte des normes internationales. Il faut voir dans cette possibilité une «solution de repli» exceptionnelle, lorsque le processus de normalisation est au point mort, lorsque surviennent des retards indus dans la mise en place de normes harmonisées appropriées ou lorsque les publications ne répondent pas à la demande initiale de la Commission. Afin de faciliter l’évaluation de la conformité aux exigences essentielles prévues par le présent règlement, il convient d’établir une présomption de conformité pour les produits comportant des éléments numériques répondant aux spécifications communes adoptées par la Commission en vertu du présent règlement, aux fins de l’expression de spécifications techniques détaillées sur la base de ces exigences.

(42) Il y a lieu que les fabricants établissent une déclaration UE de conformité afin de fournir les informations requises par le présent règlement concernant la conformité des produits comportant des éléments numériques aux exigences prévues par le présent règlement et, le cas échéant, par d’autres législations d’harmonisation de l’Union applicables. Les fabricants peuvent également être tenus d’établir une déclaration UE de conformité en vertu d’une autre législation de l’Union. Pour garantir un accès effectif aux informations à des fins de surveillance du marché, une déclaration UE de conformité unique attestant le respect de tous les actes de l’Union devrait être établie. Pour réduire la charge administrative pesant sur les opérateurs économiques, cette déclaration UE de conformité unique devrait pouvoir être un dossier composé des différentes déclarations de conformité pertinentes.

(43) Le marquage CE, qui matérialise la conformité d’un produit, est le résultat visible de tout un processus englobant l’évaluation de conformité au sens large. Le règlement (CE) nº 765/2008 du Parlement européen et du Conseil[27] établit les principes généraux régissant le marquage CE. Les règles régissant l’apposition du marquage CE sur les produits comportant des éléments numériques devraient être définies par le présent règlement. Le marquage CE devrait être le seul marquage garantissant la conformité d’un produit comportant des éléments numériques aux exigences du présent règlement.

(44) Afin de permettre aux opérateurs économiques de démontrer qu’ils respectent les exigences essentielles énoncées dans le présent règlement et aux autorités de surveillance du marché de s’assurer que les produits comportant des éléments numériques mis à disposition sur le marché sont conformes à ces exigences, il est nécessaire de prévoir des procédures d’évaluation de la conformité. La décision nº 768/2008/CE du Parlement européen et du Conseil[28] établit des modules pour l’évaluation de la conformité, dont les procédures sont proportionnées au risque encouru et au niveau de sécurité requis. Afin d’assurer la cohérence entre les secteurs et d’éviter une multiplication de variantes ad hoc, des procédures adéquates ont été fondées sur ces modules afin de vérifier la conformité des produits comportant des éléments numériques aux exigences essentielles énoncées dans le présent règlement. Les procédures d’évaluation de la conformité devraient examiner et vérifier les exigences relatives aux produits et aux processus couvrant l’ensemble du cycle de vie des produits comportant des éléments numériques, y compris la planification, la conception, le développement ou la production, les essais et l’entretien du produit.

(45) En règle générale, l’évaluation de la conformité des produits comportant des éléments numériques devrait être fondée sur les risques et, dans la plupart des cas, effectuée par le fabricant sous sa propre responsabilité, conformément à la procédure fondée sur le module A de la décision 768/2008/CE. Le fabricant devrait conserver la possibilité de choisir une procédure d’évaluation de la conformité plus stricte faisant intervenir un tiers. Si le produit est classé comme produit critique de classe I, une assurance supplémentaire est requise pour démontrer la conformité aux exigences essentielles énoncées dans le présent règlement. Le fabricant devrait appliquer des normes harmonisées, des spécifications communes ou des schémas de certification de cybersécurité au titre du règlement (UE) 2019/881, répertoriés par la Commission dans un acte d’exécution, s’il souhaite effectuer l’évaluation de la conformité sous sa propre responsabilité (module A). Si ces normes harmonisées, spécifications communes ou schémas de certification de cybersécurité sont en vigueur depuis un temps minimum suffisant pour permettre aux fabricants de les adopter et si le fabricant ne les applique pas▌, il devrait se soumettre à une évaluation de la conformité par un tiers. Compte tenu de la charge administrative pesant sur les fabricants et du fait que la cybersécurité joue un rôle important dans la phase de conception et de développement des produits matériels et immatériels comportant des éléments numériques, les procédures d’évaluation de la conformité fondées respectivement sur les modules B+C ou H de la décision 768/2008/CE ont été retenues comme étant les plus appropriées pour évaluer de manière proportionnée et efficace la conformité des produits critiques comportant des éléments numériques. Le fabricant qui fait procéder à l’évaluation de conformité par un tiers peut choisir la procédure qui convient le mieux à son processus de conception et de production. Compte tenu du risque de cybersécurité encore plus grand lié à l’utilisation de produits classés comme produits critiques de classe II, l’évaluation de la conformité de ces produits devrait toujours prévoir l’intervention d’un tiers.

(46) Si la création de produits matériels comportant des éléments numériques nécessite généralement des efforts substantiels de la part des fabricants tout au long des phases de conception, de développement et de production, la création de produits comportant des éléments numériques sous la forme de logiciels se concentre presque exclusivement sur la conception et le développement, tandis que la phase de production joue un rôle mineur. Néanmoins, dans de nombreux cas, les produits logiciels doivent encore être compilés, construits, conditionnés, mis à disposition pour téléchargement ou copiés sur des supports physiques avant leur mise sur le marché. Ces activités devraient être assimilées à des activités de production lors de l’application des modules d’évaluation pertinents pour vérifier la conformité du produit aux exigences essentielles du présent règlement au cours des phases de conception, de développement et de production.

(47) Afin de permettre la réalisation d’une évaluation de la conformité par un tiers pour des produits comportant des éléments numériques, les autorités nationales notifiantes devraient notifier les organismes d’évaluation de la conformité à la Commission et aux autres États membres, pour autant qu’ils respectent un ensemble d’exigences, notamment en matière d’indépendance, de compétence et d’absence de conflits d’intérêts.

(48) Afin d’assurer un niveau de qualité homogène des évaluations de la conformité de produits comportant des éléments numériques, il est également nécessaire de définir les exigences auxquelles doivent satisfaire les autorités notifiantes et les autres organismes qui participent à l’évaluation, à la notification et à la surveillance des organismes notifiés. Le système défini dans le présent règlement devrait être complété par le système d’accréditation prévu dans le règlement (CE) nº 765/2008. Dans la mesure où l’accréditation constitue un moyen essentiel pour vérifier la compétence des organismes d’évaluation de la conformité, il y a lieu d’y avoir également recours aux fins de la notification.

(49) L’accréditation organisée de manière transparente, ainsi que le prévoit le règlement (CE) nº 765/2008 pour assurer le niveau nécessaire de confiance dans les certificats de conformité, devrait être considérée par les autorités publiques nationales dans l’ensemble de l’Union comme le moyen privilégié de démontrer la compétence technique des organismes d’évaluation de la conformité. Cependant, les autorités nationales peuvent estimer qu’elles disposent des moyens appropriés pour procéder elles-mêmes à cette évaluation. Dans ce cas, afin de garantir le niveau suffisant de crédibilité des évaluations réalisées par d’autres autorités nationales, elles devraient fournir à la Commission et aux autres États membres les preuves documentaires nécessaires démontrant que les organismes d’évaluation de la conformité qui font l’objet de ladite évaluation satisfont aux exigences réglementaires pertinentes.

(50) Les organismes d’évaluation de la conformité sous-traitent fréquemment une partie de leurs activités liées à l’évaluation de la conformité, ou ont recours à une filiale. Afin de préserver le niveau de protection requis pour les produits comprenant des éléments numériques destinés à être mises sur le marché, il est primordial que les sous-traitants et les filiales qui réalisent l’évaluation de la conformité respectent les mêmes exigences que les organismes notifiés pour ce qui est de la réalisation des tâches d’évaluation de la conformité.

(51) L’autorité notifiante devrait envoyer la notification d’un organisme d’évaluation de la conformité à la Commission et aux autres États membres par l’intermédiaire du système d’information NANDO (New Approach Notified and Designated Organisations). Le système NANDO est l’outil de notification électronique développé et géré par la Commission, où une liste de tous les organismes notifiés peut être trouvée.

(52) Étant donné que les organismes notifiés peuvent offrir leurs services dans l’ensemble de l’Union, il convient de donner aux autres États membres et à la Commission la possibilité de soulever des objections à l’égard d’un organisme notifié. Il est donc important de prévoir une période pendant laquelle d’éventuels doutes ou inquiétudes quant à la compétence d’organismes d’évaluation de la conformité peuvent être levés, avant que ceux-ci ne débutent leurs activités en tant qu’organismes notifiés.

(53) Pour des raisons de compétitivité, il est essentiel que les organismes notifiés appliquent les procédures d’évaluation de la conformité sans imposer une charge inutile aux opérateurs économiques, en particulier pour les microentreprises et les petites et moyennes entreprises. À cet égard, les États membres devraient, avec l’aide de la Commission, s’assurer de la disponibilité suffisante de professionnels qualifiés permettant aux organismes notifiés de s’acquitter de leurs missions de manière efficace, pour ainsi réduire autant que possible les obstacles éventuels, éviter les goulets d’étranglement et faciliter la mise en conformité des opérateurs économiques au présent règlement. Pour les mêmes raisons et afin de garantir l’égalité de traitement des opérateurs économiques, il y a lieu de veiller à une application technique cohérente desdites procédures. La meilleure manière d’atteindre cet objectif serait probablement d’assurer une coordination et une coopération appropriées entre les organismes notifiés.

(53 bis) Pour une plus grande efficacité et une plus grande transparence, les États membres devraient, avant la date d’application du présent règlement, veiller à la disponibilité en nombre suffisant dans l’Union d’organismes notifiés à même de réaliser des évaluations de la conformité. La Commission devrait suivre l’évolution du marché et aider les États membres dans cette démarche afin d’éviter les goulets d’étranglement et les obstacles à l’entrée sur le marché.

(54) La surveillance du marché est un outil essentiel pour assurer l’application correcte et uniforme de la législation de l’Union. Il convient dès lors de mettre en place le cadre juridique dans lequel la surveillance du marché pourra être effectuée de manière appropriée. Les règles relatives à la surveillance du marché de l’Union et au contrôle des produits entrant sur le marché de l’Union prévues par le règlement (UE) 2019/1020 du Parlement européen et du Conseil[29] s’appliquent aux produits comportant des éléments numériques couverts par le présent règlement.

(55) Conformément au règlement (UE) 2019/1020, les autorités de surveillance du marché sont chargées de la surveillance du marché sur le territoire de l’État membre concerné. Le présent règlement ne devrait pas empêcher les États membres de choisir les autorités compétentes pour l’accomplissement de ces tâches. Chaque État membre devrait désigner une ou plusieurs autorités de surveillance du marché sur son territoire. Les États membres peuvent choisir de désigner toute autorité existante ou nouvelle pour agir en qualité d’autorité de surveillance du marché, y compris les autorités nationales compétentes visées dans la directive (UE) 2022/2555 ou les autorités nationales de certification de cybersécurité désignées conformément à l’article 58 du règlement (UE) 2019/881. Les opérateurs économiques devraient coopérer pleinement avec les autorités de surveillance du marché et les autres autorités compétentes. Chaque État membre devrait communiquer à la Commission ainsi qu’aux autres États membres le nom de ses autorités de surveillance du marché et les domaines de compétence de chacune de ces autorités et veiller à ce qu’elles disposent des ressources et compétences nécessaires pour effectuer les tâches de surveillance qui leur incombent en vertu du présent règlement. Conformément à l’article 10, paragraphes 2 et 3, du règlement (UE) 2019/1020, chaque État membre devrait désigner un bureau de liaison unique chargé, entre autres, de représenter la position coordonnée des autorités de surveillance du marché et de contribuer à la coopération entre les autorités de surveillance du marché des différents États membres.

(56) Il convient de créer un groupe de coopération administrative (ADCO) chargé spécifiquement de la cyberrésilience des produits comportant des éléments numériques pour l’application uniforme du présent règlement, conformément à l’article 30, paragraphe 2, du règlement (UE) 2019/1020. Cet ADCO devrait être composé de représentants des autorités de surveillance du marché nationales et, si nécessaire, de représentants des bureaux de liaison uniques. La Commission devrait soutenir et encourager la coopération entre les autorités de surveillance du marché par l’intermédiaire du réseau de l’Union pour la conformité des produits, institué sur la base de l’article 29 du règlement (UE) 2019/1020 et composé de représentants de chaque État membre, dont un représentant de chaque bureau de liaison unique visé à l’article 10 du règlement (UE) 2019/1020 et un expert national facultatif, les présidents des ADCO et des représentants de la Commission. La Commission devrait participer aux réunions du réseau, de ses sous-groupes et de l’ADCO concerné. Elle devrait également assister cet ADCO au moyen d’un secrétariat exécutif qui lui fournirait une assistance technique et logistique.

(57) Afin de garantir des mesures opportunes, proportionnées et efficaces en ce qui concerne les produits comportant des éléments numériques présentant un risque de cybersécurité important, il convient de prévoir une procédure de sauvegarde de l’Union en vertu de laquelle les parties intéressées sont informées des mesures qu’il est prévu de prendre à l’égard de ces produits. Cette procédure de sauvegarde devrait également permettre aux autorités de surveillance du marché, en coopération avec les opérateurs économiques concernés, d’agir, le cas échéant, à un stade plus précoce. Lorsqu’il y a accord entre les États membres et la Commission quant au bien-fondé d’une mesure prise par un État membre, une intervention de la Commission ne devrait plus être nécessaire, sauf dans les cas où la non-conformité peut être attribuée aux insuffisances d’une norme harmonisée.

(58) Dans certains cas, un produit comportant des éléments numériques conforme au présent règlement peut néanmoins présenter un risque de cybersécurité important ou présenter un risque pour la santé ou la sécurité des personnes, pour le respect des obligations découlant du droit de l’Union ou du droit national visant à protéger les droits fondamentaux, la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services offerts au moyen d’un système d’information électronique par des entités essentielles du type visé à ▌la directive (UE) 2022/2555 ou pour d’autres aspects de la protection de l’intérêt public. Il est donc nécessaire d’établir des règles permettant d’atténuer ces risques. En conséquence, les autorités de surveillance du marché devraient prendre des mesures pour demander à l’opérateur économique de veiller à ce que le produit ne présente plus ce risque, de le rappeler ou de le retirer, en fonction du risque. Dès qu’une autorité de surveillance du marché restreint ou interdit ainsi la libre circulation d’un produit, l’État membre devrait immédiatement informer la Commission et les autres États membres des mesures provisoires prises, en justifiant sa décision. Lorsqu’une autorité de surveillance du marché adopte de telles mesures à l’encontre de produits présentant un risque, la Commission devrait entamer sans retard des consultations avec les États membres et le ou les opérateurs économiques concernés et évaluer la mesure nationale. En fonction des résultats de cette évaluation, la Commission devrait décider si la mesure nationale est justifiée ou non. La Commission devrait adresser sa décision à tous les États membres et la communiquer immédiatement à ceux-ci ainsi qu’à l’opérateur ou aux opérateurs économiques concernés. Si la mesure est jugée justifiée, la Commission peut également envisager d’adopter des propositions de révision de la législation de l’Union concernée.

(59) Pour les produits comportant des éléments numériques présentant un risque de cybersécurité important, et lorsqu’il y a lieu de croire que ces produits ne sont pas conformes au présent règlement, ou pour les produits qui sont conformes au présent règlement, mais présentent d’autres risques importants, tels que des risques pour la santé ou la sécurité des personnes, les droits fondamentaux ou la fourniture de services par des entités essentielles du type visé à ▌la directive (UE) 2022/2555, la Commission peut demander à l’ENISA de procéder à une évaluation. Sur la base de cette évaluation, la Commission peut adopter, au moyen d’actes d’exécution, des mesures correctives ou restrictives au niveau de l’Union, y compris ordonner le retrait du marché ou le rappel des produits concernés, dans un délai raisonnable, proportionné à la nature du risque. La Commission ne peut recourir à une telle intervention que dans des circonstances exceptionnelles qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur, et uniquement lorsqu’aucune mesure efficace n’a été prise par les autorités de surveillance pour remédier à la situation. De telles circonstances exceptionnelles peuvent être des situations d’urgence dans lesquelles, par exemple, un produit non conforme est largement mis à disposition par le fabricant dans plusieurs États membres, utilisé également dans des secteurs clés par des entités relevant du champ d’application de la directive (UE) 2022/2555, alors qu’il contient des vulnérabilités connues qui sont exploitées par des acteurs malveillants et pour lesquelles le fabricant ne met pas de correctifs à disposition.  La Commission ne peut intervenir dans de telles situations d’urgence que pour la durée des circonstances exceptionnelles et si le non-respect du présent règlement ou les risques importants présentés persistent.

(60) Lorsqu’il existe des indices de non-respect du présent règlement dans plusieurs États membres, les autorités de surveillance du marché devraient pouvoir mener des activités conjointes avec d’autres autorités, en vue de vérifier la conformité et d’identifier les risques de cybersécurité des produits comportant des éléments numériques.

(61) Les actions de contrôle coordonnées simultanées (opérations «coup de balai») sont des mesures d’application spécifiques prises par les autorités de surveillance du marché qui peuvent renforcer davantage la sécurité des produits. Ces «coups de balai» devraient avoir lieu, en particulier, lorsque les tendances du marché, les plaintes des consommateurs ou d’autres indications suggèrent que certaines catégories de produits présentent souvent des risques de cybersécurité. L’ENISA devrait soumettre aux autorités de surveillance du marché des propositions concernant des catégories de produits pour lesquelles des actions simultanées devraient être organisées, sur la base, entre autres, des notifications de vulnérabilités de produits et d’incidents qu’elle reçoit. La Commission devrait également coordonner l’action des autorités de surveillance du marché lors des inspections régulières des produits comportant des éléments numériques qui pourraient présenter un risque de sécurité pour l’Union, notamment au vu du facteur de risque non technique.

(62) Afin de garantir que le cadre réglementaire puisse être adapté si nécessaire, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité en ce qui concerne les mises à jour de la liste des produits critiques figurant à l’annexe III et de préciser les définitions de ces catégories de produits. Il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article pour lui permettre de répertorier les produits comportant des éléments numériques couverts par d’autres règles de l’Union qui atteignent un niveau de protection identique à celui du présent règlement, en précisant si une limitation ou une exclusion du champ d’application du présent règlement serait nécessaire ainsi que la portée de cette limitation, le cas échéant. Il convient également de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article en ce qui concerne la spécification des schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 qui peuvent être utilisés pour démontrer la conformité aux exigences essentielles ou à une partie de celles-ci énoncées à l’annexe I du présent règlement, la possibilité de rendre obligatoire la certification de certains produits hautement critiques comportant des éléments numériques sur la base des critères de criticité énoncés dans le présent règlement, ainsi que de préciser le contenu minimal de la déclaration UE de conformité; et de compléter les éléments à inclure dans la documentation technique. Le pouvoir d’adopter des actes délégués devrait également être délégué à la Commission pour préciser le format et les éléments de la nomenclature des logiciels et préciser davantage le format et la procédure des notifications relatives aux vulnérabilités activement exploitées et aux incidents significatifs soumis à l’ENISA par les fabricants. Si besoin est, la Commission devrait être habilitée à adopter des actes délégués en vue d’adopter des spécifications communes concernant les exigences essentielles énoncées à l’annexe I. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»[30]. En particulier, afin d’assurer une participation égale à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents en même temps que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission participant à la préparation des actes délégués. Afin de garantir des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission, afin qu’elle puisse: Aux fins de l’élaboration d’actes délégués en vertu du présent règlement, la Commission devrait consulter le groupe d’experts sur la cyberrésilience. La Commission devrait également mener un dialogue structurel régulier avec les opérateurs économiques et procéder à des consultations publiques, notamment aux fins d’évaluer le champ d’application du présent règlement et de déterminer s’il y a lieu d’inclure ou d’exclure certaines catégories de produits.

(63) Afin de garantir des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission, afin qu’elle puisse: ▌établir des spécifications techniques pour les systèmes d’étiquetage, y compris les étiquettes harmonisées, les pictogrammes ou toute autre marque liée à la sécurité des produits comportant des éléments numériques, ainsi que des mécanismes visant à promouvoir leur utilisation; décider de mesures correctives ou restrictives au niveau de l’Union dans des circonstances exceptionnelles qui justifient une intervention immédiate afin de préserver le bon fonctionnement du marché intérieur. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil[31].

(64) Afin de garantir une coopération constructive et en toute confiance entre les autorités de surveillance du marché au niveau de l’Union et au niveau national, toutes les parties intervenant dans l’application du présent règlement devraient respecter la confidentialité des informations et des données obtenues dans le cadre de l’exécution de leurs tâches.

(65) Afin de garantir une application efficace des obligations prévues par le présent règlement, chaque autorité de surveillance du marché devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives. Il convient donc d’établir des niveaux maximaux pour les amendes administratives à prévoir dans les législations nationales en cas de non-respect des obligations énoncées dans le présent règlement. Pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas sont prises en considération et, au minimum, celles explicitement établies dans le présent règlement, y compris la question de savoir si le fabricant est une microentreprise, une petite ou moyenne entreprise ou une start-up, et si des amendes administratives ont déjà été imposées par d’autres autorités de surveillance du marché au même opérateur pour des infractions similaires. De telles caractéristiques peuvent être soit aggravantes, dans des situations où l’infraction commise par le même opérateur persiste sur le territoire d’autres États membres que celui où une amende administrative a déjà été infligée, soit atténuantes, en veillant à ce que toute autre amende administrative envisagée par une autre autorité de surveillance du marché pour le même opérateur économique ou le même type d’infraction tienne déjà compte, avec d’autres circonstances spécifiques pertinentes, d’une sanction imposée dans d’autres États membres et de son montant. Dans tous ces cas, l’amende administrative cumulative que les autorités de surveillance du marché de plusieurs États membres pourraient infliger au même opérateur économique pour le même type d’infraction devrait être conforme au principe de proportionnalité.

(66) Lorsque des amendes administratives sont imposées à des personnes qui ne sont pas une entreprise, l’autorité compétente devrait tenir compte, lorsqu’elle examine le montant approprié pour l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives.

(66 bis) Les recettes générées par le paiement des sanctions devraient être utilisées pour renforcer le niveau de cybersécurité au sein de l’Union, y compris par le développement des capacités et des compétences en matière de cybersécurité, l’amélioration de la cyberrésilience des opérateurs économiques, en particulier des microentreprises et des petites et moyennes entreprises et plus généralement, la sensibilisation du public aux problèmes de cybersécurité.

(67) Dans ses rapports avec les pays tiers, l’UE s’efforce de favoriser le commerce international des produits réglementés. Un large éventail de mesures peut être appliqué afin de faciliter le commerce, dont plusieurs instruments juridiques tels que les accords de reconnaissance mutuelle (ARM) bilatéraux (intergouvernementaux) sur l’évaluation de la conformité et le marquage des produits réglementés. Les accords de reconnaissance mutuelle sont conclus entre l’Union et les pays tiers bénéficiant d’un niveau de développement technique comparable et poursuivant une approche compatible en matière d’évaluation de la conformité. Ces accords se fondent sur l’acceptation mutuelle des certificats, des marques de conformité et des rapports d’essai délivrés par les organismes d’évaluation de la conformité de l’une des deux parties conformément à la législation de l’autre partie. Actuellement, des ARM sont en place pour plusieurs pays. Les accords sont conclus dans un certain nombre de secteurs spécifiques pouvant varier selon les pays. Afin de faciliter davantage le commerce et reconnaissant que les chaînes d’approvisionnement de produits comportant des éléments numériques sont mondiales, des ARM concernant l’évaluation de la conformité peuvent être conclus pour les produits régis par le présent règlement par l’Union conformément à l’article 218 du TFUE. La coopération avec les pays partenaires est également importante pour renforcer la cyberrésilience à l’échelle mondiale, car à long terme, celle-ci contribuera à renforcer le cadre de cybersécurité tant à l’intérieur qu’à l’extérieur de l’UE.

(68) Le présent règlement devrait être réexaminé périodiquement par la Commission, en consultation avec le groupe d’experts et d’autres parties intéressées, notamment en vue de déterminer s’il est nécessaire de le modifier pour tenir compte de l’évolution de la société, de la situation politique, des technologies ou de la situation des marchés.

(69) Il convient d’accorder un délai suffisant aux opérateurs économiques afin qu’ils s’adaptent aux exigences du présent règlement. Le présent règlement devrait s’appliquer [36 mois] à compter de son entrée en vigueur, à l’exception des obligations de signalement concernant les vulnérabilités activement exploitées et les incidents, qui devraient s’appliquer [18 mois] à compter de son entrée en vigueur.

(69 bis) Le présent règlement engendrera des coûts supplémentaires pour les microentreprises et les petites et moyennes entreprises, y compris les start-ups. Afin de soutenir ces entreprises, la Commission devrait mettre en place un soutien financier et technique qui leur permette de contribuer à la croissance de l’économie européenne et au paysage européen de la cybersécurité, notamment en rationalisant le soutien financier au titre du programme pour une Europe numérique et d’autres programmes pertinents de l’Union, ainsi qu’en soutenant les entreprises et les organisations du secteur public par l’intermédiaire des pôles européens d’innovation numérique. En outre, les États membres devraient envisager toutes les actions complémentaires possibles visant à fournir des orientations et un soutien aux microentreprises et aux petites et moyennes entreprises, y compris par la mise en place de bacs à sable réglementaires, de plateformes de cybersécurité et d’accélérateurs de start-ups.

(70) Étant donné que l’objectif du présent règlement ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

(71) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil[32] et a rendu un avis le 9 novembre 2022[33],

(71 bis) La Commission devrait modifier la fiche financière législative qui accompagne le présent règlement en mettant à la disposition de l’ENISA 9 postes équivalent temps plein supplémentaires et en affectant les crédits supplémentaires correspondants, afin de lui permettre de s’acquitter des tâches additionnelles prévues dans le présent règlement.

 

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier
Objet

Le présent règlement établit:

a) les règles relatives à la mise à disposition sur le marché de produits comportant des éléments numériques afin de garantir la cybersécurité de ces produits;

b) les exigences essentielles relatives à la conception, au développement et à la production de produits comportant des éléments numériques, et les obligations qui incombent aux opérateurs économiques en ce qui concerne ces produits eu égard à la cybersécurité;

c) les exigences essentielles relatives aux processus de gestion des vulnérabilités mis en place par les fabricants pour garantir la cybersécurité des produits comportant des éléments numériques tout au long du cycle de vie, et les obligations incombant aux opérateurs économiques en ce qui concerne ces processus;

d) les règles relatives au contrôle et à la surveillance du marché et au contrôle de l’application des règles et exigences susmentionnées.

Article 2
Champ d’application

1. Le présent règlement s’applique aux produits comportant des éléments numériques mis à disposition sur le marché qui peuvent avoir une connexion directe ou indirecte ▌ à un dispositif ou à un réseau.

2. Le présent règlement ne s’applique pas aux produits comportant des éléments numériques auxquels s’appliquent les actes législatifs de l’Union suivants:

a) règlement (UE) 2017/745;

b) règlement (UE) 2017/746;

c) règlement (UE) 2019/2144.

3. Le présent règlement ne s’applique pas aux produits comportant des éléments numériques qui ont été certifiés conformément au règlement (UE) 2018/1139.

3 bis. Le présent règlement ne s’applique aux logiciels libres et ouverts que lorsque ces logiciels sont mis à disposition sur le marché dans le cadre d’une activité commerciale.

4. L’application du présent règlement à des produits comportant des éléments numériques qui relèvent d’autres règles de l’Union fixant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles énoncées à l’annexe I peut être limitée ou exclue lorsque:

a) cette limitation ou cette exclusion est compatible avec le cadre réglementaire général applicable à ces produits; et

b) les règles sectorielles assurent un niveau de protection identique à celui prévu par le présent règlement.

La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour modifier le présent règlement aux fins de préciser si une telle limitation ou exclusion est nécessaire, les produits et règles concernés, ainsi que la portée de la limitation, le cas échéant.

4 bis. Le présent règlement ne s’applique pas aux pièces de rechange qui sont exclusivement fabriquées pour remplacer des pièces identiques et qui sont fournies par le fabricant des produits d’origine comportant des éléments numériques.

5. Le présent règlement ne s’applique pas aux produits comportant des éléments numériques qui sont développés exclusivement à des fins de sécurité nationale ou à des fins militaires, ni aux produits spécifiquement conçus pour traiter des informations classifiées.

Article 3
Définitions

Aux fins du présent règlement, on entend par:

1) «produit comportant des éléments numériques»: tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinées à être mis sur le marché séparément;

2) tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou au nom de ce dernier▌ , et dont l’absence empêcherait le produit comportant des éléments numériques d’exécuter une de ses fonctions;

3) «produit critique comportant des éléments numériques»: un produit comportant des éléments numériques, qui présente un risque de cybersécurité selon les critères énoncés à l’article 6, paragraphe 2, et dont la fonctionnalité de base est définie à l’annexe III;

4) «produit hautement critique comportant des éléments numériques»: un produit comportant des éléments numériques, qui présente un risque de cybersécurité selon les critères énoncés à l’article 6, paragraphe 5;

4 bis) «cybersécurité»: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;

5) «technologie opérationnelle»: des systèmes ou dispositifs numériques programmables qui interagissent avec l’environnement physique ou gèrent des dispositifs qui interagissent avec l’environnement physique;

6) «logiciel»: la partie d’un système d’information électronique qui consiste en un code informatique;

7) «matériel informatique»: un système d’information électronique physique, ou des parties de celui-ci, capable de traiter, de stocker ou de transmettre des données numériques;

8) «composant»: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique;

9) «système d’information électronique»: tout système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques;

10) «connexion logique»: une représentation virtuelle d’une connexion de données mise en œuvre au moyen d’une interface logicielle;

11) «connexion physique»: toute connexion entre des systèmes d’information électroniques ou des composants mis en œuvre par des moyens physiques, y compris par des interfaces électriques ou mécaniques, des fils ou des ondes radio;

12) «connexion indirecte»: une connexion à un dispositif ou à un réseau, qui n’est pas établie directement, mais plutôt dans le cadre d’un système plus vaste qui peut être directement connecté à ce dispositif ou à ce réseau;

13) «privilège»: un droit d’accès accordé à des utilisateurs ou à des programmes particuliers pour effectuer des opérations liées à la sécurité au sein d’un système d’information électronique;

14) «privilège élevé»: un droit d’accès accordé à des utilisateurs ou à des programmes particuliers pour effectuer un ensemble étendu d’opérations liées à la sécurité au sein d’un système d’information électronique et qui, s’il était utilisé de manière abusive ou compromis, pourrait permettre à un acteur malveillant d’accéder plus largement aux ressources d’un système ou d’une organisation;

15) «point terminal»: tout dispositif connecté à un réseau et servant de point d’entrée à ce réseau;

16) «ressources de mise en réseau ou de calcul»: des données ou des fonctionnalités matérielles ou logicielles accessibles soit localement, soit par l’intermédiaire d’un réseau ou d’un autre dispositif connecté;

17) «opérateur économique»: le fabricant, le mandataire, l’importateur, le distributeur ou toute autre personne physique ou morale soumise aux obligations prévues par le présent règlement;

18) «fabricant»: toute personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, pour monétisation, ou à titre gratuit;

19) «mandataire»: toute personne physique ou morale établie dans l’Union ayant reçu mandat écrit d’un fabricant pour agir en son nom aux fins de l’accomplissement de tâches déterminées;

20) «importateur»: toute personne physique ou morale établie dans l’Union qui met sur le marché un produit comportant des éléments numériques, lequel porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union;

21) «distributeur»: toute personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés;

21 bis) «microentreprises», «petites entreprises» et «moyennes entreprises»: les microentreprises, les petites entreprises et les moyennes entreprises telles qu’elles sont définies dans la recommandation 2003/261/CE de la Commission[34];

21 ter) «consommateur»: toute personne physique qui, dans les circonstances du présent règlement, agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;

21 quater) «période d’assistance»: la période au cours de laquelle le fabricant veille à ce que les vulnérabilités du produit comportant des éléments numériques soient traitées efficacement et conformément aux exigences essentielles énoncées à l’annexe I, section 2;

22) «mise sur le marché»: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union;

23) «mise à disposition sur le marché»: toute fourniture d’un produit comportant des éléments numériques destiné à être distribué ou utilisé sur le marché de l’Union dans le cadre d’une activité commerciale, à titre onéreux ou gratuit;

24) «utilisation prévue»: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, les indications publicitaires ou de vente, ainsi que dans la documentation technique;

25) «utilisation raisonnablement prévisible»: une utilisation qui n’est pas nécessairement celle qui est prévue par le fabricant et qui figure dans la notice d’utilisation, les indications publicitaires ou de vente, ainsi que dans la documentation technique, mais qui est susceptible de résulter d’un comportement humain raisonnablement prévisible, d’opérations techniques ou d’interactions;

26) «mauvaise utilisation raisonnablement prévisible»: l’utilisation d’un produit comportant des éléments numériques d’une manière qui n’est pas conforme à son utilisation prévue, mais qui peut résulter d’un comportement humain raisonnablement prévisible ou d’une interaction avec d’autres systèmes;

27) «autorité notifiante»: l’autorité nationale chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle;

28) «évaluation de la conformité»: le processus qui permet de vérifier si les exigences essentielles énoncées à l’annexe I ont été respectées;

29) «organisme d’évaluation de la conformité»: un organisme au sens de l’article 2, point 13), du règlement (CE) nº 765/2008;

30) «organisme notifié»: un organisme d’évaluation de la conformité désigné en application de l’article 33 du présent règlement et d’autres actes législatifs d’harmonisation de l’Union pertinents;

31) «modification substantielle»: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles énoncées à l’annexe I, section 1, ou entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué, à l’exception des mises à jour de sécurité nécessaires ayant pour objectif d’atténuer les vulnérabilités;

32) «marquage CE»: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles énoncées à l’annexe I et à toute autre législation de l’Union applicable harmonisant les conditions de commercialisation des produits (ci-après dénommée «législation d’harmonisation de l’Union») qui en prévoit l’apposition;

33) «autorité de surveillance du marché»: une autorité au sens de l’article 3, point 4, du règlement (UE) 2019/1020;

34) «norme harmonisée»: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) nº 1025/2012;

34 bis) «norme internationale»: une norme internationale au sens de l’article 2, paragraphe 1, point a), du règlement (UE) nº 1025/2012;

35) «risque▌»: un risque au sens de l’article 6, point 9), de la directive (UE) 2022/2555;

36) «risque de cybersécurité important »: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir un impact négatif grave, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable;

37) «nomenclature des logiciels» ou «SBOM»: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques;

38) «vulnérabilité»: une vulnérabilité au sens de l’article 6, point 15), de la directive (UE) 2022/2555;

39) «vulnérabilité activement exploitée»: une vulnérabilité pour laquelle il existe des preuves fiables qu’un code malveillant a été exécuté par un acteur sur un système sans l’autorisation du propriétaire du système;

39 bis) «incident»: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;

39 ter) «incident évité»: un incident évité au sens de l’article 6, point 5), de la directive (UE) 2022/2555;

39 quater) «cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;40)  «données à caractère personnel», des données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679;

Article 4
Libre circulation

1. Les États membres n’empêchent pas, pour les aspects relevant du présent règlement, la mise à disposition sur le marché de produits comportant des éléments numériques conformes au présent règlement.

2. ▌Les États membres n’empêchent pas la présentation et l’utilisation d’un prototype de produit comportant des éléments numériques non conforme au présent règlement, à condition que la disponibilité d’un tel produit soit limitée dans le temps et la zone géographique et qu’il soit fourni exclusivement pour des essais, et, dans la mesure du possible, muni d’une marque visible indiquant sa non-conformité.

3. Les États membres n’empêchent pas la mise à disposition à titre gratuit de logiciels inachevés qui ne sont pas conformes au présent règlement, à condition que le logiciel ne soit mis à disposition que pour une durée limitée nécessaire à des fins d’essai et qu’une marque visible indique clairement que le logiciel n’est pas conforme au présent règlement et qu’il ne sera pas disponible sur le marché à d’autres fins que les essais.

3 bis. Les États membres, le cas échéant avec le soutien de l’ENISA, peuvent mettre en place des environnements d’essai contrôlés pour des produits innovants afin de faciliter leur développement. Dans ce contexte, un soutien particulier est accordé aux microentreprises et aux petites et moyennes entreprises, y compris les start-ups.

Article 5
Exigences applicables aux produits comportant des éléments numériques

Les produits comportant des éléments numériques ne sont mis à disposition sur le marché que

1) s’ils satisfont aux exigences essentielles énoncées à l’annexe I, section 1, à condition qu’ils soient correctement installés, entretenus, utilisés conformément à l’utilisation prévue ou dans des conditions raisonnablement prévisibles et, le cas échéant, qu’ils bénéficient de la sécurité et des mises à jour fonctionnelles nécessaires, et

2) si les processus mis en place par le fabricant sont conformes aux exigences essentielles énoncées à l’annexe I, section 2.

Article 6
Produits critiques comportant des éléments numériques

1. Les produits comportant des éléments numériques relevant d’une catégorie qui figure à l’annexe III sont considérés comme des produits critiques comportant des éléments numériques. Les produits dont la fonctionnalité de base est celle d’une catégorie énumérée à l’annexe III du présent règlement sont considérés comme relevant de cette catégorie. Les catégories de produits critiques comportant des éléments numériques sont réparties entre les classes I et II, comme indiqué à l’annexe III, en fonction du niveau de risque de cybersécurité lié à ces produits.

L’intégration d’un produit d’un niveau de criticité plus élevé ne modifie pas le niveau de criticité du produit dans lequel il est intégré.

2. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour modifier l’annexe III en ajoutant une nouvelle catégorie à la liste des catégories de produits critiques comportant des éléments numériques ou en retirant une catégorie existante de cette liste. Le premier de ces actes délégués peut être adopté au plus tôt deux ans après la date d’entrée en vigueur du présent règlement. Tout acte délégué ultérieur peut être adopté au plus tôt deux ans après cette date. Lorsqu’elle évalue la nécessité de modifier la liste figurant à l’annexe III, la Commission tient compte du niveau de risque de cybersécurité lié à la catégorie de produits comportant des éléments numériques. Pour déterminer le niveau de risque de cybersécurité, un ou plusieurs des critères suivants sont pris en compte:

a) la fonctionnalité liée à la cybersécurité du produit comportant des éléments numériques, et le fait que le produit comportant des éléments numériques possède ou non au moins l’un des attributs suivants:

i) il est conçu pour fonctionner avec un privilège élevé ou pour gérer des privilèges;

ii) il dispose d’un accès direct ou privilégié à des ressources de mise en réseau ou de calcul;

iii) il est conçu pour contrôler l’accès aux données ou à la technologie opérationnelle;

iv) il exécute des fonctions essentielles pour la confiance, en particulier des fonctions de sécurité telles que le contrôle du réseau, la sécurité des points terminaux et la protection du réseau;

b) l’utilisation prévue dans des environnements sensibles, y compris dans des environnements industriels ou par des entités essentielles du type visé à l’article 3 de la directive (UE) 2022/2555;

c) la finalité prévue de l’exécution de fonctions critiques ou sensibles, telles que le traitement de données à caractère personnel;

d) l’ampleur potentielle d’une incidence négative, notamment en ce qui concerne son intensité et sa capacité d’affecter plusieurs personnes;

e) la mesure dans laquelle l’utilisation de produits comportant des éléments numériques a déjà causé une perte ou une perturbation matérielle ou immatérielle ou a suscité des préoccupations importantes quant à la matérialisation de cette incidence négative.

3. La Commission est habilitée à adopter un acte délégué conformément à l’article 50 afin de compléter le présent règlement en précisant les définitions des catégories de produits relevant des classes I et II figurant à l’annexe III. L’acte délégué est adopté au plus tard le... [▌ 6 mois après l’entrée en vigueur du présent règlement].

4. Les produits critiques comportant des éléments numériques sont soumis aux procédures d’évaluation de la conformité visées à l’article 24, paragraphes 2 et 3.

Toute nouvelle catégorie de produits critiques comportant des éléments numériques ajoutée aux classes I et II figurant à l’annexe III au moyen d’un acte délégué adopté conformément au paragraphe 2 du présent article fait l’objet des procédures d’évaluation de la conformité applicables visées à l’article 24, paragraphes 2 et 3, du présent règlement dans un délai de douze mois à compter de la date d’adoption de l’acte délégué concerné.

5. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement en précisant les catégories de produits hautement critiques comportant des éléments numériques pour lesquels les fabricants sont tenus d’obtenir un certificat de cybersécurité européen dans le cadre d’un schéma européen de certification de cybersécurité au niveau d’assurance «élevé» en vertu du règlement (UE) 2019/881 afin de démontrer la conformité aux exigences essentielles énoncées à l’annexe I, ou à des parties de ces exigences. Cette obligation d’obtention d’un certificat de cybersécurité européen s’applique dans les 12 mois suivant l’adoption de l’acte délégué pertinent. Lorsqu’elle détermine ces catégories de produits hautement critiques comportant des éléments numériques, la Commission tient compte du niveau de risque de cybersécurité lié à la catégorie de produits comportant des éléments numériques, à la lumière d’un ou de plusieurs des critères énumérés au paragraphe 2, ainsi que d’une évaluation visant à déterminer si cette catégorie de produits est:

a) utilisée par les entités essentielles du type visé à l’article 3 de la ▌ directive (UE) 2022/2555, nécessaire à leur activité ou susceptible d’avoir une importance future pour les activités de ces entités; ou

b) pertinente pour la résilience de l’ensemble de la chaîne d’approvisionnement des produits comportant des éléments numériques face à des événements perturbateurs.

5 bis. La Commission est habilitée à adopter les actes délégués visés au paragraphe 5 du présent article au plus tôt 12 mois après l’adoption du schéma européen de certification de cybersécurité applicable, conformément au règlement (UE) 2019/881.

Article 6 bis
Groupe d’experts sur la cyberrésilience

1. Au plus tard... [six mois après la date d’entrée en vigueur du présent règlement], la Commission crée un groupe d’experts sur la cyberrésilience (ci-après le «groupe d’experts»). Le groupe d’experts est nommé par la Commission pour un mandat de trois ans renouvelable. Ce groupe d’experts s’efforce de respecter l’équilibre hommes-femmes et de représenter de manière équilibrée les différentes régions de l’Union, et comprend:

a) des représentants de chacune des agences suivantes:

i) l’Agence de l’Union européenne pour la cybersécurité;

i bis) le Centre de compétences européen en matière de cybersécurité;

ii) le comité européen de la protection des données;

iii) les organismes européens de normalisation.

Si nécessaire, des représentants d’autres agences de l’Union peuvent être invités.

b) des experts représentant les opérateurs économiques concernés, pour garantir la représentation adéquate des microentreprises et des petites et moyennes entreprises;

c) des experts représentant la société civile, y compris les organisations de consommateurs et la communauté des logiciels libres et à code source ouvert;

d) des experts nommés à titre personnel et possédant des connaissances et une expérience avérées dans les domaines couverts par le présent règlement;

e) des experts représentant le monde académique, notamment les universités, les instituts de recherche et d’autres organismes scientifiques, y compris des personnes ayant acquis une expertise au niveau mondial.

2. Le groupe d’experts conseille la Commission sur les questions suivantes:

a) la liste de produits critiques comportant des éléments numériques figurant à l’annexe III, ainsi que sur la nécessité éventuelle de la mettre à jour;

b) la mise en œuvre des schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 et la possibilité de les rendre obligatoires pour les produits hautement critiques comportant des éléments numériques;

c) les évaluations non contraignantes de produits comportant des éléments numériques à la demande d’une autorité de surveillance du marché qui mène une enquête au titre de l’article 43;

d) l’application des concepts pertinents du nouveau cadre législatif aux logiciels, en particulier aux logiciels libres et ouverts;

e) les éléments du règlement qui doivent être traités par les lignes directrices visées à l’article 17 bis;

f) la disponibilité et la qualité des normes européennes et internationales, et la possibilité de les compléter ou de les remplacer par des spécifications techniques communes;

g) la disponibilité de professionnels qualifiés dans le domaine de la cybersécurité dans l’Union, y compris d’un personnel adéquat pour procéder à l’évaluation de la conformité de tiers conformément au présent règlement;

h) la nécessité éventuelle de modifier le présent règlement.

Le groupe d’experts cartographie, en outre, les tendances en matière de vulnérabilités, existantes et corrigées, à l’échelle de l’Union et au niveau de chaque État membre.

3. Le groupe d’experts tient compte des avis d’un large éventail de parties intéressées et s’acquitte de ses tâches avec le plus haut niveau de professionnalisme, d’indépendance, d’impartialité et d’objectivité.

3 bis. La Commission consulte le groupe d’experts lors de l’élaboration d’actes délégués ou d’actes d’exécution fondés sur le présent règlement.

3 ter. Le groupe d’experts peut fournir aux autorités de surveillance du marché des évaluations non contraignantes de produits comportant des éléments numériques afin de faciliter les enquêtes au titre de l’article 43.

4. Le groupe d’experts est présidé par la Commission et constitué dans le respect des règles horizontales sur la création et le fonctionnement des groupes d’experts de la Commission. Dans ce contexte, la Commission peut inviter ponctuellement des experts qui possèdent une expertise spécifique.

5. Le groupe d’expert s’acquitte de ses tâches dans le respect du principe de transparence. La Commission publie la composition du groupe, la déclaration d’intérêts de ses membres, un procès-verbal succinct de chaque réunion du groupe d’experts et d’autres documents pertinents sur son site internet.

Article 6 ter
Renforcement des compétences dans un environnement numérique cyberrésilient

Aux fins du présent règlement et afin de répondre à la demande de professionnels capables d’assurer la cybersécurité des produits comportant des éléments numériques, la Commission et les États membres, en coopération avec l’ENISA, veillent à mettre en œuvre:

a) des programmes d’éducation et de formation dans le domaine de la cybersécurité et des parcours professionnels associés, qui contribuent à rendre la main-d’œuvre dans le domaine de la cybersécurité plus résiliente et plus inclusive, y compris du point de vue de l’équilibre hommes-femmes et en adéquation avec les besoins des entreprises concernées, en particulier lorsque ces entreprises sont des microentreprises, des petites ou moyennes entreprises, y compris des start-ups, ou des administrations publiques;

b) des initiatives visant à renforcer la collaboration entre le secteur privé, les opérateurs économiques, y compris par la reconversion ou le perfectionnement des salariés des fabricants, les consommateurs, les prestataires d’enseignement et de formation, et les États membres, en élargissant les possibilités pour les jeunes d’accéder à des emplois dans ce secteur;

c) des stratégies visant à renforcer la mobilité de la main-d’œuvre, à développer les compétences en matière de cybersécurité et à créer des outils organisationnels et technologiques pour tirer le meilleur parti des talents existants en matière de cybersécurité.

Article 7
Sécurité générale des produits

Par dérogation à l’article 2, paragraphe 1, troisième alinéa, point b), du règlement (UE) 2023/988, lorsque les produits comportant des éléments numériques ne sont pas soumis à des exigences spécifiques prévues dans d’autres actes faisant partie de la législation d’harmonisation de l’Union au sens de [l’article 3, point 25), du règlement (UE) 2023/988], le chapitre III, section 1, les chapitres V et VII, et les chapitres IX à XI du règlement (UE) 2023/988, s’appliquent à ces produits en ce qui concerne les risques pour la sécurité qui ne sont pas couverts par le présent règlement.

Article 8
Systèmes d’IA à haut risque

1. Les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article [article 6] du règlement [législation sur l’IA] qui relèvent du champ d’application du présent règlement et satisfont aux exigences essentielles énoncées à l’annexe I, section 1, du présent règlement sont, lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles énoncées à l’annexe I, section 2, réputés conformes aux exigences de cybersécurité énoncées à l’article [article 15] du règlement [législation sur l’IA], sans préjudice des autres exigences en matière d’exactitude et de robustesse figurant à l’article susmentionné, et dans la mesure où le niveau de protection requis par ces exigences est démontré par la déclaration UE de conformité délivrée en vertu du présent règlement.

2. Pour les produits et les exigences de cybersécurité visés au paragraphe 1, la procédure d’évaluation de la conformité pertinente prévue à l’article [article 43] du règlement [législation sur l’IA] s’applique. Aux fins de cette évaluation, les organismes compétents qui sont habilités à contrôler la conformité des systèmes d’IA à haut risque au titre du règlement [législation sur l’IA] sont également habilités à contrôler la conformité des systèmes d’IA à haut risque entrant dans le champ d’application du présent règlement aux exigences énoncées à l’annexe I du présent règlement, à condition que la conformité de ces organismes notifiés aux exigences énoncées à l’article 29 du présent règlement ait été évaluée dans le cadre de la procédure de notification prévue par le règlement [législation sur l’IA].

3. Par dérogation au paragraphe 2, les produits critiques comportant des éléments numériques énumérés à l’annexe III du présent règlement, qui doivent faire l’objet des procédures d’évaluation de la conformité prévues par l’article 24, paragraphe 2, points a) et b), et à l’article 24, paragraphe 3, points a) et b) du présent règlement, et qui sont également classés comme systèmes d’IA à haut risque conformément à l’article [article 6] du règlement [législation sur l’IA] et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne prévue à l’annexe [VI] du règlement [législation sur l’IA], sont soumis aux procédures d’évaluation de la conformité requises par le présent règlement en ce qui concerne les exigences essentielles du présent règlement.

3 bis. Les fabricants de produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément au paragraphe 1 du présent article peuvent participer aux bacs à sable réglementaires en matière d’IA visés à l’article 53 du règlement [règlement sur l’IA].

Article 9
Machines et produits connexes

Les machines et produits connexes relevant du champ d’application du règlement (UE) 2023/1230 qui sont des produits comportant des éléments numériques ou des quasi-produits comportant des éléments numériques au sens du présent règlement et pour lesquels une déclaration UE de conformité a été délivrée sur la base du présent règlement sont réputés conformes aux exigences essentielles de santé et de sécurité énoncées à l’annexe [annexe III, sections 1.1.9 et 1.2.1] du règlement (UE) 2023/1230, en ce qui concerne la protection contre la corruption ainsi que la sécurité et la fiabilité des systèmes de commande, et dans la mesure où le niveau de protection requis par ces exigences est démontré dans la déclaration UE de conformité délivrée en vertu du présent règlement.

Article 9 bis
Marchés publics de produits comportant des éléments numériques

1. Sans préjudice des directives 2014/24/UE[35] et 2014/25/UE[36] du Parlement européen et du Conseil, les États membres veillent, lorsqu’ils passent des marchés de produits comportant des éléments numériques, à un niveau élevé de cybersécurité et à une période d’assistance appropriée.

2. Les États membres veillent à ce que les fabricants corrigent les vulnérabilités des produits comportant des éléments numériques achetés dans le cadre de marchés publics, y compris à ce qu’ils fournissent rapidement les mises à jour de sécurité.

CHAPITRE II

OBLIGATIONS INCOMBANT AUX OPÉRATEURS ÉCONOMIQUES

Article 10
Obligations incombant aux fabricants

1. Le fabricant s’assure, lorsqu’il met sur le marché un produit comportant des éléments numériques, que celui-ci a été conçu, développé et fabriqué conformément aux exigences essentielles énoncées à l’annexe I, section 1.

2. Aux fins du respect de l’obligation énoncée au paragraphe 1, le fabricant procède à une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques et tient compte des résultats de cette évaluation au cours des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit comportant des éléments numériques, en vue de réduire au minimum les risques de cybersécurité, de prévenir les incidents de sécurité et de réduire au minimum les conséquences de ces derniers, notamment en ce qui concerne la santé et la sécurité des utilisateurs.

2 bis. Sur la base de l’évaluation des risques de cybersécurité, les fabricants déterminent la manière dont les exigences essentielles énoncées à l’annexe I, section 1, sont applicables à leur produit comportant des éléments numériques. Ils incluent l’évaluation des risques dans la documentation technique visée à l’article 23.  3. Lorsqu’il met sur le marché un produit comportant des éléments numériques, le fabricant inclut une évaluation des risques de cybersécurité dans la documentation technique prévue à l’article 23 et à l’annexe V. Pour les produits comportant des éléments numériques mentionnés à l’article 8 et à l’article 24, paragraphe 4, qui relèvent aussi d’autres actes législatifs de l’Union, l’évaluation des risques de cybersécurité peut faire partie de l’évaluation des risques prévue par ces actes de l’Union. Lorsque certaines exigences essentielles ne sont pas applicables au produit comportant des éléments numériques commercialisé, le fabricant fait figurer une justification claire dans cette documentation.

4. Aux fins du respect de l’obligation énoncée au paragraphe 1, le fabricant fait preuve de la diligence nécessaire lorsqu’il intègre dans des produits comportant des éléments numériques des composants obtenus auprès de tiers. Il incombe au fabricant de veiller à ce que ces composants ne compromettent pas la sécurité du produit comportant des éléments numériques, y compris lors de l’intégration de composants de logiciels libres et ouverts qui n’ont pas été mis à disposition sur le marché dans le cadre d’une activité commerciale.

Lorsqu’ils décèlent une vulnérabilité dans un composant, y compris un composant libre et ouvert intégré dans le produit comportant des éléments numériques, les fabricants traitent la vulnérabilité et y remédient conformément aux exigences en matière de gestion des vulnérabilités énoncées à l’annexe I, section 2, et partagent les mesures correctives prises avec la personne ou l’entité qui assure la maintenance du composant.

4 bis. Le fabricant de composants fournit au fabricant du produit final comportant des éléments numériques les informations et la documentation nécessaires pour se conformer aux exigences du présent règlement lors de la fourniture de ces composants. Ces informations sont fournies gratuitement.

5. Le fabricant documente systématiquement, d’une manière proportionnée à la nature et à l’ampleur des risques de cybersécurité, les aspects pertinents pour la cybersécurité concernant le produit comportant des éléments numériques, y compris les vulnérabilités dont il a connaissance et toute information pertinente fournie par des tiers, et, le cas échéant, met à jour l’évaluation des risques du produit.

6. Lorsqu’il met sur le marché un produit comportant des éléments numériques, le fabricant détermine la période d’assistance pendant laquelle les vulnérabilités de ce produit sont gérées efficacement et conformément aux exigences essentielles énoncées à l’annexe I, section 2. Ce faisant, le fabricant veille à ce que la période d’assistance soit proportionnée à la durée de vie prévue du produit et adaptée à la nature du produit et aux attentes des utilisateurs, à la disponibilité de l’environnement opérationnel et, le cas échéant, à la période d’assistance pour les principaux composants intégrés dans le produit comportant des éléments numériques. À cette fin, les fabricants mettent à disposition, à la demande des autorités de surveillance du marché, des informations sur la durée de vie prévue du produit qu’ils ont envisagée afin de déterminer la durée de la période d’assistance pour le produit mis à disposition sur le marché. Les autorités de surveillance du marché assurent un suivi des produits comportant des éléments numériques et veillent activement à ce que les fabricants aient appliqué ces critères de manière adéquate, y compris en évaluant les informations reçues des fabricants sur la durée de vie prévue du produit, lors de la détermination de la période d’assistance.

Le cas échéant, la période d’assistance est clairement indiquée sur le produit, sur son emballage ou dans les accords contractuels. En tout état de cause, les utilisateurs finaux sont également informés, avant l’achat, de la durée de la période d’assistance.

Le fabricant dispose de politiques et de procédures appropriées, notamment les politiques de divulgation coordonnée des vulnérabilités mentionnées à l’annexe I, section 2, point 5), pour traiter et corriger les vulnérabilités potentielles du produit comportant des éléments numériques signalées par des sources internes ou externes.

Le cas échéant, pour les produits de consommation comportant des éléments numériques, ces procédures prévoient des mises à jour de sécurité automatiques par défaut. Les utilisateurs devraient avoir la possibilité de désactiver ces mises à jour de sécurité automatiques.

Les fabricants s’attachent à informer activement les utilisateurs lorsque le produit comportant des éléments numériques qu’ils leur ont vendu a atteint la fin de sa période d’assistance.

6 bis. Lorsque la période d’assistance est inférieure à cinq ans et que la gestion des vulnérabilités a pris fin, les fabricants peuvent donner accès au code source d’un tel produit comportant des éléments numériques à d’autres entreprises qui s’engagent à étendre la fourniture de services de gestion des vulnérabilités, en particulier les mises à jour de sécurité. L’accès à ce code source est fourni uniquement au titre de dispositions spécifiques contractuelles, qui ont vocation à protéger la propriété du produit comportant des éléments numériques et à empêcher la diffusion du code source auprès du public, sauf lorsque ce code a déjà été fourni sous une licence libre et ouverte.

7. Avant de mettre sur le marché un produit comportant des éléments numériques, le fabricant établit la documentation technique visée à l’article 23.

Il applique ou fait appliquer les procédures d’évaluation de la conformité choisies visées à l’article 24.

Lorsqu’il a été démontré, au moyen de cette procédure d’évaluation de la conformité, que le produit comportant des éléments numériques est conforme aux exigences essentielles énoncées à l’annexe I, section 1, et que les processus mis en place par le fabricant sont conformes aux exigences essentielles énoncées à l’annexe I, section 2, le fabricant établit la déclaration UE de conformité conformément à l’article 20 et appose le marquage CE conformément à l’article 22.

8. Le fabricant tient la documentation technique et la déclaration UE de conformité ▌ à la disposition des autorités de surveillance du marché pendant une durée d’au moins dix ans après la mise sur le marché du produit comportant des éléments numériques, ou pendant la période d’assistance, la durée la plus longue étant retenue.

Les autorités de surveillance du marché garantissent la confidentialité et la protection appropriée des informations contenues dans la documentation technique fournie par les fabricants conformément à l’article 52.

9. Le fabricant veille à ce que des procédures soient en place pour que la conformité des produits comportant des éléments numériques produits en série reste assurée. Le fabricant tient dûment compte des modifications du processus de développement et de production ou de la conception ou des caractéristiques du produit comportant des éléments numériques, ainsi que des modifications des normes harmonisées horizontales ou spécifiques à un secteur, des schémas européens de certification de cybersécurité ou des spécifications techniques visées à l’article 19 au regard desquelles la conformité du produit comportant des éléments numériques est déclarée ou en application desquelles sa conformité est vérifiée.

10. Le fabricant veille à ce que les produits comportant des éléments numériques soient accompagnés des informations et des instructions énoncées à l’annexe II, sous forme électronique ou physique. Ces informations et instructions sont rédigées dans une langue aisément compréhensible par les utilisateurs. Elles sont claires, compréhensibles, intelligibles et lisibles. Elles permettent une installation, un fonctionnement et une utilisation sécurisés des produits comportant des éléments numériques.

Si ces informations et instructions sont fournies sous forme électronique, les fabricants:

a) les présentent dans un format convivial permettant à l’utilisateur de les consulter en ligne, de les télécharger, de les sauvegarder sur un appareil électronique et de les imprimer;

b) s’assurent qu’elles sont accessibles en ligne au moins pendant la période d’assistance du produit comportant des éléments numériques.

11. Le fabricant fournit la déclaration UE de conformité avec le produit comportant des éléments numériques ou inclut dans les instructions et informations énoncées à l’annexe II l’adresse internet à laquelle la déclaration UE de conformité est accessible.

12. Dès la mise sur le marché et au moins pendant la période d’assistance ▌, le fabricant qui considère ou a des raisons de croire que le produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles énoncées à l’annexe I prend immédiatement les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus du fabricant en conformité, ou pour procéder à leur retrait ou à leur rappel, selon le cas.

13. Sur requête motivée d’une autorité de surveillance du marché, le fabricant communique à cette dernière, dans une langue aisément compréhensible par celle-ci, toutes les informations et tous les documents, sur support papier ou par voie électronique, nécessaires pour démontrer la conformité du produit comportant des éléments numériques et des processus mis en place par le fabricant aux exigences essentielles énoncées à l’annexe I. Il coopère avec ladite autorité, à la demande de cette dernière, concernant toute mesure prise pour éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’il a mis sur le marché.

14. Un fabricant qui cesse ses activités et qui, de ce fait, n’est pas en mesure de se conformer aux obligations énoncées dans le présent règlement informe les autorités de surveillance du marché concernées de cette situation avant que cette cessation ne prenne effet, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits comportant des éléments numériques mis sur le marché concernés.

15. La Commission, après consultation du groupe d’experts et en tenant compte des normes internationales, est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement en précisant le format et les éléments de la nomenclature des logiciels prévue à l’annexe I, section 2, point 1).  ▌

Article 11
Obligations en matière de communication d’informations incombant aux fabricants

1. Le fabricant notifie à l’ENISA ▌, conformément au paragraphe 1 bis du présent article, toute vulnérabilité activement exploitée contenue dans le produit comportant des éléments numériques.  ▌Dès réception de cette notification, l’ENISA la transmet, sans retard indu, sauf pour des motifs justifiés ayant trait au risque de cybersécurité, au CSIRT désigné aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article 12 de la directive (UE) 2022/2555 des États membres concernés et informe l’autorité de surveillance du marché de la vulnérabilité notifiée. Lorsqu’une vulnérabilité notifiée ne fait l’objet d’aucune mesure corrective ou d’atténuation, l’ENISA veille à ce que les informations concernant cette vulnérabilité soient partagées conformément à des protocoles de sécurité stricts et selon le principe du besoin d’en connaître.

1 bis. Les notifications visées au paragraphe 1 sont soumises à la procédure suivante:

a) sans retard injustifié et, en tout état de cause, au plus tard 24 heures après que le fabricant a pris connaissance de l’existence d’une vulnérabilité activement exploitée, une alerte précoce précisant s’il existe des mesures correctives connues ou des mesures d’atténuation des risques recommandées;

b) sans retard injustifié et, en tout état de cause, au plus tard 72 heures après que le fabricant a pris connaissance de la vulnérabilité activement exploitée, une notification de vulnérabilité qui, le cas échéant, met à jour les informations générales visées au point a), y compris les éventuelles mesures correctives ou d’atténuation prises, et fournit une évaluation de l’étendue de la vulnérabilité, y compris de sa gravité et de son impact;

c) dans un délai d’un mois à compter de la présentation de la notification de vulnérabilité visée au point b), ou lorsqu’une mesure corrective ou d’atténuation existe, un rapport final comprenant au moins les éléments suivants:

i) une description de la vulnérabilité, y compris de sa gravité et de son impact;

ii) le cas échéant, des informations concernant tout acteur qui a exploité ou qui exploite la vulnérabilité;

iii) des précisions concernant la mise à jour de sécurité ou les autres mesures correctives qui ont été mises en place pour remédier à la vulnérabilité.

1 ter. Après la mise en place d’une mise à jour de sécurité ou d’une autre forme de mesures correctives ou d’atténuation, l’ENISA ajoute la vulnérabilité notifiée conformément au paragraphe 1 du présent article à la base de données européenne des vulnérabilités visée à l’article 12 de la directive (UE) 2022/2555.

2. Le fabricant notifie à l’ENISA ▌ tout incident important ayant un impact sur la sécurité du produit comportant des éléments numériques conformément au paragraphe 2 ter du présent article. L’ENISA transmet sans retard indu, sauf pour des motifs justifiés ayant trait au risque de cybersécurité, les notifications au point de contact unique désigné conformément à l’article 8 de la directive (UE) 2022/2555 des États membres concernés et informe l’autorité de surveillance du marché des incidents notifiés. Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification.

2 bis. Un incident est considéré comme important au sens du paragraphe 2 dès lors:

a) qu’il a causé ou est susceptible de causer une perturbation opérationnelle grave de la production ou des services du fabricant concerné, qui pourrait avoir des répercussions sur la sécurité d’un produit; ou

b) qu’il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

2 ter. Les notifications visées au paragraphe 2 sont soumises à la procédure suivante:

a) sans retard injustifié et, en tout état de cause, au plus tard 24 heures après que le fabricant a pris connaissance de l’incident important, une alerte précoce qui, le cas échéant, indique si l’on suspecte que l’incident important a été causé par des actes illicites ou malveillants ou s’il pourrait avoir des répercussions transfrontières;

b) sans retard injustifié et, en tout état de cause, au plus tard 72 heures après que le fabricant a pris connaissance de l’incident important, une notification d’incident qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles; 

c) dans un délai d’un mois à compter de la présentation de la notification d’incident visée au point b), un rapport final comprenant au moins les éléments suivants:

i) une description détaillée de l’incident, y compris de sa gravité et de son impact;

ii) le type de menace ou la cause profonde qui a probablement déclenché l’incident;

iii) les mesures d’atténuation appliquées et en cours;

iv) le cas échéant, les répercussions transfrontières de l’incident.

En cas d’incident en cours au moment de la présentation du rapport final visé au point d) du présent paragraphe, les États membres veillent à ce que le fabricant concerné fournisse à ce moment-là un rapport d’avancement, puis un rapport final dans un délai d’un mois à compter du traitement de l’incident.

2 quater. Les fabricants qui ont notifié des incidents importants conformément au présent règlement et qui sont également identifiés comme des entités essentielles ou des entités importantes au titre de la directive (UE) 2022/2555 sont réputés en conformité avec les exigences de l’article 23 de la directive (UE) 2022/2555. L’ENISA transmet les notifications reçues en vertu du présent règlement au CSIRT compétent conformément à la directive (UE) 2022/2555. Une entité ne peut recevoir qu’une seule amende pour non-conformité à des exigences qui se chevauchent.

2 quinquies. Si nécessaire, l’ENISA ou le CSIRT compétent peuvent demander aux fabricants de fournir un rapport intermédiaire sur les mises à jour pertinentes de l’état de la vulnérabilité activement exploitée ou de l’incident important.

2 sexies. Les fabricants qui sont considérés comme des microentreprises ou des petites ou moyennes entreprises sont exemptés des dispositions du paragraphe 1 bis, point a), et du paragraphe 2 ter, point a).

3. L’ENISA soumet au réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE - CyCLONe) institué par l’article 16 de la directive (UE) 2022/2555 les informations notifiées conformément aux paragraphes 1 et 2 si elles sont pertinentes pour la gestion coordonnée au niveau opérationnel des incidents et crises de cybersécurité majeurs.

4. Dans les meilleurs délais après avoir pris connaissance de l’incident important, le fabricant informe les utilisateurs concernés, et, si nécessaire, l’ensemble des utilisateurs du produit comportant des éléments numériques de cet incident important et, le cas échéant, des mesures d’atténuation du risque et de toute mesure corrective que l’utilisateur peut mettre en place pour en atténuer l’impact.

4 bis. L’ENISA veille à ce que les notifications visées aux paragraphes 1 et 2 soient transmises par des canaux de communication et stockées sur des serveurs qui garantissent les niveaux les plus élevés possibles de cybersécurité et de protection contre les acteurs malveillants.

4 ter. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident important ou pour faire face à un incident important en cours, ou lorsque la divulgation de l’incident important est par ailleurs dans l’intérêt public, l’ENISA et, le cas échéant, les CSIRT ou les autorités compétentes des États membres concernés peuvent, après avoir consulté le fabricant concerné, informer le public de l’incident important ou exiger du fabricant qu’il le fasse.

5. La Commission adopte des actes délégués conformément à l’article 50 pour compléter le présent règlement en précisant plus en détail ▌ le format et la procédure des notifications présentées en vertu des paragraphes 1 et 2. Ces actes délégués sont adoptés au plus tard le... [12 mois après la date d’entrée en vigueur du présent règlement].

6. Sur la base des notifications reçues conformément aux paragraphes 1 et 2, l’ENISA élabore un rapport technique bisannuel sur les tendances émergentes en ce qui concerne les risques de cybersécurité dans les produits comportant des éléments numériques et le soumet au groupe de coopération visé à l’article 14 de la directive (UE) 2022/2555. Le premier rapport de ce type est présenté dans les 24 mois suivant le début de l’application des obligations prévues aux paragraphes 1 et 2. L’ENISA inclut les informations pertinentes de ses rapports techniques dans son rapport sur l’état de la cybersécurité dans l’Union conformément à l’article 18 de la directive (UE) 2022/2555.

6 bis. L’ENISA met en place un mécanisme de signalement numérique sécurisé, après consultation du groupe d’experts, afin de simplifier les obligations des fabricants en matière de communication d’informations. Ce mécanisme sert de point d’entrée unique pour les obligations en matière de communication d’informations établies en vertu du présent règlement et, autant que possible, d’autres dispositions du droit de l’Union.

▌Article 11 bis
Notifications volontaires

1. En complément des obligations de notification prévues à l’article 11, des notifications peuvent être présentées à l’ENISA à titre volontaire par les acteurs suivants:

a) les fabricants, en ce qui concerne les incidents, les cybermenaces et les incidents évités;

b) les entités autres que celles visées au point a), qu’elles relèvent ou non du champ d’application du présent règlement, en ce qui concerne les incidents importants et non importants, les cybermenaces et les incidents évités;

c) tout acteur, en ce qui concerne les vulnérabilités qui peuvent être incluses dans la base de données européenne des vulnérabilités visée à l’article 12 de la directive (UE)°2022/2555.

2. L’ENISA traite les notifications visées au paragraphe 1, point a), du présent article conformément à la procédure prévue à l’article 11. L’ENISA peut accorder la priorité au traitement des notifications obligatoires par rapport aux notifications volontaires.

3. Afin de simplifier les notifications volontaires, il est possible de les notifier au moyen du mécanisme de signalement numérique sécurisé visé à l’article 11, paragraphe 6 bis.

4. Lorsque cela est nécessaire, l’ENISA garantit la confidentialité et une protection appropriée des informations fournies par l’entité à l’origine de la notification. Sans préjudice de la prévention et de la détection d’infractions pénales et des enquêtes et poursuites en la matière, un signalement volontaire n’a pas pour effet d’imposer à l’entité ayant effectué la notification des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis la notification.

Article 11 ter
Point de contact unique pour les utilisateurs

1. Afin de faciliter la communication des informations relatives à la sécurité des produits, les fabricants désignent un point de contact unique pour permettre aux utilisateurs de communiquer directement et rapidement avec eux, le cas échéant par voie électronique et de manière conviviale, y compris en permettant aux utilisateurs du produit de choisir les moyens de communication énoncés à l’annexe II, point 1, lesquels ne s’appuient pas uniquement sur des outils automatisés.

2. En complément des obligations prévues par la directive 2000/31/CE du Parlement européen et du Conseil [37], les fabricants rendent publiques les informations nécessaires aux utilisateurs finaux pour repérer aisément leurs points de contact uniques et communiquer avec eux. Ces informations sont aisément accessibles et sont tenues à jour.

Article 12
Mandataires

1. Un fabricant peut désigner, par mandat écrit, un mandataire.

2. Les obligations énoncées à l’article 10, paragraphes 1 à 7, premier alinéa et à l’article 10, paragraphe 9, ne font pas partie du mandat confié au mandataire.

3. Le mandataire exécute les tâches spécifiées dans le mandat qu’il reçoit du fabricant. Il fournit une copie du mandat aux autorités de surveillance du marché qui en font la demande. Le mandat autorise au minimum le mandataire:

a) à tenir à la disposition des autorités de surveillance du marché la déclaration UE de conformité mentionnée à l’article 20 et la documentation technique mentionnée à l’article 23 pendant dix ans à partir de la mise sur le marché du produit comportant des éléments numériques;

a bis)  lorsqu’il a une raison de croire que le produit comportant des éléments numériques en question présente un risque de cybersécurité, à informer le fabricant;

b) sur requête motivée d’une autorité de surveillance du marché, à communiquer à cette dernière toutes les informations et tous les documents nécessaires pour démontrer la conformité du produit comportant des éléments numériques;

c) à coopérer avec les autorités de surveillance du marché, à leur demande, concernant toute mesure adoptée pour éliminer efficacement les risques présentés par un produit comportant des éléments numériques relevant du mandat confié au mandataire.

Article 13
Obligations incombant aux importateurs

1. Un importateur ne met sur le marché que des produits comportant des éléments numériques conformes aux exigences essentielles énoncées à l’annexe I, section 1, et lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles énoncées à l’annexe I, section 2.

2. Avant de mettre sur le marché un produit comportant des éléments numériques, l’importateur veille à ce que:

a) les procédures appropriées d’évaluation de la conformité mentionnées à l’article 24 aient été menées à bien par le fabricant;

b) le fabricant ait établi la documentation technique;

c) le produit comportant des éléments numériques porte le marquage CE mentionné à l’article 22, que la déclaration UE de conformité soit disponible et que le produit soit accompagné des informations et de la notice d’utilisation mentionnées à l’annexe II.

c bis) tous les documents attestant le respect des exigences énoncées au présent article aient été reçus du fabricant.

3. Lorsqu’un importateur considère ou a des raisons de croire qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles énoncées à l’annexe I, il ne met pas le produit sur le marché tant que ce produit ou les processus mis en place par le fabricant n’ont pas été mis en conformité avec les exigences essentielles énoncées à l’annexe I. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe le fabricant et les autorités de surveillance du marché.

Sur la base de recommandations ciblées reçues par les autorités de surveillance du marché ou par la Commission conformément aux articles 43 et 45, un importateur applique ces recommandations, y compris le retrait ou le rappel du produit. En outre, lorsqu’un importateur considère ou a des raisons de croire qu’un produit comportant des éléments numériques peut présenter un risque de cybersécurité à la lumière de facteurs de risque non techniques, il retire ou rappelle ce produit. Les importateurs en informent les autorités de surveillance du marché et la Commission.

4. L’importateur indique son nom, sa raison sociale ou sa marque déposée et les adresses postale et électronique, ainsi que, le cas échéant, l’adresse du site internet auxquelles il peut être contacté sur le produit comportant des éléments numériques ou ▌ sur l’emballage ou dans un document accompagnant le produit comportant des éléments numériques. Les coordonnées sont indiquées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché.

5. L’importateur veille à ce que le produit comportant des éléments numériques soit accompagné des instructions et informations prévues à l’annexe II, rédigées dans une langue aisément compréhensible par les utilisateurs.

6. Tout importateur qui considère ou a des raisons de croire qu’un produit comportant des éléments numériques, qu’il a mis sur le marché, ou bien les processus mis en place par son fabricant, ne sont pas conformes aux exigences essentielles énoncées à l’annexe I demande immédiatement au fabricant de prendre les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus mis en place par son fabricant en conformité avec les exigences essentielles énoncées à l’annexe I, ou pour procéder au retrait ou au rappel du produit, si nécessaire.

6 bis. Lorsqu’il prend connaissance d’une vulnérabilité du produit comportant des éléments numériques, l’importateur en informe le fabricant dans les meilleurs délais. En outre, si le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe immédiatement les autorités de surveillance du marché des États membres dans lesquels il a mis ce produit à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et toute mesure corrective adoptée.

7. Pendant dix ans à partir de la mise sur le marché du produit comportant des éléments numériques, l’importateur tient à la disposition des autorités de surveillance du marché une copie de la déclaration UE de conformité et s’assure que la documentation technique peut être fournie à ces autorités, sur demande.

8. Sur requête motivée d’une autorité de surveillance du marché, l’importateur communique à cette dernière toutes les informations et tous les documents nécessaires, sur support papier ou par voie électronique, pour démontrer la conformité du produit comportant des éléments numériques aux exigences essentielles énoncées à l’annexe I, section 1, ainsi que la conformité des processus mis en place par le fabricant aux exigences essentielles énoncées à l’annexe I, section 2, dans une langue aisément compréhensible par cette autorité. Il coopère avec cette autorité, à la demande de cette dernière, concernant toute mesure prise en vue d’éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’il a mis sur le marché.

9. Lorsque l’importateur d’un produit comportant des éléments numériques a connaissance du fait que le fabricant de ce produit a cessé ses activités et, de ce fait, n’est pas en mesure de se conformer aux obligations énoncées dans le présent règlement, l’importateur informe les autorités de surveillance du marché concernées de cette situation, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits concernés comportant des éléments numériques mis sur le marché.

Article 14
Obligations des distributeurs

1. Lorsqu’il met un produit comportant des éléments numériques à disposition sur le marché, le distributeur agit avec la diligence requise en ce qui concerne les exigences du présent règlement.

2. Avant de mettre un produit comportant des éléments numériques à disposition sur le marché, le distributeur vérifie que:

a) le produit comportant des éléments numériques porte le marquage CE;

b) le fabricant et l’importateur se sont conformés aux obligations énoncées, respectivement, à l’article 10, paragraphes 10 et 11, et à l’article 13, paragraphe 4, et ont communiqué tous les documents pertinents au distributeur.

3. Lorsqu’un distributeur considère ou a des raisons de croire, sur la base des informations en sa possession, qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles énoncées à l’annexe I, il ne met pas le produit comportant des éléments numériques à disposition sur le marché tant que ce produit ou les processus mis en place par le fabricant n’ont pas été mis en conformité. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, le distributeur en informe le fabricant et les autorités de surveillance du marché.

4. Tout distributeur sachant ou ayant des raisons de croire, sur la base des informations en sa possession, qu’un produit comportant des éléments numériques, qu’il a mis à disposition sur le marché, ou bien les processus mis en place par son fabricant ne sont pas conformes aux exigences essentielles énoncées à l’annexe I demande au fabricant de prendre les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus mis en place par son fabricant en conformité, ou pour retirer ou rappeler le produit, si nécessaire.

4 bis. Lorsqu’il prend connaissance d’une vulnérabilité du produit comportant des éléments numériques, le distributeur en informe le fabricant dans les meilleurs délais. En outre, si le produit comportant des éléments numériques présente un risque de cybersécurité important, le distributeur en informe immédiatement les autorités de surveillance du marché des États membres dans lesquels il a mis ce produit à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et toute mesure corrective adoptée.

5. Sur requête motivée d’une autorité de surveillance du marché, le distributeur communique à cette dernière toutes les informations et tous les documents nécessaires, sur support papier ou par voie électronique, pour démontrer la conformité du produit comportant des éléments numériques et des processus mis en place par son fabricant avec les exigences essentielles énoncées à l’annexe I dans une langue aisément compréhensible par cette autorité. Il coopère avec cette autorité, à sa demande, à toute mesure prise en vue d’éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’il a mis à disposition sur le marché.

6. Lorsque le distributeur d’un produit comportant des éléments numériques apprend, sur la base des informations en sa possession, que le fabricant de ce produit a cessé ses activités et, de ce fait, n’est pas en mesure de se conformer aux obligations énoncées dans le présent règlement, le distributeur informe les autorités de surveillance du marché concernées de cette situation, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits concernés comportant des éléments numériques mis sur le marché.

Article 15
Cas dans lesquels les obligations des fabricants s’appliquent aux importateurs et aux distributeurs

Un importateur ou un distributeur est considéré comme un fabricant aux fins du présent règlement et est soumis aux obligations incombant au fabricant au titre de l’article 10 et de l’article 11, paragraphes 1, 2, 4 et 7, lorsque cet importateur ou ce distributeur met un produit comportant des éléments numériques sur le marché sous son propre nom ou sa propre marque, ou lorsqu’il apporte une modification substantielle à un produit comportant des éléments numériques déjà mis sur le marché.

Article 16
Autres cas dans lesquels les obligations des fabricants s’appliquent

Une personne physique ou morale, autre que le fabricant, l’importateur ou le distributeur, qui apporte une modification substantielle à un produit comportant des éléments numériques et le met à disposition sur le marché est considérée comme un fabricant aux fins du présent règlement.

Cette personne est soumise aux obligations incombant au fabricant énoncées à l’article 10 et à l’article 11, paragraphes 1, 2, 4 et 7, en ce qui concerne la partie du produit sur laquelle porte la modification substantielle, ou en ce qui concerne l’ensemble du produit si la modification substantielle a une incidence sur la cybersécurité du produit comportant des éléments numériques dans son ensemble.

Article 17
Identification des opérateurs économiques

1. Sur demande▌, l’opérateur économique fournit aux autorités de surveillance du marché les informations suivantes:

a) le nom et l’adresse de tout opérateur économique qui lui a fourni un produit comportant des éléments numériques;

b) le nom et l’adresse de tout opérateur économique auquel il a fourni un produit comportant des éléments numériques.

2. L’opérateur économique est en mesure de communiquer les informations visées au paragraphe 1 pendant dix ans à compter de la date à laquelle le produit comportant des éléments numériques lui a été fourni et pendant dix ans à compter de la date à laquelle il l’a fourni.

Article 17 bis
Lignes directrices

1. Afin d’apporter clarté et sécurité juridique aux pratiques des opérateurs économiques, et de veiller à la cohérence entre ces pratiques, la Commission élabore et publie des lignes directrices destinées aux opérateurs économiques, qui expliquent comment appliquer le présent règlement, en mettant particulièrement l’accent sur les moyens de faciliter la mise en conformité des microentreprises et des petites et moyennes entreprises.

2. Ces lignes directrices sont publiées au plus tard le... [12 mois après la date d’entrée en vigueur du présent règlement] et sont mises à jour en tant que de besoin, notamment à la lumière des modifications éventuelles apportées à la liste des produits critiques figurant à l’annexe III. Elles contiennent au moins les éléments suivants:

a) une explication détaillée du champ d’application du présent règlement, mettant particulièrement l’accent sur les solutions de traitement des données à distance et les logiciels libres et ouverts;

b) les critères détaillés utilisés pour déterminer la manière dont les produits critiques comportant des éléments numériques sont placés dans les classes I ou II telles que visées à l’annexe III;

c) l’articulation entre ce règlement et d’autres dispositions du droit de l’Union, notamment en ce qui concerne les présomptions de conformité et les évaluations de la conformité;

d) des orientations à l’intention des fabricants quant aux modalités de réalisation de l’évaluation des risques de cybersécurité visée à l’article 10, paragraphe 2, et quant à l’applicabilité des exigences essentielles, y compris, le cas échéant, les meilleures pratiques;

e) des orientations à l’intention des fabricants quant aux moyens de déterminer de manière appropriée la période d’assistance pour les différentes catégories de produits, conformément à l’article 10, paragraphe 6;

f) une explication quant aux moyens de répondre aux exigences en matière de communication d’informations conformément au présent règlement ou à d’autres dispositions du droit de l’Union;

g) une liste des actes délégués et des actes d’exécution publiés par la Commission en application du présent règlement;

h) des orientations à l’intention des États membres sur l’absence de poursuites contre les chercheurs dans le domaine de la sécurité de l’information;

i) des orientations sur ce qui constitue une modification substantielle.

3. Dans le cadre de l’élaboration des lignes directrices conformément au présent article, la Commission consulte le groupe d’experts.

CHAPITRE III

Conformité du produit comportant des éléments numériques

Article 18
Présomption de conformité

1. Le produit comportant des éléments numériques et les processus mis en place par le fabricant qui sont conformes à des normes harmonisées ou à des parties de normes harmonisées dont les références ont été publiées au Journal officiel de l’Union européenne sont présumés conformes aux exigences essentielles qui sont couvertes par ces normes ou parties de ces normes et qui sont énoncées à l’annexe I.

Conformément à l’article 10, paragraphe 1, du règlement (UE) 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d’élaborer des normes harmonisées relatives aux exigences essentielles énoncées à l’annexe I du présent règlement. Au moment de préparer la demande de normalisation pour le présent règlement, la Commission s’efforce de tenir compte des normes internationales existantes ou imminentes en matière de cybersécurité afin de simplifier l’élaboration de normes harmonisées.

2. Le produit comportant des éléments numériques et les processus mis en place par le fabricant qui sont conformes aux spécifications communes visées à l’article 19 sont présumés conformes aux exigences essentielles énoncées à l’annexe I, dans la mesure où celles-ci sont couvertes par ces spécifications communes.

3. Le produit comportant des éléments numériques et les processus mis en place par le fabricant pour lesquels une déclaration de conformité de l’UE ou un certificat de cybersécurité européen ont été délivrés dans le cadre d’un schéma européen de certification de cybersécurité adopté en vertu du règlement (UE) 2019/881 et spécifié conformément au paragraphe 4 sont présumés conformes aux exigences essentielles énoncées à l’annexe I, dans la mesure où celles-ci sont couvertes par la déclaration de conformité de l’UE ou le certificat de cybersécurité européen, ou des parties de ceux-ci.

4. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement en précisant les schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 qui doivent être utilisés afin de démontrer la conformité des produits comportant des éléments numériques avec les exigences essentielles énoncées à l’annexe I, ou avec des parties de ces exigences. En outre, la délivrance d’un certificat de cybersécurité délivré au titre de tels schémas, à un niveau d’assurance «substantiel» ou «élevé», supprime l’obligation d’un fabricant de procéder à une évaluation de la conformité par un tiers pour les exigences correspondantes, comme indiqué à l’article 24, paragraphe 2, points a) et b), et paragraphe 3, points a) et b).  ▌

Article 19
Spécifications communes

1. ▌La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement en établissant des spécifications communes qui couvrent les exigences techniques permettant de répondre aux exigences énoncées à l’annexe I pour les produits relevant du champ d’application du présent règlement lorsque les conditions suivantes sont remplies:

a) la Commission a demandé, conformément à l’article 10, paragraphe 1, du règlement (UE) nº°1025/2012, à une ou plusieurs organisations européennes de normalisation d’élaborer une norme harmonisée pour les exigences essentielles énoncées à l’annexe I et cette demande n’a pas été acceptée ou les publications en matière de normalisation européenne répondant à cette demande ne sont pas fournies dans le délai déterminé en application de l’article 10, paragraphe 1, du règlement (UE) nº°1025/2012 ou les publications en matière de normalisation européenne ne répondent pas à la demande; et

b) aucune référence à des normes harmonisées couvrant les exigences essentielles pertinentes énoncées à l’annexe I du présent règlement n’est publiée au Journal officiel de l’Union européenne conformément au règlement (UE) nº°1025/2012 et il n’est pas prévu que la publication d’une telle référence intervienne dans un délai raisonnable.

2. Préalablement à l’élaboration de l’acte délégué, la Commission informe le groupe d’experts qu’elle considère que les conditions visées au paragraphe 1 sont remplies. Lors de l’élaboration des actes délégués, la Commission tient compte des avis du groupe d’experts.

3. Lorsqu’une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission en vue de la publication de sa référence au Journal officiel de l’Union européenne, la Commission procède à l’évaluation de cette norme harmonisée conformément au règlement (UE) nº°1025/2012. Lors de la publication au Journal officiel de l’Union européenne de la référence à une norme harmonisée, la Commission abroge les actes délégués correspondants visés au paragraphe 1, ou les parties de ces actes qui couvrent les mêmes exigences essentielles que celles énoncées à l’annexe I du présent règlement.

Article 20
Déclaration UE de conformité

1. La déclaration UE de conformité est établie par le fabricant conformément à l’article 10, paragraphe 7, et atteste que le respect des exigences essentielles applicables énoncées à l’annexe I a été démontré.

2. La déclaration UE de conformité est établie selon le modèle figurant à l’annexe IV et contient les éléments précisés dans les procédures d’évaluation de la conformité applicables prévues à l’annexe VI. Cette déclaration est ▌ mise à jour en tant que de besoin. Elle est disponible dans la ou les langues requises par l’État membre dans lequel le produit comportant des éléments numériques est mis sur le marché ou mis à disposition.

3. Lorsqu’un produit comportant des éléments numériques relève de plusieurs actes de l’Union imposant une déclaration UE de conformité, une seule déclaration UE de conformité est établie pour l’ensemble de ces actes. Cette déclaration mentionne les titres des actes de l’Union concernés, ainsi que les références de leur publication.

4. En établissant la déclaration UE de conformité, le fabricant assume la responsabilité de la conformité du produit.

5. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement aux fins d’ajouter des éléments au contenu minimal de la déclaration UE de conformité prévu à l’annexe IV afin de tenir compte des progrès techniques.

Article 21
Principes généraux du marquage CE

Le marquage CE tel que défini à l’article 3, paragraphe 32, est soumis aux principes généraux énoncés à l’article 30 du règlement (CE) nº 765/2008.

Article 22
Règles et conditions d’apposition du marquage CE

1. Le marquage CE est apposé de manière visible, lisible et indélébile sur le produit comportant des éléments numériques. Lorsque la nature du produit comportant des éléments numériques ne le permet pas ou ne le justifie pas, il est apposé sur son emballage et sur la déclaration UE de conformité mentionnée à l’article 20 qui accompagne le produit comportant des éléments numériques. Pour les produits comportant des éléments numériques qui se présentent sous la forme d’un logiciel, le marquage CE est apposé soit sur la déclaration UE de conformité mentionnée à l’article 20, soit sur le site web qui accompagne le logiciel. Dans ce dernier cas, la section correspondante du site web est aisément et directement accessible aux consommateurs.

2. En raison de la nature du produit comportant des éléments numériques, la hauteur du marquage CE apposé sur le produit comportant des éléments numériques peut être inférieure à 5 mm, à condition qu’il reste visible et lisible.

3. Le marquage CE est apposé avant que le produit comportant des éléments numériques ne soit mis sur le marché. Il peut être suivi d’un pictogramme ou de tout autre marquage indiquant un risque ou un usage particulier énoncés dans les actes d’exécution visés au paragraphe 6.

4. Le marquage CE est suivi du numéro d’identification de l’organisme notifié, lorsque cet organisme participe à la procédure d’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) visée à l’article 24.

Le numéro d’identification de l’organisme notifié est apposé par l’organisme lui-même ou, sur instruction de celui-ci, par le fabricant ou le mandataire du fabricant.

5. Les États membres s’appuient sur les mécanismes existants pour assurer la bonne application du régime régissant le marquage CE et prennent les mesures nécessaires en cas d’usage abusif de ce marquage. Lorsque le produit comportant des éléments numériques relève d’autres actes législatifs de l’Union qui prévoient aussi l’apposition du marquage CE, le marquage CE indique que le produit satisfait également aux exigences de ces autres actes législatifs.

6. La Commission, après consultation du groupe d’experts, du groupe de coopération administrative (ADCO) spécifique et, le cas échéant, d’autres parties prenantes concernées, peut, au moyen d’actes d’exécution, définir des spécifications techniques pour les systèmes d’étiquetage, y compris les étiquettes harmonisées, les pictogrammes ou tout autre marquage en lien avec la sécurité du produit comportant des éléments numériques, sa période d’assistance, ainsi que des mécanismes visant à promouvoir leur utilisation chez les entreprises et les consommateurs et à sensibiliser le public à la sécurité des produits comportant des éléments numériques. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 51, paragraphe 2.

Article 23
Documentation technique

1. La documentation technique réunit l’ensemble des informations ou des précisions utiles concernant les moyens employés par le fabricant pour garantir la conformité du produit comportant des éléments numériques et des processus mis en place par le fabricant aux exigences essentielles énoncées à l’annexe I. Elle contient, au minimum, les éléments énumérés à l’annexe V.

2. La documentation technique est établie avant que le produit comportant des éléments numériques ne soit mis sur le marché et fait l’objet de mises à jour régulières, le cas échéant, au moins pendant la période d’assistance ▌.

3. Pour les produits comportant des éléments numériques mentionnés à l’article 8 et à l’article 24, paragraphe 4, qui relèvent aussi d’autres actes législatifs de l’Union, une seule documentation technique est établie, contenant les informations visées à l’annexe V du présent règlement ainsi que les informations requises en vertu de ces actes de l’Union.

4. La documentation technique et la correspondance se rapportant à toute procédure d’évaluation de la conformité sont rédigées dans une langue officielle de l’État membre dans lequel est établi l’organisme notifié ou dans une langue acceptée par celui-ci.

5. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement aux fins d’inclure les éléments requis dans la documentation technique figurant à l’annexe V pour tenir compte des progrès techniques ainsi que des évolutions rencontrées dans le processus de mise en œuvre du présent règlement. La Commission veille à ce que la charge administrative pesant sur les microentreprises et les petites et moyennes entreprises soit proportionnée.

Article 24
Procédures d’évaluation de la conformité pour les produits comportant des éléments numériques

1. Le fabricant effectue une évaluation de la conformité du produit comportant des éléments numériques et des processus mis en place par le fabricant pour déterminer si les exigences essentielles énoncées à l’annexe I sont respectées. Le fabricant ou le mandataire du fabricant démontre la conformité avec les exigences essentielles en suivant l’une des procédures suivantes:

a) la procédure de contrôle interne (module A) visée à l’annexe VI; ou

b) la procédure d’examen UE de type (module B) prévue à l’annexe VI, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VI; ou

c) l’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VI;

c bis) un schéma européen de certification de cybersécurité adopté en vertu du règlement (UE) 2019/881 conformément à l’article 18, paragraphe 4.

2. Lorsque, lors de l’évaluation de la conformité du produit critique comportant des éléments numériques relevant de la classe I figurant à l’annexe III et des processus mis en place par son fabricant avec les exigences essentielles énoncées à l’annexe I, le fabricant ou le mandataire du fabricant n’a pas appliqué ou n’a appliqué qu’en partie des normes harmonisées, des spécifications communes ou des schémas européens de certification de cybersécurité à un niveau d’assurance «substantiel» ou «élevé» visés à l’article 18, ou lorsque ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité n’existent pas, le produit comportant des éléments numériques concerné et les processus mis en place par le fabricant sont soumis, pour ce qui a trait à ces exigences essentielles, à l’une des procédures suivantes:

a) la procédure d’examen UE de type (module B) prévue à l’annexe VI, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VI; ou

b) l’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VI.

2 bis. Des normes harmonisées, des spécifications communes ou des schémas européens de certification de cybersécurité sont en place pendant six mois avant que la procédure d’évaluation de la conformité visée au paragraphe 2 du présent article ne s’applique. Au cours des six mois précédant l’application du paragraphe 2 du présent article ou lorsqu’il n’existe pas de normes harmonisées, de spécifications communes ou de schémas européens de certification de cybersécurité, les fabricants démontrent la conformité du produit critique comportant des éléments numériques relevant de la classe I telle qu’elle figure à l’annexe III au moyen de la procédure visée au paragraphe 1 du présent article.

3. Lorsque le produit est un produit critique comportant des éléments numériques relevant de la classe II figurant à l’annexe III, le fabricant ou le mandataire du fabricant démontre la conformité avec les exigences essentielles énoncées à l’annexe I en suivant l’une des procédures suivantes:

-a) un certificat de cybersécurité européen dans le cadre d’un schéma européen de certification de cybersécurité au niveau d’assurance «substantiel» ou «élevé» en vertu du règlement (UE) 2019/881;

a) la procédure d’examen UE de type (module B) prévue à l’annexe VI, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VI; ou

b) l’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VI.

3 bis. La Commission demande à l’ENISA de préparer les schémas candidats manquants conformément à l’article 48 du règlement (UE) 2019/881.

4. Le fabricant de produits comportant des éléments numériques qui sont classés comme systèmes de DME ▌ en vertu du règlement [règlement relatif à l’espace européen des données de santé] démontre la conformité avec les exigences essentielles énoncées à l’annexe I du présent règlement en suivant la procédure d’évaluation de la conformité pertinente prévue par le règlement [chapitre III du règlement relatif à l’espace européen des données de santé].

5. Les organismes notifiés tiennent compte des intérêts et besoins spécifiques des microentreprises et des petites et moyennes entreprises ▌ lorsqu’ils fixent les redevances imposées pour les procédures d’évaluation de la conformité, et les réduisent proportionnellement auxdits intérêts et besoins spécifiques. La Commission assure un soutien financier approprié dans le cadre réglementaire des programmes de l’Union existants, notamment afin d’alléger la charge financière pesant sur les microentreprises et sur les petites et moyennes entreprises.

Article 24 bis
Accords de reconnaissance mutuelle

Afin d’encourager le commerce international, la Commission s’efforce de conclure des accords de reconnaissance mutuelle (ARM) avec des pays tiers. L’Union établit des ARM uniquement avec des pays tiers qui se trouvent à un niveau comparable de développement technique et dont l’approche en matière d’évaluation de la conformité est compatible. Les ARM garantissent le même niveau de protection que celui prévu par le présent règlement.

CHAPITRE IV

NOTIFICATION DES ORGANISMES D’ÉVALUATION DE LA CONFORMITÉ

Article 25
Notification

Les États membres notifient à la Commission et aux autres États membres les organismes d’évaluation de la conformité autorisés à procéder à l’évaluation de la conformité conformément au présent règlement.

Article 26
Autorités notifiantes

1. Les États membres désignent une autorité notifiante responsable de la mise en place et de l’application des procédures nécessaires à l’évaluation et à la notification des organismes d’évaluation de la conformité ainsi qu’au contrôle des organismes notifiés, y compris le respect de l’article 31.

2. Les États membres peuvent décider que l’évaluation et le contrôle visés au paragraphe 1 sont effectués par un organisme d’accréditation national au sens du règlement (CE) nº 765/2008 et conformément à ses dispositions.

Article 27
Exigences concernant les autorités notifiantes

1. Une autorité notifiante est établie de manière à éviter tout conflit d’intérêts avec les organismes d’évaluation de la conformité.

2. Une autorité notifiante est organisée et fonctionne de façon à garantir l’objectivité et l’impartialité de ses activités.

3. Une autorité notifiante est organisée de telle sorte que chaque décision concernant la notification d’un organisme d’évaluation de la conformité est prise par des personnes compétentes différentes de celles qui ont réalisé l’évaluation.

4. Une autorité notifiante ne propose ni ne fournit aucune des activités réalisées par les organismes d’évaluation de la conformité, ni aucun service de conseil sur une base commerciale ou concurrentielle.

5. Une autorité notifiante garantit la confidentialité des informations qu’elle obtient.

6. Une autorité notifiante dispose d’un personnel compétent en nombre suffisant pour la bonne exécution de ses tâches.

6 bis. L’autorité notifiante réduit au minimum la charge administrative et les redevances imposées, en particulier, aux microentreprises et aux petites et moyennes entreprises.

Article 28
Obligation des autorités notifiantes en matière d’information

1. Les États membres informent la Commission de leurs procédures concernant l’évaluation et la notification des organismes d’évaluation de la conformité ainsi que le contrôle des organismes notifiés, et de toute modification en la matière.

1 bis. Les États membres, … [24 mois après la date d’entrée en vigueur du présent règlement], s’assurent de la disponibilité, en nombre suffisant, d’organismes notifiés dans l’Union pour effectuer des évaluations de la conformité, afin d’éviter les goulets d’étranglement et les obstacles à l’entrée du marché.

2. La Commission rend publiques ces informations.

Article 29
Exigences concernant les organismes notifiés

1. Aux fins de la notification, un organisme d’évaluation de la conformité répond aux exigences définies aux paragraphes 2 à 12.

2. Un organisme d’évaluation de la conformité est constitué en vertu du droit national et possède la personnalité juridique.

3. Un organisme d’évaluation de la conformité est un organisme tiers indépendant de l’organisation ou du produit qu’il évalue.

Un organisme appartenant à une association d’entreprises ou à une fédération professionnelle qui représente des entreprises participant à la conception, au développement, à la production, à la fourniture, à l’assemblage, à l’utilisation ou à l’entretien des produits comportant des éléments numériques qu’il évalue peut, pour autant que son indépendance et que l’absence de tout conflit d’intérêts soient démontrées, être considéré comme satisfaisant à cette condition.

4. Un organisme d’évaluation de la conformité, ses cadres supérieurs et le personnel chargés d’exécuter les tâches d’évaluation de la conformité ne peuvent être le concepteur, le développeur, le fabricant, le fournisseur, l’installateur, l’acheteur, le propriétaire, l’utilisateur ou le responsable de l’entretien des produits comportant des éléments numériques qu’ils évaluent, ni le mandataire d’aucune de ces parties. Cela n’exclut pas l’utilisation de produits évalués qui sont nécessaires au fonctionnement de l’organisme d’évaluation de la conformité, ou l’utilisation de ces produits à des fins personnelles.

Un organisme d’évaluation de la conformité, ses cadres supérieurs et le personnel chargés d’exécuter les tâches d’évaluation de la conformité n’interviennent pas directement dans la conception, le développement, la production, la commercialisation, l’installation, l’utilisation ou l’entretien de ces produits ou ne représentent pas les parties engagées dans ces activités. Ils ne participent à aucune activité qui peut entrer en conflit avec l’indépendance de leur jugement ou l’intégrité des activités d’évaluation de la conformité pour lesquelles ils sont notifiés. Cela vaut en particulier pour les services de conseil.

Les organismes d’évaluation de la conformité veillent à ce que les activités de leurs filiales ou sous-traitants n’aient pas d’incidence sur la confidentialité, l’objectivité ou l’impartialité de leurs activités d’évaluation de la conformité.

5. Les organismes d’évaluation de la conformité et leur personnel accomplissent les activités d’évaluation de la conformité avec la plus haute intégrité professionnelle et la compétence technique requise dans le domaine spécifique et sont à l’abri de toute pression ou incitation, notamment d’ordre financier, susceptible d’influencer leur jugement ou les résultats de leurs activités d’évaluation de la conformité, en particulier de la part de personnes ou de groupes de personnes intéressés par ces résultats.

6. Un organisme d’évaluation de la conformité est capable d’exécuter toutes les tâches d’évaluation de la conformité visées à l’annexe VI et pour lesquelles il a été notifié, que ces tâches soient exécutées par lui-même ou en son nom et sous sa responsabilité.

En toutes circonstances et pour chaque procédure d’évaluation de la conformité et tout type ou toute catégorie de produits comportant des éléments numériques pour lesquels il a été notifié, l’organisme d’évaluation de la conformité dispose à suffisance:

a) du personnel requis ayant les connaissances techniques et l’expérience suffisante et appropriée pour exécuter les tâches d’évaluation de la conformité;

b) de descriptions des procédures utilisées pour évaluer la conformité, garantissant la transparence et la capacité de reproduction de ces procédures. L’organisme dispose de politiques et de procédures appropriées faisant la distinction entre les tâches qu’il exécute en tant qu’organisme notifié et d’autres activités;

c) de procédures pour accomplir ses activités qui tiennent dûment compte de la taille des entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, du degré de complexité de la technologie du produit en question et de la nature en masse, ou série, du processus de production.

Il dispose des moyens nécessaires à la bonne exécution des tâches techniques et administratives liées aux activités d’évaluation de la conformité et a accès à tous les équipements ou installations nécessaires.

7. Le personnel chargé de l’exécution des activités d’évaluation de la conformité possède:

a) une solide formation technique et professionnelle correspondant à l’ensemble des activités d’évaluation de la conformité pour lesquelles l’organisme d’évaluation de la conformité a été notifié;

b) une connaissance satisfaisante des exigences applicables aux évaluations qu’il effectue et l’autorité nécessaire pour effectuer ces évaluations;

c) une connaissance et une compréhension adéquates des exigences essentielles énoncées à l’annexe I, des normes harmonisées applicables ainsi que des dispositions pertinentes de la législation d’harmonisation de l’Union et de ses actes d’exécution;

d) l’aptitude à rédiger les attestations, procès-verbaux et rapports qui constituent la matérialisation des évaluations effectuées.

7 bis. Les États membres et la Commission mettent en place des mesures appropriées pour assurer la disponibilité d’un nombre suffisant de professionnels qualifiés, afin de réduire au minimum les goulets d’étranglement dans les activités des organismes d’évaluation de la conformité et de faciliter la conformité des opérateurs économiques avec le présent règlement.

8. L’impartialité des organismes d’évaluation de la conformité, de leurs cadres supérieurs et du personnel effectuant l’évaluation est garantie.

La rémunération des cadres supérieurs et du personnel chargé de l’évaluation au sein d’un organisme d’évaluation de la conformité ne dépend ni du nombre d’évaluations effectuées, ni de leurs résultats.

9. Les organismes d’évaluation de la conformité souscrivent une assurance couvrant leur responsabilité civile, à moins que cette responsabilité ne soit couverte par l’État sur la base du droit national ou que l’évaluation de la conformité ne soit effectuée sous la responsabilité directe de l’État membre.

10. Le personnel d’un organisme d’évaluation de la conformité est lié par le secret professionnel pour toutes les informations dont il prend connaissance dans l’exercice de ses fonctions dans le cadre de l’annexe VI ou de toute disposition de droit national lui donnant effet, sauf à l’égard des autorités de surveillance du marché de l’État membre où il exerce ses activités. Les droits de propriété sont protégés en conformité avec l’article 52. L’organisme d’évaluation de la conformité dispose de procédures documentées garantissant le respect du présent paragraphe.

11. Les organismes d’évaluation de la conformité participent aux activités de normalisation pertinentes et aux activités du groupe de coordination des organismes notifiés établi en vertu de l’article 40, ou veillent à ce que leur personnel d’évaluation en soit informé, et appliquent comme lignes directrices les décisions et les documents administratifs résultant du travail de ce groupe.

12. Les organismes d’évaluation de la conformité agissent conformément à un ensemble de conditions cohérentes, justes et raisonnables en conformité avec l’article 37, paragraphe 2, notamment en tenant compte des intérêts des microentreprises et des petites et moyennes entreprises pour ce qui est des redevances.

Article 30
Présomption de conformité des organismes notifiés

Lorsqu’un organisme d’évaluation de la conformité démontre sa conformité avec les critères fixés dans les normes harmonisées concernées, ou dans des parties de ces normes, dont les références ont été publiées au Journal officiel de l’Union européenne, il est présumé répondre aux exigences énoncées à l’article 29 dans la mesure où les normes harmonisées applicables couvrent ces exigences.

Article 31
Filiales et sous-traitants des organismes notifiés

1. Lorsqu’un organisme notifié sous-traite des tâches spécifiques dans le cadre de l’évaluation de la conformité ou a recours à une filiale, il s’assure que le sous-traitant ou la filiale répond aux exigences définies à l’article 29 et informe l’autorité notifiante en conséquence.

2. Les organismes notifiés assument l’entière responsabilité des tâches accomplies par les sous-traitants ou filiales, quel que soit leur lieu d’établissement.

3. Des activités ne peuvent être sous-traitées ou réalisées par une filiale qu’avec l’accord du fabricant.

4. Les organismes notifiés tiennent à la disposition de l’autorité notifiante les documents pertinents concernant l’évaluation des qualifications du sous-traitant ou de la filiale et le travail exécuté par celui-ci ou celle-ci en vertu du présent règlement.

Article 32
Demande de notification

1. Un organisme d’évaluation de la conformité soumet une demande de notification à l’autorité notifiante de l’État membre dans lequel il est établi.

2. Cette demande est accompagnée d’une description des activités d’évaluation de la conformité, de la ou des procédures d’évaluation de la conformité et du ou des produits pour lesquels cet organisme se déclare compétent, ainsi que d’un certificat d’accréditation, lorsqu’il existe, délivré par un organisme national d’accréditation, qui atteste que l’organisme d’évaluation de la conformité remplit les exigences définies à l’article 29.

3. Lorsque l’organisme d’évaluation de la conformité ne peut produire le certificat d’accréditation, il présente à l’autorité notifiante toutes les preuves documentaires nécessaires à la vérification, à la reconnaissance et au contrôle régulier de sa conformité avec les exigences définies à l’article 29.

Article 33
Procédure de notification

1. Les autorités notifiantes ne peuvent notifier que les organismes d’évaluation de la conformité qui ont satisfait aux exigences énoncées à l’article 29.

2. L’autorité notifiante notifie la Commission et les autres États membres à l’aide du système d’information NANDO (New Approach Notified and Designated Organisations) mis en place et géré par la Commission.

3. La notification comprend des informations complètes sur les activités d’évaluation de la conformité, le ou les modules d’évaluation de la conformité et le ou les produits concernés, ainsi que l’attestation de compétence correspondante.

4. Lorsqu’une notification n’est pas fondée sur le certificat d’accréditation visé à l’article 32, paragraphe 2, l’autorité notifiante fournit à la Commission et aux autres États membres les preuves documentaires qui attestent de la compétence de l’organisme d’évaluation de la conformité et des dispositions en place pour garantir que cet organisme sera régulièrement contrôlé et continuera à satisfaire aux exigences énoncées à l’article 29.

5. L’organisme concerné ne peut effectuer les activités propres à un organisme notifié que si aucune objection n’est émise par la Commission ou les autres États membres dans un délai de deux semaines à compter d’une notification dans laquelle il est fait usage d’un certificat d’accréditation, ou dans un délai de deux mois, s’il n’en est pas fait usage.

Seul un tel organisme est considéré comme un organisme notifié aux fins du présent règlement.

6. La Commission et les autres États membres sont avertis de toute modification pertinente apportée ultérieurement à la notification.

Article 34
Numéros d’identification et liste des organismes notifiés

1. La Commission attribue un numéro d’identification à chaque organisme notifié.

Elle attribue un seul numéro, même si l’organisme est notifié au titre de plusieurs actes de l’Union.

2. La Commission rend publique la liste des organismes notifiés au titre du présent règlement et y mentionne les numéros d’identification qui leur ont été attribués et les activités pour lesquelles ils ont été notifiés.

La Commission veille à ce que cette liste soit tenue à jour.

Article 35
Modifications apportées à la notification

1. Lorsqu’une autorité notifiante a établi ou a été informée qu’un organisme notifié ne répond plus aux exigences énoncées à l’article 29, ou qu’il ne s’acquitte pas de ses obligations, elle soumet la notification à des restrictions, la suspend ou la retire, selon le cas, en fonction de la gravité du non-respect de ces exigences ou du non-acquittement de ces obligations. Elle en informe immédiatement la Commission et les autres États membres.

2. En cas de restriction, de suspension ou de retrait d’une notification, ou lorsque l’organisme notifié a cessé ses activités, l’État membre notifiant prend les mesures qui s’imposent pour faire en sorte que les dossiers dudit organisme soient traités par un autre organisme notifié ou tenus à la disposition des autorités notifiantes et des autorités de surveillance du marché compétentes qui en font la demande.

Article 36
Contestation de la compétence des organismes notifiés

1. La Commission enquête sur tous les cas dans lesquels elle nourrit des doutes ou est avertie de doutes quant à la compétence d’un organisme notifié ou au fait qu’il continue à remplir les exigences qui lui sont applicables et à s’acquitter des responsabilités qui lui incombent.

2. L’État membre notifiant communique à la Commission, sur demande, toutes les informations relatives au fondement de la notification ou au maintien de la compétence de l’organisme concerné.

3. La Commission veille à ce que toutes les informations sensibles obtenues au cours de ses enquêtes soient traitées de manière confidentielle.

4. Lorsque la Commission établit qu’un organisme notifié ne répond pas ou ne répond plus aux exigences relatives à sa notification, elle en informe l’État membre notifiant et l’invite à prendre les mesures correctives qui s’imposent, y compris la dénotification si nécessaire.

Article 37
Obligations opérationnelles des organismes notifiés

1. Les organismes notifiés réalisent les évaluations de la conformité dans le respect des procédures d’évaluation de la conformité prévues à l’article 24 et à l’annexe VI.

2. Les évaluations de la conformité sont effectuées de manière proportionnée, en évitant d’imposer des charges inutiles aux opérateurs économiques, et en tenant compte des microentreprises et des petites et moyennes entreprises. Les organismes d’évaluation de la conformité accomplissent leurs activités en tenant dûment compte de la taille des entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, du degré de complexité et de l’exposition au risque du type et de la technologie du produit en question et de la nature en masse, ou série, du processus de production.

3. Les organismes notifiés respectent toutefois le degré de rigueur et le niveau de protection requis pour la conformité du produit avec les dispositions du présent règlement.

4. Lorsqu’un organisme notifié constate que les exigences définies dans l’annexe I ou dans les normes harmonisées correspondantes ou les spécifications communes telles que visées à l’article 19 n’ont pas été remplies par un fabricant, il invite celui-ci à prendre les mesures correctives appropriées et ne délivre pas de certificat de conformité.

5. Lorsque, au cours du contrôle de la conformité faisant suite à la délivrance d’un certificat de conformité, un organisme notifié constate qu’un produit ne respecte plus les exigences définies par le présent règlement, il exige du fabricant qu’il prenne les mesures correctrices appropriées et suspend ou retire le certificat si nécessaire.

6. Lorsque des mesures correctives ne sont pas prises ou n’ont pas l’effet requis, l’organisme notifié soumet le certificat à des restrictions, le suspend ou le retire, le cas échéant.

Article 38
Obligation des organismes notifiés en matière d’information

1. Les organismes notifiés communiquent à l’autorité notifiante les éléments suivants:

a) tout refus, restriction, suspension ou retrait d’un certificat;

b) toute circonstance ayant une incidence sur la portée et les conditions de la notification;

c) toute demande d’information reçue des autorités de surveillance du marché concernant des activités d’évaluation de la conformité;

d) sur demande, les activités d’évaluation de la conformité réalisées dans le cadre de leur notification et toute autre activité réalisée, y compris les activités transfrontières et sous-traitées.

2. Les organismes notifiés fournissent aux autres organismes notifiés au titre du présent règlement qui effectuent des activités similaires d’évaluation de la conformité couvrant les mêmes produits des informations pertinentes sur les questions relatives aux résultats négatifs de l’évaluation de la conformité et, sur demande, aux résultats positifs.

Article 39
Partage d’expérience

La Commission veille à l’organisation du partage d’expérience entre les autorités nationales des États membres responsables de la politique de notification.

Article 40
Coordination des organismes notifiés

1. La Commission veille à ce qu’une coordination et une coopération appropriées s’établissent entre les organismes notifiés, en tenant également compte de la nécessité de réduire la charge administrative et les redevances, et soient dûment encadrées sous la forme d’un groupe transsectoriel d’organismes notifiés.

2. Les États membres veillent à ce que les organismes qu’ils ont notifiés participent aux travaux de ce groupe, directement ou par l’intermédiaire de représentants désignés.

CHAPITRE V

SURVEILLANCE DU MARCHÉ ET CONTRÔLE DE L’APPLICATION DE LA LÉGISLATION

Article 41
Surveillance du marché et contrôle des produits comportant des éléments numériques sur le marché de l’Union

1. Le règlement (UE) 2019/1020 s’applique aux produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement.

2. Chaque État membre désigne une ou plusieurs autorités de surveillance du marché chargées de veiller à la mise en œuvre effective du présent règlement. Les États membres peuvent désigner une autorité existante ou une nouvelle autorité qui agit en tant qu’autorité de surveillance du marché aux fins du présent règlement.

3. Le cas échéant, les autorités de surveillance du marché coopèrent avec les autorités nationales de certification de cybersécurité désignées en vertu de l’article 58 du règlement (UE) 2019/881, les autorités et CSIRT compétents désignés en vertu de la directive (UE) 2022/2555, et échangent régulièrement des informations.  ▌

3 bis. Les autorités de surveillance du marché désignées coopèrent avec l’ENISA en ce qui concerne le contrôle de la mise en œuvre des obligations en matière de communication d’informations prévues à l’article 11 du présent règlement. Les autorités de surveillance du marché peuvent demander à l’ENISA de fournir des conseils techniques sur des questions liées à la mise en œuvre et à l’application du présent règlement. Au moment de mener une enquête en vertu de l’article 43, les autorités de surveillance du marché peuvent demander à l’ENISA de fournir des évaluations non contraignantes de conformité des produits comportant des éléments numériques.

4. Le cas échéant, les autorités de surveillance du marché coopèrent avec d’autres autorités de surveillance du marché désignées sur la base d’autres législations d’harmonisation de l’Union pour d’autres produits et échangent des informations régulièrement.

5. Les autorités de surveillance du marché coopèrent, s’il y a lieu, avec les autorités chargées de la surveillance du droit de l’Union en matière de protection des données. Cette coopération consiste notamment à informer ces autorités de toute conclusion pertinente pour l’exercice de leurs compétences, y compris lors de la publication d’orientations et de conseils en vertu du paragraphe 8 du présent article, si ces orientations et conseils concernent le traitement de données à caractère personnel.

Les autorités chargées de la surveillance du droit de l’Union en matière de protection des données sont habilitées à demander toute documentation rédigée ou tenue à jour en vertu du présent règlement et à y accéder lorsque l’accès à ces documents est nécessaire à l’accomplissement de leurs tâches. Elles informent les autorités de surveillance du marché désignées de l’État membre concerné de toute demande en ce sens.

6. Les États membres veillent à ce que les autorités de surveillance du marché désignées disposent de ressources financières et humaines suffisantes, avec des compétences appropriées en cybersécurité, afin de mener à bien les tâches qui leur sont confiées en vertu du présent règlement.

7. La Commission facilite les échanges réguliers et structurés d’expériences entre les autorités de surveillance du marché désignées.

8. Avec le soutien du CSIRT, de l’ENISA, et de la Commission, les autorités de surveillance du marché peuvent fournir des orientations et des conseils aux opérateurs économiques sur la mise en œuvre du présent règlement, ainsi que sur les facteurs de risque non techniques.

8 bis. Les autorités de surveillance du marché ont les capacités de recevoir les réclamations des consommateurs conformément à l’article 11 du règlement 2019/1020, notamment en établissant des mécanismes clairs et accessibles afin de faciliter le signalement des vulnérabilités, des incidents et des cybermenaces.

9. Chaque année, les autorités de surveillance du marché communiquent à la Commission les résultats des activités de surveillance du marché pertinentes. Les autorités de surveillance du marché désignées communiquent sans retard à la Commission et aux autorités nationales de la concurrence concernées toute information recueillie dans le cadre des activités de surveillance du marché qui pourrait présenter un intérêt potentiel pour l’application du droit de la concurrence de l’Union.

Les autorités de surveillance du marché fournissent à la Commission des données sur la période d’assistance moyenne définie par les fabricants, ainsi que sur la durée de vie prévue moyenne du produit lorsqu’elle est disponible, ventilées par catégorie de produits comportant des éléments numériques. La Commission analyse ces informations et les publie dans une base de données accessible au public et conviviale.

9 bis. La Commission évalue les données signalées, conformément notamment au paragraphe 9 du présent article, aux fins des rapports visés à l’article 56. Lorsque les données signalées suggèrent un niveau accru de non-conformité dans certaines catégories spécifiques de produits, la Commission peut, après consultation du groupe d’experts et de l’ADCO, recommander que les autorités de surveillance se concentrent sur les catégories de produits concernées.

10. Pour les produits comportant des éléments numériques relevant du champ d’application du présent règlement classés comme systèmes d’IA à haut risque conformément à l’article [article 6] du règlement [la législation sur l’IA], les autorités de surveillance du marché désignées aux fins du règlement [la législation sur l’IA] sont les autorités responsables des activités de surveillance du marché requises en vertu du présent règlement. Les autorités de surveillance du marché désignées en vertu du règlement [la législation sur l’IA] coopèrent, le cas échéant, avec les autorités de surveillance du marché désignées en vertu du présent règlement et, en ce qui concerne le contrôle de la mise en œuvre des obligations en matière de communication d’informations prévues à l’article 11, avec l’ENISA. Les autorités de surveillance du marché désignées en vertu du règlement [la législation sur l’IA] informent en particulier les autorités de surveillance du marché désignées en vertu du présent règlement de toute conclusion pertinente pour la réalisation de leurs tâches liées à la mise en œuvre du présent règlement.

11. Un ▌ADCO pour la cyberrésilience des produits comportant des éléments numériques est établi pour l’application uniforme du présent règlement, conformément à l’article 30, paragraphe 2, du règlement (UE) 2019/1020. Cet ADCO se compose de représentants des autorités de surveillance du marché désignées et, si nécessaire, de représentants des bureaux de liaison uniques. En particulier, cet ADCO échange les bonnes pratiques et, le cas échéant, coopère avec le groupe d’experts et l’ENISA, ainsi qu’avec le groupe de coopération et le réseau des CSIRT visés par la directive (UE) 2022/2555.

11 bis. Les autorités de surveillance du marché facilitent la participation des parties prenantes, notamment des organisations scientifiques, de recherche et de consommateurs, à leurs activités.

Article 42
Accès aux données et à la documentation

Lorsque cela est nécessaire pour évaluer la conformité des produits comportant des éléments numériques et des processus mis en place par leurs fabricants aux exigences essentielles énoncées à l’annexe I, et sur demande motivée, les autorités de surveillance du marché ont accès aux données requises pour évaluer la conception, le développement, la production et le traitement des vulnérabilités de ces produits, y compris la documentation interne correspondante de l’opérateur économique concerné.

Article 43
Procédure au niveau national concernant les produits comportant des éléments numériques qui présentent un risque de cybersécurité important

1. Lorsque l’autorité de surveillance du marché d’un État membre a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques, y compris son traitement des vulnérabilités, présente un risque de cybersécurité important, elle procède, dans les meilleurs délais, et le cas échéant en coopération avec le CSIRT, à une évaluation de la conformité de ce produit avec l’ensemble des exigences énoncées dans le présent règlement. Les opérateurs économiques concernés coopèrent comme il se doit avec l’autorité de surveillance du marché.

Si, au cours de cette évaluation, l’autorité de surveillance du marché constate que le produit comportant des éléments numériques ne respecte pas les exigences énoncées dans le présent règlement, elle invite sans tarder l’opérateur économique en cause à prendre toutes les mesures correctives appropriées pour mettre le produit en conformité avec ces exigences, le retirer du marché ou le rappeler dans un délai raisonnable, proportionné à la nature du risque, qu’elle prescrit.

L’autorité de surveillance du marché informe l’organisme notifié concerné en conséquence. L’article 18 du règlement (UE) 2019/1020 s’applique aux mesures correctives appropriées.

1 bis. Lorsque l’autorité de surveillance du marché d’un État membre a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques présente un risque de cybersécurité important ou une menace pour la sécurité nationale à la lumière de facteurs de risque non techniques, elle adresse des recommandations ciblées aux opérateurs économiques afin de veiller à ce que des mesures correctives appropriées soient mises en place.

2. Lorsque l’autorité de surveillance du marché considère que la non-conformité n’est pas limitée à son territoire national, elle informe la Commission et les autres États membres des résultats de l’évaluation et des mesures qu’elle a exigées de l’opérateur.

3. Le fabricant s’assure que toutes les mesures correctives appropriées sont prises pour tous les produits comportant des éléments numériques concernés qu’il a mis à disposition sur le marché dans toute l’Union.

4. Lorsque le fabricant d’un produit comportant des éléments numériques ne prend pas les mesures correctives adéquates dans le délai visé au paragraphe 1, deuxième alinéa, l’autorité de surveillance du marché adopte toutes les mesures provisoires appropriées pour interdire ou restreindre la mise à disposition du produit sur son marché national ou pour procéder à son retrait de ce marché ou à son rappel.

L’autorité informe sans retard la Commission et les autres États membres de ces mesures.

5. Les informations visées au paragraphe 4 contiennent toutes les précisions disponibles, notamment en ce qui concerne les données nécessaires pour identifier les produits comportant des éléments numériques non conformes, l’origine du produit comportant des éléments numériques, la nature de la non-conformité alléguée et du risque encouru, ainsi que la nature et la durée des mesures nationales adoptées et les arguments avancés par l’opérateur concerné. En particulier, l’autorité de surveillance du marché indique si la non-conformité découle d’une ou plusieurs des causes suivantes:

a) la non-conformité du produit ou des processus mis en place par le fabricant avec les exigences essentielles énoncées à l’annexe I;

b) des lacunes dans les normes harmonisées, les systèmes de certification de cybersécurité ou les spécifications communes visés à l’article 18.

6. Les autorités de surveillance du marché des États membres autres que l’autorité de surveillance du marché de l’État membre qui a entamé la procédure informent sans retard la Commission et les autres États membres de toute mesure adoptée et de toute information supplémentaire dont elles disposent à propos de la non-conformité du produit concerné et, en cas de désaccord avec la mesure nationale notifiée, de leurs objections.

7. Lorsque, dans les trois mois suivant la réception des informations mentionnées au paragraphe 4, aucune objection n’a été émise par un État membre ou par la Commission à l’encontre d’une mesure provisoire prise par un État membre, cette mesure est réputée justifiée. Cette disposition est sans préjudice des droits procéduraux de l’opérateur concerné conformément à l’article 18 du règlement (UE) 2019/1020.

8. Les autorités de surveillance du marché de tous les États membres veillent à ce que les mesures restrictives appropriées, comme le retrait de leur marché, soient prises sans retard à l’égard du produit concerné.

Article 44
Procédure de sauvegarde de l’Union

1. Lorsque, dans un délai de trois mois suivant la réception de la notification visée à l’article 43, paragraphe 4, un État membre soulève des objections à l’encontre d’une mesure prise par un autre État membre ou que la Commission estime que cette mesure est contraire à la législation de l’Union, la Commission entame sans tarder des consultations avec l’État membre et le ou les opérateurs économiques concernés et procède à l’évaluation de la mesure nationale. En fonction des résultats de cette évaluation, la Commission décide si la mesure nationale est justifiée ou non dans un délai de neuf mois suivant la notification visée à l’article 43, paragraphe 4, et communique sa décision à l’État membre concerné.

2. Si la mesure nationale est jugée justifiée, tous les États membres prennent les mesures nécessaires pour s’assurer du retrait du produit comportant des éléments numériques non conforme de leur marché et ils en informent la Commission. Si la mesure nationale est jugée injustifiée, l’État membre concerné la retire.

3. Lorsque la mesure nationale est jugée justifiée et que la non-conformité du produit comportant des éléments numériques est imputée à des lacunes dans les normes harmonisées, la Commission applique la procédure prévue à l’article 10 du règlement (UE) nº 1025/2012.

4. Lorsque la mesure nationale est jugée justifiée et que la non-conformité du produit comportant des éléments numériques est imputée à des lacunes dans un schéma européen de certification de cybersécurité visé à l’article 18, la Commission examine s’il y a lieu de modifier ou d’abroger l’acte d’exécution visé à l’article 18, paragraphe 4, qui précise la présomption de conformité concernant ce schéma de certification.

5. Lorsque la mesure nationale est jugée justifiée et que la non-conformité du produit comportant des éléments numériques est imputée à des lacunes dans les spécifications communes visées à l’article 19, la Commission examine s’il y a lieu de modifier ou d’abroger l’acte d’exécution visé à l’article 19 qui établit ces spécifications communes.

Article 45
Procédure au niveau de l’UE concernant les produits comportant des éléments numériques qui présentent un risque de cybersécurité important

1. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques présentant un risque de cybersécurité important n’est pas conforme aux exigences énoncées dans le présent règlement, elle demande aux autorités de surveillance du marché concernées de procéder à une évaluation de la conformité et de suivre les procédures visées à l’article 43.

1 bis. Lorsque la Commission a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques présente un risque de cybersécurité important à la lumière de facteurs de risque non techniques, elle en informe les autorités de surveillance du marché concernées et adresse des recommandations ciblées aux opérateurs économiques afin de veiller à ce que des mesures correctives appropriées soient mises en place.

2. Dans des circonstances ▌qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons de considérer que le produit visé au paragraphe 1 demeure non conforme aux exigences énoncées dans le présent règlement et qu’aucune mesure effective n’a été prise par les autorités de surveillance du marché concernées, la Commission demande à l’ENISA de procéder à une évaluation de la conformité. La Commission en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent comme il se doit avec l’ENISA.

3. Se fondant sur l’évaluation de l’ENISA, la Commission peut décider qu’une mesure corrective ou restrictive est nécessaire au niveau de l’Union. À cette fin, elle consulte sans tarder les États membres concernés et le ou les opérateurs économiques concernés.

4. Sur la base de la consultation visée au paragraphe 3, la Commission peut adopter des actes d’exécution afin de décider de mesures correctives ou restrictives au niveau de l’Union, y compris ordonner le retrait du marché du produit ou le rappeler, dans un délai raisonnable, proportionné à la nature du risque. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 51, paragraphe 2.

5. La Commission communique immédiatement à l’opérateur ou aux opérateurs économiques concernés la décision visée au paragraphe 4. Les États membres exécutent les actes visés au paragraphe 4 sans tarder et en informent la Commission.

6. Les paragraphes 2 à 5 sont applicables pendant la durée de la situation exceptionnelle qui a justifié l’intervention de la Commission et aussi longtemps que le produit concerné n’est pas mis en conformité avec le présent règlement.

Article 46
Produits conformes comportant des éléments numériques qui présentent un risque de cybersécurité important

1. Lorsque, après avoir réalisé une évaluation au titre de l’article 43, l’autorité de surveillance du marché d’un État membre constate que, bien qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant soient conformes au présent règlement, ils présentent un risque de cybersécurité important ainsi qu’un risque pour la santé ou la sécurité des personnes, pour le respect des obligations découlant du droit de l’Union ou du droit national visant à protéger les droits fondamentaux, pour la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services proposés au moyen d’un système d’information électronique par des entités essentielles du type visé à l’article 3 de la directive (UE) 2022/2555 ou pour d’autres aspects de la protection de l’intérêt public, elle exige de l’opérateur économique concerné qu’il prenne toutes les mesures appropriées pour faire en sorte qu’une fois mis sur le marché, le produit comportant des éléments numériques et les processus mis en place par le fabricant concerné ne présentent plus ce risque, pour retirer ledit produit du marché ou pour le rappeler dans un délai raisonnable, proportionné à la nature du risque.

2. Le fabricant ou les autres opérateurs économiques concernés s’assurent que des mesures correctives sont prises pour tous les produits comportant des éléments numériques concernés qu’ils ont mis à disposition sur le marché dans toute l’Union dans le délai établi par l’autorité de surveillance du marché de l’État membre visée au paragraphe 1.

3. L’État membre informe immédiatement la Commission et les autres États membres des mesures prises en application du paragraphe 1. Ces informations comprennent toutes les précisions disponibles, notamment les données nécessaires pour identifier les produits comportant des éléments numériques concernés, leur origine et leur chaîne d’approvisionnement, la nature du risque couru, ainsi que la nature et la durée des mesures nationales adoptées.

4. La Commission entame sans retard des consultations avec les États membres et l’opérateur économique en cause et évalue les mesures nationales prises. En fonction des résultats de cette évaluation, la Commission décide si la mesure est justifiée ou non et, si nécessaire, propose des mesures appropriées.

5. La Commission communique sa décision aux États membres.

6. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques, bien que conforme au présent règlement, présente les risques visés au paragraphe 1, elle peut demander aux autorités de surveillance du marché concernées de procéder à une évaluation de la conformité et de suivre les procédures visées à l’article 43 et aux paragraphes 1, 2 et 3 du présent article.

7. Dans des circonstances ▌qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons suffisantes de considérer que le produit visé au paragraphe 6 continue de présenter les risques visés au paragraphe 1 et qu’aucune mesure effective n’a été prise par les autorités nationales de surveillance du marché concernées, la Commission peut demander à l’ENISA de procéder à une évaluation des risques présentés par ledit produit et en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent comme il se doit avec l’ENISA.

8. Se fondant sur l’évaluation de l’ENISA visée au paragraphe 7, la Commission établit ▌une mesure corrective ou restrictive au niveau de l’Union si nécessaire. À cette fin, elle consulte sans tarder les États membres concernés et le ou les opérateurs concernés.

9. Sur la base de la consultation visée au paragraphe 8, la Commission peut adopter des actes d’exécution afin de décider de mesures correctives ou restrictives au niveau de l’Union, y compris ordonner le retrait du marché du produit ou le rappeler, dans un délai raisonnable, proportionné à la nature du risque. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 51, paragraphe 2.

10. La Commission communique immédiatement à l’opérateur ou aux opérateurs concernés la décision visée au paragraphe 9. Les États membres exécutent ces actes sans tarder et en informent la Commission.

11. Les paragraphes 6 à 10 sont applicables pendant la durée de la situation exceptionnelle qui a justifié l’intervention de la Commission et aussi longtemps que le produit concerné continue de présenter les risques visés au paragraphe 1.

Article 47
Non-conformité formelle

1. Lorsque l’autorité de surveillance du marché d’un État membre fait l’une des constatations ci-après, elle invite le fabricant concerné à mettre un terme à la non-conformité en question:

a) le marquage de conformité a été apposé en violation des articles 21 et 22;

b) le marquage de conformité n’a pas été apposé;

c) la déclaration UE de conformité n’a pas été établie;

d) la déclaration UE de conformité n’a pas été établie correctement;

e) le numéro d’identification de l’organisme notifié, qui participe à la procédure d’évaluation de la conformité, le cas échéant, n’a pas été apposé.

f) la documentation technique n’est pas disponible ou n’est pas complète.

2. Si la non-conformité visée au paragraphe 1 persiste, l’État membre concerné prend toutes les mesures appropriées pour restreindre ou interdire la mise à disposition du produit comportant des éléments numériques sur le marché ou pour faire en sorte que le produit soit rappelé ou retiré du marché.

Article 48
Activités conjointes des autorités de surveillance du marché

1. Les autorités de surveillance du marché mènent des activités conjointes visant à garantir la cybersécurité et la protection des consommateurs en ce qui concerne des produits spécifiques comportant des éléments numériques mis sur le marché ou mis à disposition sur le marché, en particulier des produits dont il est souvent constaté qu’ils présentent des risques de cybersécurité.

2. La Commission ou l’ENISA proposent des activités conjointes de contrôle du respect du présent règlement à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations relatives à une non-conformité potentielle, dans plusieurs États membres, de produits qui relèvent du champ d’application du présent règlement, aux exigences fixées par ce dernier.

3. Les autorités de surveillance du marché et la Commission, le cas échéant, veillent à ce que l’accord portant sur la réalisation d’activités conjointes n’engendre pas de concurrence déloyale entre les opérateurs économiques et n’influe pas négativement sur l’objectivité, l’indépendance et l’impartialité des parties à l’accord.

4. Une autorité de surveillance du marché peut utiliser toutes les informations issues des activités menées dans le cadre des enquêtes qu’elle entreprend.

5. L’autorité de surveillance du marché concernée et la Commission, le cas échéant, mettent à la disposition du public l’accord sur les activités conjointes, y compris le nom des parties concernées.

Article 49
Opérations «coup de balai»

1. Les autorités de surveillance du marché mènent régulièrement ▌des actions de contrôle coordonnées et simultanées (opérations «coup de balai») concernant certains produits ou catégories de produits comportant des éléments numériques afin de vérifier le respect du présent règlement ou de détecter des infractions à celui-ci. Elles comprennent des inspections de produits acquis sous une identité d’emprunt et visent à vérifier la conformité de ces produits au présent règlement.

2. Sauf accord contraire des autorités de surveillance du marché participantes, les opérations «coup de balai» sont coordonnées par la Commission. Le coordonnateur de l’opération «coup de balai» publie les résultats agrégés de l’opération.

3. L’ENISA identifie, dans l’exécution de ses tâches, y compris sur la base des notifications reçues conformément à l’article 11, paragraphes 1 et 2, des catégories de produits pour lesquelles des opérations «coup de balai» sont organisées. La proposition d’opération «coup de balai» est soumise au coordonnateur potentiel visé au paragraphe 2 pour examen par les autorités de surveillance du marché.

4. Lorsqu’elles mènent des opérations «coup de balai», les autorités de surveillance du marché participantes peuvent faire usage des pouvoirs d’enquête prévus aux articles 41 à 47, ainsi que des autres pouvoirs qui leur sont conférés par le droit national.

5. Les autorités de surveillance du marché invitent des fonctionnaires de la Commission et d’autres personnes les accompagnant habilitées par la Commission à participer aux opérations «coup de balai».

CHAPITRE VI

POUVOIRS DÉLÉGUÉS ET PROCÉDURE DE COMITÉ

Article 50
Exercice de la délégation

1. Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2. Le pouvoir d’adopter des actes délégués visé à l’article 2, paragraphe 4, à l’article 6, paragraphe 2, à l’article 6, paragraphe 3, à l’article 6, paragraphe 5, à l’article 10, paragraphe 15, à l’article 11, paragraphe 5, à l’article 18, paragraphe 4, à l’article 19, paragraphe 1, à l’article 20, paragraphe 5, et à l’article 23, paragraphe 5, est conféré à la Commission.

3. La délégation de pouvoir visée à l’article 2, paragraphe 4, à l’article 6, paragraphe 2, à l’article 6, paragraphe 3, à l’article 6, paragraphe 5, à l’article 10, paragraphe 15, à l’article 11, paragraphe 5, à l’article 18, paragraphe 4, à l’article 19, paragraphe 1, à l’article 20, paragraphe 5, et à l’article 23, paragraphe 5, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4. Avant d’adopter un acte délégué, la Commission consulte les experts désignés par chaque État membre conformément aux principes énoncés dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer».

5. Aussitôt qu’elle adopte un acte délégué, la Commission le notifie simultanément au Parlement européen et au Conseil.

6. Un acte délégué adopté en vertu de l’article 2, paragraphe 4, de l’article 6, paragraphe 2, de l’article 6, paragraphe 3, de l’article 6, paragraphe 5, de l’article 10, paragraphe 15, de l’article 11, paragraphe 5, de l’article 18, paragraphe 4, de l’article 19, paragraphe 1, de l’article 20, paragraphe 5, ou de l’article 23, paragraphe 5, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil, ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.

Article 51
Procédure de comité

1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) nº 182/2011.

2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) nº 182/2011 s’applique.

3. Lorsque l’avis du comité doit être obtenu par procédure écrite, ladite procédure est close sans résultat lorsque, dans le délai pour émettre un avis, le président du comité le décide ou un membre du comité le demande.

CHAPITRE VII

CONFIDENTIALITÉ ET SANCTIONS

Article 52
Confidentialité

1. Toutes les parties associées à l’application du présent règlement respectent la confidentialité des informations et des données obtenues dans l’exécution de leurs tâches et activités de manière à protéger, en particulier:

a) les droits de propriété intellectuelle et les informations confidentielles de nature commerciale ou les secrets d’affaires des personnes physiques ou morales, y compris le code source, à l’exception des cas visés à l’article 5 de la directive (UE) 2016/943 du Parlement européen et du Conseil[38];

b) l’application effective du présent règlement, notamment en ce qui concerne les inspections, les investigations ou les audits;

c) les intérêts en matière de sécurité nationale et publique;

d) l’intégrité des procédures pénales ou administratives.

2. Sans préjudice du paragraphe 1, les informations échangées à titre confidentiel entre les autorités de surveillance du marché et entre celles-ci, d’une part, et la Commission, d’autre part, ne sont pas divulguées sans l’accord préalable de l’autorité de surveillance du marché dont elles émanent.

3. Les paragraphes 1 et 2 sont sans effet sur les droits et obligations de la Commission, des États membres et des organismes notifiés en matière d’échange d’informations et de diffusion de mises en garde et sur les obligations d’information incombant aux personnes concernées en vertu du droit pénal des États membres.

4. La Commission et les États membres peuvent échanger, si nécessaire, des informations sensibles avec les autorités compétentes de pays tiers avec lesquels ils ont conclu des accords bilatéraux ou multilatéraux en matière de confidentialité garantissant un niveau de protection approprié.

Article 53
Sanctions

1. Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement par les opérateurs économiques et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres veillent à ce que le régime ainsi déterminé tienne compte des capacités financières des microentreprises et des petites et moyennes entreprises.

2. Les États membres informent la Commission, sans retard, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures. La Commission veille à l’application uniforme et cohérente de ce régime et de ces mesures dans l’ensemble de l’Union.

3. La non-conformité avec les exigences de cybersécurité établies à l’annexe I et avec les obligations énoncées aux articles 10 et 11 fait l’objet d’une amende administrative pouvant aller jusqu’à 15 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2,5 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

4. La non-conformité avec toute autre obligation au titre du présent règlement fait l’objet d’amendes administratives pouvant aller jusqu’à 10 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

5. La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 5 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 1 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

6. Pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas sont prises en considération et il est dûment tenu compte des éléments suivants:

a) la nature, la gravité et la durée de l’infraction et de ses conséquences;

a bis) le point de savoir si l’infraction est involontaire;

b) la question de savoir si des amendes administratives ont déjà été imposées par les mêmes ou d’autres autorités de surveillance du marché au même opérateur pour une infraction similaire;

c) la taille, en particulier en ce qui concerne les microentreprises, les petites et moyennes entreprises, y compris les jeunes pousses, et la part de marché de l’opérateur qui commet l’infraction.

7. Les autorités de surveillance du marché qui appliquent des amendes administratives communiquent ces informations aux autorités de surveillance du marché des autres États membres au moyen du système d’information et de communication visé à l’article 34 du règlement (UE) 2019/1020.

8. Chaque État membre établit les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

9. En fonction du système juridique des États membres, les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que les amendes sont imposées par les juridictions nationales compétentes ou d’autres organismes, en fonction des compétences établies au niveau national dans ces États membres. L’application de ces règles dans ces États membres a un effet équivalent.

10. Des amendes administratives peuvent être imposées, en fonction des circonstances propres à chaque cas, en plus de toute autre mesure corrective ou restrictive appliquée par les autorités de surveillance du marché pour la même infraction.

Article 53 bis
Affectation des recettes provenant des sanctions

Les États membres affectent les recettes provenant des sanctions visées à l’article 53, paragraphe 1 à des projets destinés à élever le niveau de la cybersécurité au sein de l’Union. Ces projets visent au moins l’un des objectifs suivants:

a) augmenter le nombre de professionnels qualifiés dans le domaine de la cybersécurité, notamment le nombre de femmes;

b) renforcer les capacités des microentreprises et des petites et moyennes entreprises afin de faciliter leur conformité avec le présent règlement;

c) améliorer la sensibilisation du public aux cybermenaces, notamment en ce qui concerne leur prévention et leur gestion;

d) élaborer des outils pour accroître la résilience des entreprises de l’Union face aux vols de propriété intellectuelle facilités par les technologies de l’information et de la communication.

 

CHAPITRE VIII

DISPOSITIONS TRANSITOIRES ET FINALES

Article 54
Modification du règlement (UE) 2019/1020

À l’annexe I du règlement (UE) nº 2019/1020, le point suivant est ajouté:

«71.  [Règlement XXX] [législation sur la cyberrésilience]».

Article 54 bis
Modification de la directive (UE) 2020/1828

À l’annexe I de la directive (UE) 2020/1828 du Parlement européen et du Conseil[39], le point suivant est ajouté:

«67)  [Règlement XXX] [législation sur la cyberrésilience]».

Article 55
Dispositions transitoires

1. Les attestations d’examen UE de type et les décisions d’approbation délivrées en ce qui concerne les exigences de cybersécurité applicables aux produits comportant des éléments numériques qui sont soumis à d’autres législations d’harmonisation de l’Union restent valables jusqu’au [42 mois après la date d’entrée en vigueur du présent règlement], à moins qu’elles n’expirent avant cette date, ou sauf disposition contraire dans toute autre législation de l’Union, auquel cas elles restent valables conformément à cette législation de l’Union.

2. Les produits comportant des éléments numériques qui ont été mis sur le marché avant le [date d’application du présent règlement visée à l’article 57] ne sont soumis aux exigences du présent règlement que si, à compter de cette date, ces produits font l’objet de modifications substantielles de leur conception ou de leur utilisation prévue.

3. Par dérogation au paragraphe 2, les obligations prévues à l’article 11 s’appliquent à tous les produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement qui ont été mis sur le marché avant le [date d’application du présent règlement visée à l’article 57].

3 bis. Jusqu’à la date d’application du présent règlement, les fabricants peuvent se conformer aux exigences du présent règlement à titre volontaire. Lorsque les fabricants se conforment au présent règlement en ce qui concerne leurs produits comportant des éléments numériques, ils sont réputés se conformer également au règlement délégué (UE) nº 2022/30.

La Commission abroge le règlement délégué (UE) nº 2022/30 à la même date d’application du présent règlement.

Article 56
Évaluation et réexamen

1. Au plus tard le [36 mois après la date d’application du présent règlement] et tous les quatre ans par la suite, la Commission présente au Parlement européen et au Conseil un rapport sur l’évaluation et le réexamen du présent règlement. Les rapports sont rendus publics.

2. Chaque année, lors de la présentation du projet de budget pour l’année suivante, la Commission soumet une évaluation détaillée des tâches confiées à l’ENISA en vertu du présent règlement, telles qu’elles sont définies à l’annexe VI bis et dans d’autres textes législatifs pertinents de l’Union, et précise les ressources financières et humaines nécessaires à l’accomplissement de ces tâches.

Article 57
Entrée en vigueur et application

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il est applicable à partir du [36 mois après la date d’entrée en vigueur du présent règlement]. Cependant, l’article 11 s’applique à compter du [18 mois après la date d’entrée en vigueur du présent règlement].

 

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à ▌, le

Par le Parlement européen Par le Conseil

La présidente Le président

 

ANNEXE I

 

EXIGENCES ESSENTIELLES EN MATIÈRE DE CYBERSÉCURITÉ

1. Exigences de sécurité relatives aux propriétés des produits comportant des éléments numériques

1) Les produits comportant des éléments numériques sont conçus, développés et fabriqués de manière à garantir un niveau de cybersécurité approprié en fonction des risques.

  ▌

3) Sur la base de l’évaluation des risques de cybersécurité visée à l’article 10, paragraphe 2, les produits comportant des éléments numériques doivent, le cas échéant:

-a) être mis à disposition sans vulnérabilité exploitable connue;

a)  être mis à disposition avec une configuration de sécurité par défaut, sauf accord contraire entre les parties dans un contexte interentreprises, y compris la possibilité de réinitialiser le produit à son état d’origine tout en conservant toutes les mises à jour de sécurité installées;

a bis) lorsque cela est techniquement réalisable, être mis à disposition sur le marché avec une séparation fonctionnelle entre les mises à jour de sécurité et les mises à jour de fonctionnalité;

a ter) assurer des mises à jour automatiques de sécurité au moyen d’un mécanisme de désactivation clair et facile à utiliser ainsi que la notification des mises à jour disponibles aux utilisateurs;

b)  assurer la protection contre les accès non autorisés par des mécanismes de contrôle appropriés, y compris, mais sans s’y limiter, des systèmes d’authentification, d’identité ou de gestion des accès;

c)  protéger la confidentialité des données stockées, transmises ou traitées de toute autre manière, à caractère personnel ou autres, par exemple en chiffrant les données pertinentes au repos ou en transit au moyen de mécanismes de pointe et par d’autres moyens techniques;

d)  protéger l’intégrité des données stockées, transmises ou traitées de toute autre manière, à caractère personnel ou autres, des commandes, des programmes et de la configuration contre toute manipulation ou modification non autorisée par l’utilisateur, ainsi que signaler les corruptions ou tout accès non autorisé potentiel;

e)  ne traiter que les données, à caractère personnel ou autres, qui sont adéquates, pertinentes et limitées à ce qui est nécessaire par rapport à l’utilisation prévue du produit («minimisation des données»);

f)  protéger la disponibilité des fonctions essentielles et de base, notamment après un incident, y compris par la gestion des sauvegardes et les mesures de résilience et d’atténuation face aux attaques par déni de service;

g)  réduire au maximum leurs propres effets négatifs sur la disponibilité des services fournis par d’autres dispositifs ou réseaux;

h)  être conçus, développés et fabriqués de manière à limiter les surfaces d’attaque, y compris les interfaces externes;

i)  être conçus, développés et fabriqués de manière à réduire les conséquences d’un incident, en utilisant des mécanismes et des techniques appropriés de limitation de l’exploitation de failles;

j)  fournir des informations relatives à la sécurité en enregistrant et/ou en surveillant les capacités pour les activités internes pertinentes, y compris l’accès ou la modification des données, des services ou des fonctions, avec un mécanisme de désactivation pour l’utilisateur;

 ▌

k bis) permettre aux utilisateurs de se retirer et de supprimer de manière sécurisée leurs données, et ce de manière permanente.

2. Exigences relatives à la gestion des vulnérabilités

Les fabricants des produits comportant des éléments numériques doivent:

1) recenser et documenter les vulnérabilités et les composants contenus dans le produit, notamment en établissant une nomenclature des logiciels dans un format couramment utilisé et lisible par machine couvrant au moins les dépendances de niveau supérieur du produit;

2) s’agissant des risques posés aux produits comportant des éléments numériques, gérer et corriger sans délai les vulnérabilités, notamment en fournissant des mises à jour de sécurité, installées automatiquement, le cas échéant conformément à la section 1;

3) soumettre régulièrement les produits comportant des éléments numériques à des tests et examens de sécurité efficaces;

4) dès la publication d’une mise à jour de sécurité, partager et divulguer publiquement des informations sur les vulnérabilités corrigées de manière contrôlée, en ce compris une description des vulnérabilités, des informations permettant aux utilisateurs d’identifier le produit concerné, les conséquences de ces vulnérabilités, leur gravité et des informations claires et accessibles aidant les utilisateurs à y remédier;

5) mettre en place et appliquer une politique de divulgation coordonnée des vulnérabilités;

6) prendre des mesures pour faciliter le partage d’informations sur les vulnérabilités potentielles de leurs produits comportant des éléments numériques ainsi que des composants tiers contenus dans ces produits, y compris en fournissant une adresse de contact pour le signalement des vulnérabilités découvertes dans les produits concernés;

7) prévoir des mécanismes de distribution sécurisée des mises à jour de sécurité pour les produits comportant des éléments numériques afin de s’assurer que les vulnérabilités exploitables soient corrigées ou atténuées rapidement;

8) veiller à ce que, lorsque des correctifs ou des mises à jour de sécurité sont disponibles pour remédier à des problèmes de sécurité constatés, ils soient diffusés sans délai et, sauf accord contraire entre les parties, dans un contexte interentreprises, gratuitement, et accompagnés de messages de recommandation fournissant aux utilisateurs les informations pertinentes, notamment sur les éventuelles mesures à prendre.

8 bis) dans la mesure du possible et le cas échéant, notifier à l’utilisateur la fin de la période d’assistance.

 

 

ANNEXE II

 

INFORMATIONS ET INSTRUCTIONS DESTINÉES À L’UTILISATEUR

 

Le produit comportant des éléments numériques doit au moins être accompagné des informations et instructions suivantes:

1. le nom, la raison sociale ou la marque déposée du fabricant, et les adresses postale et électronique, ainsi que, le cas échéant, l’adresse du site internet  auxquelles il peut être contacté, sur le produit ou ▌ sur l’emballage ou dans un document accompagnant le produit;

2. le point de contact unique où les informations sur les vulnérabilités du produit en matière de cybersécurité peuvent être signalées et reçues, ainsi que les politiques du fabricant en matière de vulnérabilités coordonnées et l’endroit où elles peuvent être trouvées;

3. l’identification correcte du type, du lot, de la version ou du numéro de série ou tout autre élément permettant l’identification du produit, ainsi que les instructions et informations d’utilisation correspondantes;

4. l’utilisation prévue, y compris l’environnement de sécurité fourni par le fabricant, ainsi que les fonctionnalités essentielles du produit et les informations sur ses propriétés de sécurité;

5. toutes circonstances connues ou prévisibles liées à l’utilisation du produit comportant des éléments numériques conformément à son utilisation prévue ou dans des conditions de mauvaise utilisation raisonnablement prévisible, susceptibles d’entraîner des risques de cybersécurité importants;

6. le cas échéant, l’endroit où la nomenclature des logiciels peut être consultée par les autorités compétentes conformément aux conditions de non-divulgation prévues à l’article 52;

7. le cas échéant, l’adresse internet à laquelle la déclaration UE de conformité peut être consultée;

8. le type d’assistance technique en matière de sécurité proposé par le fabricant et la période d’assistance pendant laquelle les utilisateurs peuvent s’attendre à une gestion des vulnérabilités et à recevoir des mises à jour de sécurité;

9. des instructions détaillées ou une adresse internet renvoyant à des instructions détaillées et informations sur:

a)  les mesures nécessaires lors de la mise en service initiale du produit et pendant toute sa durée de vie pour assurer sa sécurité d’utilisation,

b)  la façon dont les modifications apportées au produit peuvent affecter la sécurité des données,

c)  la façon dont les mises à jour pertinentes pour la sécurité peuvent être installées,

d)  la mise hors service sécurisée du produit, en ce compris des informations sur la manière dont les données utilisateur peuvent être supprimées en toute sécurité.

ANNEXE III

 

PRODUITS CRITIQUES COMPORTANT DES ÉLÉMENTS NUMÉRIQUES

 

Classe I

1. logiciels de gestion des identités et logiciels de gestion des accès privilégiés;

2. navigateurs autonomes et intégrés;

3. gestionnaires de mots de passe;

3 bis. lecteurs biométriques;

4. logiciels qui recherchent, suppriment ou mettent en quarantaine des logiciels malveillants;

5. produits comportant des éléments numériques avec la fonction de réseau privé virtuel (VPN);

6. systèmes de gestion de la qualité;

7. outils de gestion des configurations de réseau;

8. systèmes de surveillance du trafic réseau;

9. gestion des ressources réseau;

10. systèmes de gestion des informations et des événements de sécurité (SIEM);

11. gestion des mises à jour/correctifs, y compris les gestionnaires de démarrage;

12. systèmes de gestion de la configuration des applications;

13. logiciels d’accès ▌ à distance;

14. logiciels de gestion des appareils mobiles;

15. interfaces réseau physiques et virtuelles;

16. systèmes d’exploitation non couverts par la classe II;

17. pare-feu, systèmes de détection et/ou de prévention des intrusions non couverts par la classe II;

19. microprocesseurs à usage général et microprocesseurs non couverts par la classe II;

20. microcontrôleurs;

21. circuits intégrés spécifiques aux applications et réseaux de portes programmables destinés à être utilisés par des entités essentielles du type visé à l’article 3 de la directive(UE) 2022/2555;

22. systèmes d’automatisation et de contrôle industriels non couverts par la classe II, tels que les contrôleurs logiques programmables (PLC), les systèmes de contrôle distribués, les contrôleurs numériques informatisés pour machines-outils (CNC), les robots industriels et leurs systèmes de contrôle, et les systèmes de contrôle et d’acquisition de données (SCADA);

23. internet industriel des objets non couvert par la classe II;

23 bis. systèmes domotiques, y compris les serveurs domotiques et les assistants virtuels;

23 ter. dispositifs de sécurité, y compris les serrures de porte intelligentes, les caméras et les systèmes d’alarme;

23 quater. jouets intelligents;

23 quinquies. appareils et dispositifs portables personnels de santé.

 

Classe II

1. systèmes d’exploitation pour serveurs, ordinateurs de bureau et appareils mobiles;

2. hyperviseurs et systèmes d’exécution de conteneurs prenant en charge l’exécution virtualisée de systèmes d’exploitation et d’environnements similaires;

3. émetteurs de certificats numériques et d’infrastructure à clé publique;

4. pare-feu, systèmes de détection et/ou de prévention des intrusions destinés à un usage industriel;

▌

6. microprocesseurs destinés à être intégrés dans des contrôleurs logiques programmables et des éléments sécurisés;

7. routeurs, modems destinés à la connexion à l’internet et commutateurs ▌;

8. éléments sécurisés;

9. modules matériels de sécurité (HSM);

10. cryptoprocesseurs sécurisés;

11. cartes à puce, lecteurs de cartes à puce et jetons;

12. systèmes d’automatisation et de contrôle industriels destinés à être utilisés par des entités essentielles du type visé à l’article 3 de la directive (UE) 2022/2555, telles que les contrôleurs logiques programmables (PLC), les systèmes de contrôle distribués, les contrôleurs numériques informatisés pour machines-outils (CNC) et les systèmes de contrôle et d’acquisition de données (SCADA);

13. dispositifs de l’internet des objets industriel destinés à être utilisés par des entités essentielles du type visé à l’article 3 de la directive (UE) 2022/2555;

▌

15. compteurs intelligents.

 

ANNEXE IV

 

DÉCLARATION UE DE CONFORMITÉ

 

La déclaration UE de conformité prévue à l’article 20 contient l’ensemble des informations suivantes:

1. nom et type, ainsi que toute information supplémentaire permettant l’identification unique du produit comportant des éléments numériques;

2. nom et adresse du fabricant ou de son mandataire;

3. attestation certifiant que la déclaration UE de conformité est établie sous la seule responsabilité du fournisseur;

4. objet de la déclaration (identification du produit permettant sa traçabilité; au besoin, une photographie peut être jointe);

5. une mention indiquant que l’objet de la déclaration décrit ci-dessus est conforme à la législation d’harmonisation de l’Union applicable:

6. les références de toute norme harmonisée pertinente appliquée ou de toute autre spécification commune ou certification de cybersécurité par rapport auxquelles la conformité est déclarée;

7. le cas échéant, le nom et le numéro de l’organisme notifié, une description de la procédure d’évaluation de la conformité suivie et la référence du certificat délivré;

8. informations supplémentaires:

 

Signé par et au nom de: …………………………………

(date et lieu d’établissement):

(nom, fonction) (signature):

ANNEXE V

 

CONTENU DE LA DOCUMENTATION TECHNIQUE

 

La documentation technique visée à l’article 23 contient au moins les informations ci-après, selon le produit comportant des éléments numériques concerné:

1. une description générale du produit comportant des éléments numériques, y compris:

a) l’utilisation prévue;

b)  les versions de logiciel ayant des incidences sur la conformité aux exigences essentielles;

c)  lorsque le produit comportant des éléments numériques est un produit matériel, des photographies ou des illustrations montrant les caractéristiques extérieures, le marquage et la disposition intérieure;

d)  les informations et instructions destinées à l’utilisateur figurant à l’annexe II;

2. une description de la conception, du développement et de la fabrication du produit et des processus de gestion des vulnérabilités, et notamment:

a) des informations complètes sur la conception et le développement du produit comportant des éléments numériques, y compris, le cas échéant, des dessins et des schémas et/ou une description de l’architecture du système expliquant comment les composants logiciels s’appuient les uns sur les autres ou s’alimentent et s’intègrent dans le traitement global;

b)  des informations et des spécifications complètes concernant le processus de gestion des vulnérabilités mis en place par le fabricant, en ce compris la nomenclature des logiciels, la politique coordonnée de divulgation des vulnérabilités, la preuve de la fourniture d’une adresse de contact pour le signalement des vulnérabilités et une description des solutions techniques choisies pour la distribution sécurisée des mises à jour;

c)  des informations et des spécifications complètes concernant les processus de production et de suivi du produit comportant des éléments numériques et la validation de ces processus;

3. une évaluation des risques de cybersécurité sur la base de laquelle le produit comportant des éléments numériques est conçu, développé, produit, livré et entretenu, conformément à l’article 10 du présent règlement, y compris la manière dont les exigences essentielles énoncées à l’annexe I, section 1, sont applicables;

4. une liste des normes harmonisées, appliquées entièrement ou en partie, dont les références ont été publiées au Journal officiel de l’Union européenne, des spécifications communes telles que définies à l’article 19 du présent règlement ou des schémas de certification de cybersécurité au titre du règlement (UE) 2019/881, conformément à l’article 18, paragraphe 3, et, lorsque ces normes harmonisées, spécifications communes ou schémas de certification de cybersécurité n’ont pas été appliqués, une présentation des solutions adoptées pour répondre aux exigences essentielles exposées à l’annexe I, sections 1 et 2, y compris une liste des autres spécifications techniques pertinentes appliquées. Dans le cas où des normes harmonisées, spécifications communes ou certifications de cybersécurité ont été appliquées en partie, la documentation technique précise les parties appliquées;

5. les rapports des essais effectués pour vérifier la conformité du produit et des processus de gestion des vulnérabilités aux exigences essentielles applicables énoncées à l’annexe I, sections 1 et 2;

6. une copie de la déclaration UE de conformité;

7. le cas échéant, la nomenclature des logiciels telle que définie à l’article 3, point 36, à la suite d’une demande motivée d’une autorité de surveillance du marché, pour autant que celle-ci soit nécessaire pour permettre à cette autorité de vérifier le bon respect des exigences essentielles énoncées à l’annexe I.

ANNEXE VI

 

PROCÉDURES D’ÉVALUATION DE LA CONFORMITÉ

 

Procédure d’évaluation de la conformité basée sur le contrôle interne (basée sur le module A)

1. Le contrôle interne correspond à la procédure d’évaluation de la conformité par laquelle le fabricant remplit les obligations énoncées aux points 2, 3 et 4, assure et déclare sous sa seule responsabilité que les produits comportant des éléments numériques satisfont à toutes les exigences essentielles énoncées à l’annexe I, section 1, et par laquelle le fabricant satisfait aux exigences essentielles énoncées à l’annexe I, section 2.

2. Le fabricant établit la documentation technique décrite à l’annexe V.

3. Conception, développement, production et gestion des vulnérabilités des produits comportant des éléments numériques

Le fabricant prend toutes les mesures nécessaires pour que les processus de conception, de développement, de production et de gestion des vulnérabilités ainsi que leur suivi garantissent la conformité des produits comportant des éléments numériques fabriqués ou développés et des processus mis en place par lui avec les exigences essentielles énoncées à l’annexe I, sections 1 et 2.

4. Marquage de conformité et déclaration de conformité

4.1. Le fabricant appose le marquage CE sur chaque produit comportant des éléments numériques qui répond aux exigences applicables du présent règlement.

4.2. Le fabricant établit une déclaration UE de conformité écrite pour chaque produit comportant des éléments numériques conformément à l’article 20 et la tient, accompagnée de la documentation technique, à la disposition des autorités nationales pendant dix ans à partir du moment où le produit concerné a été mis sur le marché ou pendant la période d’assistance, la durée la plus longue étant retenue. La déclaration UE de conformité précise le produit comportant des éléments numériques pour lequel elle a été établie. Une copie de la déclaration UE de conformité est mise à la disposition des autorités compétentes sur demande.

5. Mandataires

Les obligations du fabricant énoncées au point 4 peuvent être remplies par son mandataire, en son nom et sous sa responsabilité, pour autant qu’elles soient spécifiées dans le mandat.

 

Examen UE de type (basé sur le module B)

1. L’examen UE de type correspond à la partie d’une procédure d’évaluation de la conformité dans laquelle un organisme notifié examine la conception technique et le développement d’un produit et les processus de gestion des vulnérabilités mis en place par le fabricant, et atteste qu’un produit comportant des éléments numériques satisfait aux exigences essentielles énoncées à l’annexe I, section 1, et que le fabricant satisfait aux exigences essentielles énoncées à l’annexe I, section 2.

2. L’examen UE de type consiste en une évaluation de l’adéquation de la conception technique et du développement du produit par un examen de la documentation technique et des preuves visées au point 3, avec examen d’échantillons d’une ou de plusieurs parties critiques du produit (combinaison du type de fabrication et du type de conception).

3. Le fabricant introduit une demande d’examen UE de type auprès d’un seul organisme notifié de son choix.

Cette demande comporte:

– le nom et l’adresse du fabricant, ainsi que le nom et l’adresse du mandataire si la demande est introduite par celui-ci;

– une déclaration écrite certifiant que la même demande n’a pas été introduite auprès d’un autre organisme notifié;

– la documentation technique, qui permet d’évaluer la conformité du produit aux exigences essentielles applicables énoncées à l’annexe I, section 1, et les processus de gestion des vulnérabilités du fabricant énoncés à l’annexe I, section 2, et comprend une analyse et une évaluation adéquates du ou des risques. La documentation technique précise les exigences applicables et couvre, dans la mesure nécessaire à l’évaluation, la conception, la fabrication et le fonctionnement du produit. La documentation technique contient, le cas échéant, au moins les éléments énoncés à l’annexe V;

– les preuves à l’appui de l’adéquation des solutions de conception technique et de développement et des processus de gestion des vulnérabilités. Ces preuves mentionnent tous les documents qui ont été utilisés, en particulier lorsque les normes harmonisées et/ou les spécifications techniques applicables n’ont pas été appliquées dans leur intégralité. Elles comprennent, si nécessaire, les résultats des essais effectués par le laboratoire approprié du fabricant ou par un autre laboratoire d’essai en son nom et sous sa responsabilité.

4. L’organisme notifié:

4.1. examine la documentation technique et les éléments de preuve pour évaluer l’adéquation de la conception technique et du développement du produit aux exigences essentielles énoncées à l’annexe I, section 1, et des processus de gestion des vulnérabilités mis en place par le fabricant aux exigences essentielles énoncées à l’annexe I, section 2;

4.2. vérifie que le ou les échantillons ont été développés ou fabriqués en conformité avec la documentation technique et relève les éléments qui ont été conçus et développés conformément aux dispositions applicables des normes harmonisées et/ou des spécifications techniques pertinentes, ainsi que les éléments dont la conception et le développement ne s’appuient pas sur les dispositions pertinentes desdites normes;

4.3. effectue ou fait effectuer les examens et les essais appropriés pour vérifier si, dans le cas où le fabricant a choisi d’appliquer les solutions indiquées dans les normes harmonisées et/ou les spécifications techniques pertinentes pour les exigences énoncées à l’annexe I, celles-ci ont été appliquées correctement;

4.4. effectue ou fait effectuer les contrôles et les essais appropriés pour vérifier si, dans le cas où les solutions indiquées dans les normes harmonisées et/ou les spécifications techniques pertinentes pour les exigences de l’annexe I n’ont pas été appliquées, les solutions adoptées par le fabricant satisfont aux exigences essentielles correspondantes;

4.5. convient avec le fabricant de l’endroit où les examens et les essais seront effectués.

5. L’organisme notifié établit un rapport d’évaluation répertoriant les activités effectuées conformément au point 4 et leurs résultats. Sans préjudice de ses obligations vis-à-vis des autorités notifiantes, l’organisme notifié ne divulgue le contenu de ce rapport, en totalité ou en partie, qu’avec l’accord du fabricant.

6. Lorsque le type et les processus de gestion des vulnérabilités satisfont aux exigences essentielles énoncées à l’annexe I, l’organisme notifié délivre au fabricant une attestation d’examen UE de type. L’attestation contient le nom et l’adresse du fabricant, les conclusions de l’examen, les conditions (éventuelles) de sa validité et les données nécessaires à l’identification du type et des processus de gestion des vulnérabilités approuvés. Une ou plusieurs annexes peuvent être jointes à l’attestation.

L’attestation et ses annexes contiennent toutes les informations nécessaires pour permettre l’évaluation de la conformité des produits fabriqués ou développés au type examiné et des processus de gestion des vulnérabilités à évaluer et pour permettre un contrôle en service.

Lorsque le type et les processus de gestion des vulnérabilités ne satisfont pas aux exigences essentielles applicables énoncées à l’annexe I, l’organisme notifié refuse de délivrer une attestation d’examen UE de type et en informe le demandeur, en lui précisant les raisons de son refus.

7. L’organisme notifié suit l’évolution de l’état de la technique généralement reconnu, et lorsque cette évolution donne à penser que le type et les processus de gestion des vulnérabilités approuvés pourraient ne plus être conformes aux exigences essentielles applicables énoncées à l’annexe I, il détermine si des examens complémentaires sont nécessaires. Si tel est le cas, l’organisme notifié en informe le fabricant.

Le fabricant informe l’organisme notifié qui détient la documentation technique relative à l’attestation d’examen UE de type de toutes les modifications du type et des processus de gestion des vulnérabilités approuvés qui peuvent remettre en cause la conformité aux exigences essentielles énoncées à l’annexe I, ou les conditions de validité de l’attestation. Ces modifications nécessitent une nouvelle approbation sous la forme d’un complément à l’attestation initiale d’examen UE de type.

8. Chaque organisme notifié informe ses autorités notifiantes des attestations d’examen UE de type et/ou des compléments qu’il a délivrés ou retirés et leur transmet, périodiquement ou sur demande, la liste des attestations et/ou des compléments qu’il a refusés, suspendus ou soumis à d’autres restrictions.

Chaque organisme notifié informe les autres organismes notifiés des attestations d’examen UE de type et/ou des compléments qu’il a refusés, retirés, suspendus ou soumis à d’autres restrictions et, sur demande, des attestations et/ou des compléments qu’il a délivrés.

La Commission, les États membres et les autres organismes notifiés peuvent, sur demande, obtenir une copie des attestations d’examen UE de type et/ou de leurs compléments. Sur demande, la Commission et les États membres peuvent obtenir une copie de la documentation technique et des résultats des examens réalisés par l’organisme notifié. L’organisme notifié conserve une copie de l’attestation d’examen UE de type, de ses annexes et compléments, ainsi que le dossier technique, y compris la documentation communiquée par le fabricant, jusqu’à la fin de la validité de ladite attestation.

9. Le fabricant tient à la disposition des autorités nationales une copie de l’attestation d’examen UE de type, de ses annexes et compléments, ainsi que la documentation technique, pour une durée de dix ans à partir du moment où le produit a été mis sur le marché ou pendant la période d’assistance.

10. Le mandataire du fabricant peut introduire la demande visée au point 3 et s’acquitter des obligations énoncées aux points 7 et 9 pour autant qu’elles soient spécifiées dans le mandat.

 

Conformité au type sur la base du contrôle interne de la fabrication (basée sur le module C)

1. La conformité au type sur la base du contrôle interne de la fabrication correspond à la partie de la procédure d’évaluation de la conformité par laquelle le fabricant remplit les obligations définies aux points 2 et 3, et garantit et déclare que les produits concernés sont conformes au type décrit dans l’attestation d’examen UE de type et satisfont aux exigences essentielles énoncées à l’annexe I, section 1.

2. Production

2.1. Le fabricant prend toutes les mesures nécessaires pour que la production et le suivi de celle-ci garantissent la conformité des produits fabriqués au type approuvé décrit dans l’attestation d’examen UE de type et aux exigences essentielles énoncées à l’annexe I, section 1.

3. Marquage de conformité et déclaration de conformité

3.1. Le fabricant appose le marquage CE sur chaque produit conforme au type décrit dans l’attestation d’examen UE de type et satisfait aux exigences applicables de l’instrument législatif.

3.2. Le fabricant établit une déclaration écrite de conformité concernant un modèle de produit et la tient à la disposition des autorités nationales pendant une durée de dix ans à partir du moment où le produit a été mis sur le marché ou pendant la période d’assistance. La déclaration de conformité précise le modèle de produit pour lequel elle a été établie. Une copie de la déclaration de conformité est mise à la disposition des autorités compétentes sur demande.

4. Mandataire

Les obligations du fabricant visées au point 3 peuvent être remplies par son mandataire, en son nom et sous sa responsabilité, pour autant qu’elles soient spécifiées dans le mandat.

 

Conformité sur la base de l’assurance complète de la qualité (basée sur le module H)

1. La conformité sur la base de l’assurance complète de la qualité correspond à la procédure d’évaluation de la conformité par laquelle le fabricant remplit les obligations énoncées aux points 2 et 5, et garantit et déclare sous sa seule responsabilité que les produits (ou catégories de produits) concernés satisfont aux exigences essentielles énoncées à l’annexe I, section 1, et que les processus de gestion des vulnérabilités mis en place par le fabricant satisfont aux exigences énoncées à l’annexe I, section 2.

2. Conception, développement, production et gestion des vulnérabilités des produits comportant des éléments numériques

Le fabricant applique un système de qualité approuvé, tel que spécifié au point 3, pour la conception, le développement et la fabrication des produits concernés et pour la gestion des vulnérabilités, maintient son efficacité tout au long du cycle de vie des produits concernés et fait l’objet d’une surveillance, tel que spécifié au point 4.

3. Système de qualité

3.1. Le fabricant introduit, auprès d’un organisme notifié de son choix, une demande d’évaluation de son système de qualité pour les produits concernés.

Cette demande comporte:

– le nom et l’adresse du fabricant, ainsi que le nom et l’adresse du mandataire si la demande est introduite par celui-ci;

– la documentation technique, pour un modèle de chaque catégorie de produits destinés à être fabriqués ou développés. La documentation technique contient, le cas échéant, au minimum les éléments énoncés à l’annexe V;

– la documentation relative au système de qualité; et

– une déclaration écrite certifiant que la même demande n’a pas été introduite auprès d’un autre organisme notifié.

3.2. Le système de qualité garantit la conformité des produits avec les exigences essentielles énoncées à l’annexe I, section 1, et la conformité des processus de gestion des vulnérabilités mis en place par le fabricant avec les exigences énoncées à l’annexe I, section 2.

Tous les éléments, exigences et dispositions adoptés par le fabricant sont réunis de manière systématique et ordonnée dans une documentation sous la forme de mesures, de procédures et d’instructions écrites. Cette documentation relative au système de qualité facilite une interprétation homogène des programmes, des plans, des manuels et des dossiers concernant la qualité.

Elle contient en particulier une description adéquate des éléments suivants:

– les objectifs de qualité, l’organigramme ainsi que les responsabilités et les compétences du personnel d’encadrement en matière de qualité de la conception, du développement et des produits, ainsi que de gestion des vulnérabilités;

– les spécifications de la conception technique et du développement, y compris les normes, qui seront appliquées et, lorsque les normes harmonisées et/ou les spécifications techniques pertinentes ne sont pas appliquées intégralement, les moyens qui seront utilisés pour faire en sorte de respecter les exigences essentielles énoncées à l’annexe I, section 1, qui s’appliquent aux produits;

– les spécifications des procédures, y compris les normes, qui seront appliquées et, lorsque les normes harmonisées et/ou les spécifications techniques pertinentes ne sont pas appliquées intégralement, les moyens qui seront utilisés pour faire en sorte de respecter les exigences essentielles énoncées à l’annexe I, section 2, qui s’appliquent au fabricant;

– le contrôle de la conception et du développement, ainsi que les techniques de vérification de la conception et du développement, les procédés et les actions systématiques qui seront utilisés lors de la conception et du développement des produits appartenant à la catégorie couverte;

– les techniques correspondantes de production, de contrôle de la qualité et d’assurance de la qualité, les procédés et les actions systématiques qui seront utilisés;

– les examens et les essais qui seront effectués avant, pendant et après la production et la fréquence à laquelle ils auront lieu;

– les dossiers de qualité, tels que les rapports d’inspection et les données d’essais et d’étalonnage, les rapports sur la qualification du personnel concerné, etc.;

– les moyens de surveillance permettant de contrôler l’obtention de la qualité requise en matière de conception et de produit et le bon fonctionnement du système de qualité.

3.3. L’organisme notifié évalue le système de qualité pour déterminer s’il répond aux exigences visées au point 3.2.

Il présume la conformité à ces exigences pour les éléments du système de qualité qui sont conformes aux spécifications correspondantes de la norme nationale transposant la norme harmonisée applicable et/ou la spécification technique.

L’équipe d’auditeurs doit posséder une expérience des systèmes de gestion de la qualité et comporter au moins un membre ayant de l’expérience en tant qu’évaluateur dans le groupe de produits et la technologie concernés, ainsi qu’une connaissance des exigences applicables du présent règlement. L’audit comprend une visite d’évaluation dans les installations du fabricant, si de telles installations existent. L’équipe d’auditeurs examine la documentation technique visée au point 3.1, deuxième tiret, afin de vérifier la capacité du fabricant à déterminer les exigences applicables du présent règlement et à réaliser les examens nécessaires en vue de garantir la conformité du produit à ces exigences.

La décision est notifiée au fabricant ou à son mandataire.

La notification contient les conclusions de l’audit et la décision d’évaluation motivée.

3.4. Le fabricant s’engage à remplir les obligations découlant du système de qualité tel qu’il est approuvé et à faire en sorte qu’il demeure adéquat et efficace.

3.5. Le fabricant informe l’organisme notifié ayant approuvé le système de qualité de tout projet de modification de celui-ci.

L’organisme notifié examine les modifications envisagées et décide si le système de qualité modifié continuera de répondre aux exigences énoncées au point 3.2 ou si une nouvelle évaluation s’impose.

Il notifie sa décision au fabricant. La notification contient les conclusions de l’examen et la décision d’évaluation motivée.

4. Surveillance sous la responsabilité de l’organisme notifié

4.1. Le but de la surveillance est de s’assurer que le fabricant remplit correctement les obligations découlant du système de qualité approuvé.

4.2. Le fabricant autorise l’organisme notifié à accéder, à des fins d’évaluation, aux lieux de conception, de développement, de production, d’inspection, d’essai et de stockage et lui fournit toutes les informations nécessaires, notamment:

– la documentation sur le système de qualité;

– les dossiers de qualité prévus dans la partie du système de qualité consacrée à la conception, tels que les résultats des analyses, des calculs, des essais, etc.;

– les dossiers de qualité prévus par la partie du système de qualité consacrée à la fabrication, tels que les rapports d’inspection, les données d’essais et d’étalonnage, les rapports sur la qualification du personnel concerné, etc.

4.3. L’organisme notifié effectue périodiquement des audits pour s’assurer que le fabricant maintient et applique le système de qualité, et il transmet un rapport d’audit au fabricant.

5. Marquage de conformité et déclaration de conformité

5.1. Sur chaque produit qui satisfait aux exigences énoncées à l’annexe I, section 1, du présent règlement, le fabricant doit apposer le marquage CE et, sous la responsabilité de l’organisme notifié visé au point 3.1, le numéro d’identification de ce dernier.

5.2. Le fabricant établit une déclaration écrite de conformité concernant chaque modèle de produit et la tient à la disposition des autorités nationales pendant une durée de dix ans à partir du moment où le produit a été placé sur le marché ou pendant la période d’assistance. La déclaration de conformité précise le modèle de produit pour lequel elle a été établie.

Une copie de la déclaration de conformité est mise à la disposition des autorités compétentes sur demande.

6. Pendant une période d’au moins dix ans à compter de la mise sur le marché du produit ou pendant la période d’assistance ou la période durant laquelle les vulnérabilités sont gérées, le fabricant doit tenir à la disposition des autorités nationales:

– la documentation technique visée au point 3.1;

– la documentation concernant le système de qualité visée au point 3.1;

– les modifications approuvées visées au point 3.5;

– les décisions et rapports de l’organisme notifié visés aux points 3.5, 4.3 et 4.4.

7. Chaque organisme notifié informe ses autorités notifiantes des approbations de systèmes de qualité délivrées ou retirées et leur transmet, périodiquement ou sur demande, la liste des approbations qu’il a refusées, suspendues ou soumises à d’autres restrictions.

Chaque organisme notifié informe les autres organismes notifiés des approbations de systèmes de qualité qu’il a refusées, suspendues ou retirées et, sur demande, des approbations qu’il a délivrées.

8. Mandataire

Les obligations du fabricant établies aux points 3.1, 3.5, 5 et 6 peuvent être remplies par son mandataire, en son nom et sous sa responsabilité, à condition qu’elles soient spécifiées dans le mandat.

ANNEXE VI bis

 

BESOINS EN CAPACITÉS DE L’AGENCE DE L’UNION EUROPÉENNE POUR LA CYBERSÉCURITÉ (ENISA)

Afin que l’ENISA puisse remplir les obligations qui lui incombent en vertu du présent règlement et de ne pas compromettre les obligations existantes de l’Agence en vertu d’autres dispositions du droit de l’Union, il est veillé à ce qu’elle dispose des effectifs et du financement adéquats. Par conséquent, les tâches supplémentaires confiées à l’ENISA en vertu du présent règlement s’accompagnent de ressources humaines et financières supplémentaires. Pour couvrir les tâches en plus prévues au titre du présent règlement, 9 équivalents temps plein supplémentaires et les crédits supplémentaires correspondants seront nécessaires.

 

 

EXPOSÉ DES MOTIFS

Le rapporteur se félicite vivement de la proposition de la Commission visant à combler les lacunes en matière de cybersécurité dans les produits matériels et logiciels. En 2021, le coût global de la cybercriminalité a atteint le chiffre stupéfiant de 5,5 billions d’EUR. Ce phénomène, conjugué à la tendance à la hausse de la numérisation, oblige les législateurs à veiller à ce que des mesures de cybersécurité appropriées soient mises en place pour préserver les intérêts des consommateurs et ceux de l’industrie.

 

Sur ce point, le rapporteur se réjouit de ce que la Commission a présenté une proposition ambitieuse, qui va permettre d’améliorer le niveau général de la cybersécurité dans les États membres et le fonctionnement du marché intérieur. Un cadre réglementaire harmonisé est nécessaire pour que les entreprises qui opèrent au sein du marché unique puissent bénéficier d’une clarté juridique et pour que l’Union puisse jouer un rôle de premier plan sur la scène mondiale dans la définition de normes en matière de cybersécurité.

 

Concernant le champ d’application, le rapporteur approuve la proposition de la Commission d’inclure tous les produits comportant des éléments numériques. Cette approche globale permettrait de garantir la conformité en matière de cybersécurité tout au long de la chaîne de valeur et d’améliorer ainsi la compétitivité et l’attrait des produits fabriqués dans l’Union. Néanmoins, il y a lieu de simplifier les formulations actuelles et de faire référence aux produits pouvant être directement et indirectement connectés, tout en excluant les pièces détachées conçues uniquement à des fins de réparation, qui ont été mises sur le marché avant la mise en œuvre du présent règlement. Quant aux logiciels libres et ouverts, le rapporteur, conscient de la nécessité de préserver cette importante source d’innovation, a proposé un amendement visant à faire en sorte que les développeurs n’aient pas à se conformer au présent règlement si leurs projets ne leur rapportent pas d’argent. Toutefois, les logiciels libres et ouverts fournis dans le cadre d’une activité commerciale devraient être couverts, afin de garantir la cybersécurité de l’écosystème de l’Union.

 

Pour la grande majorité des produits comportant des éléments numériques, il suffira de procéder à une autoévaluation, tandis que les produits critiques visés à l’article 6 feront l’objet d’une évaluation par des tiers. À cet égard, le rapporteur estime qu’il convient d’améliorer le règlement en y précisant la fréquence à laquelle la liste figurant à l’annexe III peut être modifiée, ainsi que les procédures à suivre après l’ajout d’un produit à cette liste. Ce dernier point est particulièrement important, afin que les entreprises disposent d’un temps d’adaptation suffisant. Cela étant, le rapporteur estime que les systèmes domotiques et les produits qui renforcent la sécurité privée, tels que les caméras et les serrures intelligentes, devraient constituer des produits critiques relevant de la classe I. En effet, l’intégrité de ces produits est primordiale pour la sécurité et la vie privée des particuliers.

 

Par ailleurs, le projet de rapport prévoit une plus grande participation des parties prenantes grâce à la mise en place d’un groupe d’experts consacré à la cyberrésilience. Cet organe devrait être chargé de conseiller la Commission et de jouer un rôle actif dans la préparation des actes délégués visés dans le présent règlement. Afin de représenter pleinement les intérêts de toutes les parties, ce groupe d’experts devrait ainsi être composé de représentants des institutions, de l’industrie, de la société civile et du monde universitaire, ainsi que d’experts indépendants.

 

Outre le sujet susmentionné, le projet de rapport souligne la nécessité pour les États membres de tenir résolument compte de la cybersécurité lors de la passation de marchés publics pour des produits comportant des éléments numériques, et de veiller à ce que les vulnérabilités soient rapidement corrigées.

Concernant les obligations incombant aux fabricants, le rapporteur estime que la fixation d’une date associée à la durée de vie prévue d’un produit n’est pas adaptée dans le cadre d’une règlementation horizontale, qui vise à couvrir un large éventail de produits, des logiciels aux téléphones en passant par les machines industrielles. Pour cette raison, le rapporteur estime qu’il est plus judicieux de laisser les fabricants déterminer la durée de vie de leurs produits respectifs, à condition que la durée proposée soit compatible avec les attentes raisonnables des consommateurs. Une durée flexible permettrait également aux fabricants de mettre en valeur leurs produits et de prolonger leur durée de vie, ce qui constituerait un facteur de compétitivité. Par conséquent, afin de sensibiliser les consommateurs à cette question particulière, le règlement devrait également obliger les fabricants à indiquer clairement la durée de vie prévue d’un produit sur son emballage ou à la mentionner dans les accords contractuels, et à avertir les consommateurs lorsque cette durée de vie arrive à son terme. En outre, le projet de rapport entend mettre fortement l’accent sur la sécurité. De ce fait, le rapporteur estime que les fabricants devraient également être tenus de procéder à une mise à jour automatique, dans la mesure du possible, des dispositifs de sécurité de leurs produits respectifs. Lorsqu’un fabricant a défini une durée de vie prévue inférieure à cinq ans, il devrait être disposé à conclure des accords contractuels avec des entreprises qui souhaitent fournir des services permettant de prolonger la durée de vie d’un produit et à leur divulguer son code source. Cette possibilité ne devrait pas impliquer un transfert de propriété ou la divulgation publique du code source.

 

En ce qui concerne les obligations en matière de communication d’informations prévues à l’article 11, le rapporteur souhaite aligner le calendrier sur les dispositions de la directive SRI 2, afin d’améliorer la cohérence et la sécurité juridique pour les parties prenantes. Dans cette optique, le rapporteur propose qu’il soit procédé au signalement des incidents importants (plutôt que de tous les incidents), ainsi que des vulnérabilités activement exploitées, pour autant qu’il existe des protocoles indiquant clairement comment traiter ces notifications en toute sécurité, afin d’éviter la diffusion d’informations concernant des vulnérabilités non corrigées. Le rapporteur propose également un mécanisme de signalement volontaire pour les autres incidents, les incidents évités et les cybermenaces.

 

Toutefois, pour optimiser les effets des signalements, il est important de disposer d’une entité unique, également afin de simplifier les exigences en matière de signalement imposées aux fabricants dans l’ensemble de l’Union. Sur ce point, le rapporteur estime que l’ENISA est l’institution la mieux placée pour jouer ce rôle. En conséquence, compte tenu de l’augmentation des tâches confiées à l’ENISA et des compétences qui lui sont accordées, il convient que la Commission modifie la fiche financière législative accompagnant le présent règlement, en dotant l’Agence de l’Union européenne pour la cybersécurité de postes supplémentaires et des crédits supplémentaires correspondants, afin de lui permettre d’accomplir les tâches supplémentaires définies dans le présent règlement.

 

En outre, pour le rapporteur, il est essentiel de veiller à ce que les entreprises bénéficient d’un soutien suffisant pour mettre en œuvre les exigences du présent règlement. Cela vaut, en particulier, pour les micro, petites et moyennes entreprises qui, compte tenu de leurs capacités limitées, peuvent éprouver des difficultés à se conformer à la loi sur la cyberrésilience. Par conséquent, le rapporteur estime qu’il est essentiel de porter à 40 mois la date à partir de laquelle le règlement s’appliquera. Au cours de cette période de transition, les fabricants devraient avoir la possibilité de se conformer à la loi sur la cyberrésilience à titre volontaire, afin d’obtenir une présomption de conformité avec le règlement délégué relatif à la directive relative aux équipements radioélectriques et de s’adapter à ce règlement préalablement à sa mise en œuvre officielle. En outre, le rapporteur tient à souligner combien il est important pour l’Union d’apporter son soutien à la reconversion et au perfectionnement professionnels des travailleurs ainsi que d’assurer la disponibilité de professionnels de la cybersécurité: il s’agit là d’une condition essentielle à la réussite de ce règlement.

 

Par ailleurs, dans le cadre d’une approche générale visant à aider toutes les parties prenantes, le rapporteur invite la Commission à élaborer des lignes directrices qui précisent davantage la phase de mise en œuvre proprement dite, ce qui permettrait à toutes les parties concernées d’y voir plus clair.

 

Une autre question tout aussi urgente pour le rapporteur est celle du commerce international. Aussi le projet de rapport invite-t-il la Commission à envisager des accords de reconnaissance mutuelle avec des pays tiers partageant les mêmes valeurs, dans la mesure où ceux-ci présentent un niveau de développement technique comparable et intègrent une approche compatible en matière d’évaluation de la conformité, garantissant le même niveau de protection que celui prévu par le présent règlement. Néanmoins, il est essentiel d’assurer un contrôle adéquat des produits provenant de pays à risque, qui peuvent contenir des portes dérobées ou d’autres vulnérabilités: Il convient que l’ENISA se coordonne avec les autorités de surveillance du marché et procède aux vérifications nécessaires auprès des fournisseurs susceptibles de présenter des risques plus élevés.

 

Enfin, le rapporteur estime que les recettes générées par les sanctions devraient être affectées à des projets qui permettront de relever le niveau général de la cybersécurité dans toute l’Union, et qu’il convient donc de les affecter au programme pour une Europe numérique, en soutien à des projets visant (notamment) à favoriser la reconversion et le perfectionnement professionnels des travailleurs en place.

 

 

 

ANNEXE: LISTE DES ENTITÉS OU PERSONNES AYANT APPORTÉ LEUR CONTRIBUTION AU RAPPORTEUR

Entité et/ou personne

(ISC)2

ACEM

Airlines4Europe

Alliance for IoT and Edge Computing Innovation

Amazon

American Chamber of Commerce

ANEC

Apple

APPLiA

Associazione Italiana Internet Provider

BDI

Beuc

Bitkom

BritCham

Broadcom

BSA - The Software alliance

Business Europe

Card Payment Sweden

CEMA

Centrum für Europäische Politik

CNH

Confederation of Danish Industries (DI)

Confindustria

Cybersecurity Coalition

DEKRA

Deutsche Telekom

Developers Alliance

Digital Europe

Enedis

Engineering

Ericsson

ESMIG

ETNO

ETRMA

European Cybersecurity Organisation

European Materials Handling Federation (FEM)

Eurosmart

Federunacoma

Free Software Foundation Europe

German Insurance Association

Giesecke+Devrient

GitHub

Google

GSMA

Hanbury Strategy

Huawei

IBM

Independent Retail Europe

Information Technology Industry Council

Leaseurope

Lenovo

Mechanical Engineering Industry Association (VDMA)

MedTechEurope

Microsoft

Okta

Open Forum Europe

Orange

Orgalim

Permanent Representation of Belgium

Permanent Representation of Italy

Permanent Representation of the Netherlands

Piaggio

Privacy International

SAP

Schneider Electric

Siemens

SME United

Splunk

Technology Industries of Finland

Telefonica

TIC Council

Trellix

Twillio

Unife

Vodafone Group

Wikimedia

Worldr

Xiaomi

Zoom

 

 

AVIS DE LA COMMISSION DU MARCHÉ INTÉRIEUR ET DE LA PROTECTION DES CONSOMMATEURS (30.6.2023)

à l’intention de la commission de l’industrie, de la recherche et de l’énergie

sur la proposition de règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020

(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))

Rapporteur pour avis (*): Morten Løkkegaard 

(*) Commission associée – article 57 du règlement intérieur

 

 

JUSTIFICATION SUCCINCTE

Le rapporteur, en tant qu’ancien rapporteur pour avis de la commission IMCO sur la directive SRI 2, considère que la législation sur la cyberrésilience est une prochaine étape essentielle et incontournable pour améliorer la cybersécurité de l’Union européenne. Conscient que, par définition, la cybersécurité ne sera jamais totale à 100 %, le rapporteur est d’avis qu’il importe de faire tout ce qui est en notre pouvoir pour réduire le nombre de vulnérabilités dans l’Union; à cet égard, la législation sur la cyberrésilience est une prochaine étape qui vient à point nommé. Nous devons renforcer la cybersécurité des produits comportant des éléments numériques et d’autres nouveaux produits tels que les appareils de l’internet des objets qui font désormais partie intégrante de la vie quotidienne des consommateurs et des entreprises en Europe. 

 

La commission IMCO étant compétente pour le fonctionnement et la mise en œuvre du marché unique ainsi que pour les règles relatives à la protection des consommateurs, le rapporteur a cherché à introduire des amendements qui visent à améliorer le fonctionnement du marché intérieur tout en prévoyant un niveau élevé de protection des consommateurs dans le cadre de la proposition, en particulier en ce qui concerne les exigences en matière de cybersécurité pour les produits comportant des éléments numériques.

Le rapporteur estime, en outre, que certains aspects du règlement proposé doivent être améliorés afin de garantir une clarté juridique et une cohérence entre les dispositions pertinentes dudit règlement et d’autres actes législatifs. Il s’agit en particulier de la directive SRI 2, du règlement récemment adopté sur la sécurité générale des produits, du règlement sur l’intelligence artificielle et du règlement relatif aux machines et équipements, ainsi que d’un certain nombre d’actes délégués et d’actes d’exécution. Ainsi, le rapporteur propose des amendements qui visent à améliorer la clarté juridique et à contribuer à garantir une interprétation et une application cohérentes, effectives et uniformes des actes législatifs susmentionnés.

De plus, les micro, petites et moyennes entreprises étant des acteurs économiques essentiels sur le marché numérique, le rapporteur introduit un certain nombre d’amendements visant à simplifier les formalités administratives et à limiter la charge administrative pesant sur les petites entreprises, sans abaisser le niveau de sécurité. En outre, le rapporteur introduit des amendements visant à garantir que les microentreprises et les PME bénéficient d’orientations et de conseils spécifiques pour satisfaire aux exigences de la législation sur la cyberrésilience.

Enfin, le rapporteur introduit des amendements dont l’objectif est d’assurer une communication plus efficace avec les autorités compétentes (autorités nationales de surveillance du marché, ENISA), ainsi que de renforcer les dispositions relatives aux obligations et aux compétences des autorités concernées en ce qui concerne les plaintes, les inspections et les activités conjointes. Par ailleurs, certains amendements présentés par le rapporteur portent en particulier sur l’amélioration des exigences en matière de cybersécurité pour les composants intégrés dans des produits finis comportant des éléments numériques, en précisant les obligations des opérateurs économiques tels que les fabricants et les mandataires.

Le rapporteur réaffirme que l’introduction de la législation sur la cyberrésilience est une étape qui vient à point nommé et qui est incontournable pour renforcer la lutte contre les menaces en matière de cybersécurité dans l’Union. Dans ses propositions d’amendements, le rapporteur s’efforce de trouver un juste équilibre entre la garantie d’un niveau accru de cybersécurité dans l’intérêt des consommateurs européens et une charge proportionnée pour les milieux économiques. Le rapporteur vise à ce que la cybersécurité devienne un paramètre naturel de la concurrence sur le marché intérieur. C’est dans cet esprit qu’il a cherché à adapter la proposition.

AMENDEMENTS

La commission du marché intérieur et de la protection des consommateurs invite la commission de l’industrie, de la recherche et de l’énergie, compétente au fond, à prendre en considération ce qui suit:

Amendement  1

 

Proposition de règlement

Considérant 1

Texte proposé par la Commission	Amendement
(1) Il est nécessaire d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme concernant les exigences essentielles en matière de cybersécurité aux fins de la mise sur le marché de l’Union de produits comportant des éléments numériques. Deux problèmes majeurs représentant des coûts supplémentaires pour les utilisateurs et la société devraient être réglés: d’une part, le niveau de cybersécurité des produits comportant des éléments numériques est faible, comme en témoignent les vulnérabilités généralisées et le manque de mises à jour de sécurité déployées de manière cohérente pour y remédier, et, d’autre part, les utilisateurs n’ont pas suffisamment accès aux informations et ne les comprennent pas bien, ce qui les empêche de choisir des produits dotés de propriétés de cybersécurité adéquates ou de les utiliser de manière sécurisée.	(1) Il est nécessaire d’améliorer le fonctionnement du marché intérieur tout en garantissant un niveau élevé de protection des consommateurs et de cybersécurité grâce à l’établissement d’un cadre juridique uniforme concernant les exigences essentielles en matière de cybersécurité aux fins de la mise sur le marché de l’Union de produits comportant des éléments numériques. Deux problèmes majeurs représentant des coûts supplémentaires pour les utilisateurs et la société devraient être réglés: d’une part, le niveau de cybersécurité des produits comportant des éléments numériques est faible, comme en témoignent les vulnérabilités généralisées et le manque de mises à jour de sécurité déployées de manière cohérente pour y remédier, et, d’autre part, les utilisateurs n’ont pas suffisamment accès aux informations et ne les comprennent pas bien, ce qui les empêche de choisir des produits dotés de propriétés de cybersécurité adéquates ou de les utiliser de manière sécurisée.

Amendement  2

 

Proposition de règlement

Considérant 7

Texte proposé par la Commission	Amendement
(7) Dans certaines conditions, tous les produits comportant des éléments numériques intégrés ou connectés à un système d’information électronique plus vaste peuvent servir de vecteur d’attaque pour des acteurs malveillants. En conséquence, même le matériel et les logiciels considérés comme moins critiques peuvent faciliter une première compromission d’un appareil ou d’un réseau, permettant à des acteurs malveillants d’obtenir un accès privilégié à un système ou de se déplacer latéralement entre différents systèmes. Les fabricants devraient donc veiller à ce que tous les produits connectables comportant des éléments numériques soient conçus et développés conformément aux exigences essentielles énoncées dans le présent règlement. Cela comprend à la fois les produits qui peuvent être connectés physiquement via des interfaces matérielles et les produits qui sont connectés logiquement, notamment par des connecteurs logiciels, tuyauteries, fichiers, interfaces de programmation d’application ou tout autre type d’interface logicielle. Étant donné que les menaces de cybersécurité peuvent se propager via divers produits comportant des éléments numériques avant d’atteindre une cible donnée, par exemple en enchaînant plusieurs exploits de vulnérabilité, les fabricants devraient également assurer la cybersécurité des produits qui ne sont connectés qu’indirectement à d’autres dispositifs ou réseaux.	(7) Dans certaines conditions, tous les produits comportant des éléments numériques intégrés ou connectés à un système d’information électronique plus vaste peuvent servir de vecteur d’attaque pour des acteurs malveillants. En conséquence, même le matériel et les logiciels considérés comme moins critiques peuvent faciliter une première compromission d’un appareil ou d’un réseau, permettant à des acteurs malveillants d’obtenir un accès privilégié à un système ou de se déplacer latéralement entre différents systèmes. Les fabricants devraient donc veiller à ce que tous les produits comportant des éléments numériques connectés à un réseau ou dispositif externe soient conçus et développés conformément aux exigences essentielles énoncées dans le présent règlement. Cela comprend à la fois les produits qui peuvent être connectés physiquement à des réseaux ou dispositifs externes via des interfaces matérielles et les produits qui sont connectés logiquement, notamment par des connecteurs logiciels, tuyauteries, fichiers, interfaces de programmation d’application ou tout autre type d’interface logicielle. Étant donné que les menaces de cybersécurité peuvent se propager via divers produits comportant des éléments numériques avant d’atteindre une cible donnée, par exemple en enchaînant plusieurs exploits de vulnérabilité, les fabricants devraient également assurer la cybersécurité des produits qui ne sont connectés qu’indirectement à d’autres dispositifs ou réseaux.

Amendement  3

 

Proposition de règlement

Considérant 7 bis (nouveau)

Texte proposé par la Commission	Amendement
	(7 bis) Le présent règlement n’a pas vocation à s’appliquer aux réseaux internes d’un produit comportant des éléments numériques si ces réseaux possèdent des points terminaux dédiés et sont complètement isolés et sécurisés par rapport à une connexion externe.

Amendement  4

 

Proposition de règlement

Considérant 7 ter (nouveau)

Texte proposé par la Commission	Amendement
	(7 ter) Le présent règlement ne devrait pas s’appliquer aux pièces de rechange destinées exclusivement à remplacer les pièces défectueuses de produits comportant des éléments numériques en vue de restaurer leur fonctionnalité.

Amendement  5

 

Proposition de règlement

Considérant 9

Texte proposé par la Commission	Amendement
(9) Le présent règlement garantit un niveau élevé de cybersécurité des produits comportant des éléments numériques. Il ne réglemente pas les services, tels que le logiciel en tant que service (SaaS), à l’exception des solutions de traitement de données à distance relatives à un produit comportant des éléments numériques, par lesquelles on entend tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant du produit concerné ou sous la responsabilité de celui-ci, et dont l’absence empêcherait ledit produit d’exécuter l’une de ses fonctions. La [directive XXX/XXXX (SRI 2)] met en place des exigences en matière de cybersécurité et de signalement des incidents pour les entités essentielles et importantes, telles que les infrastructures critiques, en vue d’accroître la résilience des services qu’elles fournissent. La [directive XXX/XXXX (SRI 2)] s’applique aux services d’informatique en nuage et aux modèles de services en nuage, tels que le SaaS. Toutes les entités fournissant des services d’informatique en nuage dans l’Union, qui atteignent ou dépassent le seuil fixé pour les entreprises de taille moyenne relèvent du champ d’application de cette directive.	(9) Le présent règlement garantit un niveau élevé de cybersécurité des produits comportant des éléments numériques. Il ne réglemente pas les services, tels que le logiciel en tant que service (SaaS). La [directive XXX/XXXX (SRI 2)] met en place des exigences en matière de cybersécurité et de signalement des incidents pour les entités essentielles et importantes, telles que les infrastructures critiques, en vue d’accroître la résilience des services qu’elles fournissent. La [directive XXX/XXXX (SRI 2)] s’applique aux services d’informatique en nuage et aux modèles de services en nuage, tels que le SaaS. Toutes les entités fournissant des services d’informatique en nuage dans l’Union qui atteignent ou dépassent le seuil fixé pour les entreprises de taille moyenne relèvent du champ d’application de cette directive.

Amendement  6

 

Proposition de règlement

Considérant 10

Texte proposé par la Commission	Amendement
(10) Afin de ne pas entraver l’innovation ou la recherche, les logiciels libres et ouverts développés ou fournis en dehors du cadre d’une activité commerciale ne devraient pas être couverts par le présent règlement. C’est notamment le cas des logiciels, y compris leurs codes sources et versions modifiées, qui sont librement partagés et accessibles, utilisables, modifiables et redistribuables. En ce qui concerne le logiciel, l’activité commerciale peut être caractérisée non seulement par le prix facturé pour un produit, mais également par le prix des services d’assistance technique, par la fourniture d’une plate-forme logicielle par l’intermédiaire de laquelle le fabricant monétise d’autres services, ou par l’utilisation de données à caractère personnel pour des raisons autres qu’aux seules fins d’améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel.	(10) Les logiciels et les données qui sont librement partagés, auxquels les utilisateurs peuvent librement accéder et qu’ils peuvent librement utiliser, modifier et redistribuer, y compris leurs versions modifiées, peuvent contribuer à la recherche et à l’innovation sur le marché. Des recherches menées par la Commission montrent également que les logiciels libres et ouverts peuvent contribuer au produit intérieur brut (PIB) de l’Union à hauteur de 65 à 95 milliards d’EUR et peuvent offrir des possibilités notables de croissance à l’économie européenne. Afin de ne pas entraver l’innovation ou la recherche, les logiciels libres et ouverts développés ou fournis en dehors du cadre d’une activité commerciale ne devraient pas être couverts par le présent règlement. C’est notamment le cas des logiciels, y compris leurs codes sources et versions modifiées, qui sont librement partagés et accessibles, utilisables, modifiables et redistribuables. L’activité commerciale, au sens de la mise à disposition sur le marché, peut toutefois être caractérisée par le prix facturé pour un composant logiciel libre et ouvert, mais également par la monétisation, telle que le prix des services d’assistance technique ou les mises à jour logicielles payantes, sauf lorsque cela ne sert qu’à récupérer les coûts réels, par la fourniture d’une plate-forme logicielle par l’intermédiaire de laquelle le fabricant monétise d’autres services, ou par l’utilisation de données à caractère personnel pour des raisons autres qu’aux seules fins d’améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel. Ni le développement collaboratif de composants logiciels libres et ouverts ni leur mise à disposition dans des référentiels ouverts ne devraient constituer une mise sur le marché ou une mise en service. Les circonstances dans lesquelles le produit a été développé ou la manière dont le développement a été financé ne devraient pas être pris en considération au moment de déterminer la nature commerciale ou non commerciale de cette activité. Lorsqu’un logiciel ouvert est intégré dans un produit final comportant des éléments numériques qui est mis sur le marché, l’opérateur économique qui a mis sur le marché le produit final comportant des éléments numériques est responsable de la conformité du produit, y compris des composants libres et ouverts.

Amendement  7

 

Proposition de règlement

Considérant 11

Texte proposé par la Commission	Amendement
(11) Un internet sécurisé est indispensable au fonctionnement des infrastructures critiques et à la société dans son ensemble. La [directive XXX/XXXX (SRI 2)] vise à garantir un niveau élevé de cybersécurité des services fournis par des entités essentielles et importantes, y compris les fournisseurs d’infrastructures numériques qui soutiennent les fonctions essentielles de l’internet ouvert, assurent l’accès à l’internet et les services internet. Il est donc important que les produits comportant des éléments numériques dont les fournisseurs d’infrastructures numériques ont besoin pour assurer le fonctionnement de l’internet soient développés de manière sécurisée et qu’ils respectent les normes de sécurité de l’internet bien établies. Le présent règlement, qui s’applique à tous les matériels et logiciels connectables, vise également à faciliter le respect, par les fournisseurs d’infrastructures numériques, des exigences de la chaîne d’approvisionnement en vertu de la [directive XXX/XXXX (SRI 2)], en veillant à ce que les produits comportant des éléments numériques qu’ils utilisent pour la fourniture de leurs services soient développés de manière sécurisée et à ce qu’ils aient accès à des mises à jour de sécurité en temps utile pour ces produits.	(11) Un internet sécurisé est indispensable au fonctionnement des infrastructures critiques et à la société dans son ensemble. La [directive XXX/XXXX (SRI 2)] vise à garantir un niveau élevé de cybersécurité des services fournis par des entités essentielles et importantes, y compris les fournisseurs d’infrastructures numériques qui soutiennent les fonctions essentielles de l’internet ouvert, assurent l’accès à l’internet et les services internet. Il est donc important que les produits comportant des éléments numériques dont les fournisseurs d’infrastructures numériques ont besoin pour assurer le fonctionnement de l’internet soient développés de manière sécurisée et qu’ils respectent les normes de sécurité de l’internet bien établies. Le présent règlement, qui s’applique à tous les matériels et logiciels connectés à un réseau ou dispositif externe, vise également à faciliter le respect, par les fournisseurs d’infrastructures numériques, des exigences de la chaîne d’approvisionnement en vertu de la [directive XXX/XXXX (SRI 2)], en veillant à ce que les produits comportant des éléments numériques qu’ils utilisent pour la fourniture de leurs services soient développés de manière sécurisée et à ce qu’ils aient accès à des mises à jour de sécurité en temps utile pour ces produits.

Amendement  8

 

Proposition de règlement

Considérant 15

Texte proposé par la Commission	Amendement
(15) Le règlement délégué (UE) 2022/30 précise que les exigences essentielles énoncées à l’article 3, paragraphe 3, point d) (dommages au réseau et mauvaise utilisation des ressources du réseau), point e) (données à caractère personnel et vie privée) et point f) (fraude), de la directive 2014/53/UE s’appliquent à certains équipements radio. La [décision d’exécution (UE) XXX/2022 de la Commission relative à une demande de normalisation adressée aux organisations européennes de normalisation] fixe des exigences pour l’élaboration de normes spécifiques précisant la manière dont ces trois exigences essentielles doivent être traitées. Les exigences essentielles établies par le présent règlement comprennent tous les éléments des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE. En outre, les exigences essentielles énoncées dans le présent règlement sont alignées sur les objectifs des exigences relatives à des normes spécifiques incluses dans cette demande de normalisation. Par conséquent, si la Commission abroge ou modifie le règlement délégué (UE) 2022/30 de sorte qu’il cesse de s’appliquer à certains produits soumis au présent règlement, la Commission et les organisations européennes de normalisation devraient tenir compte des travaux de normalisation menés dans le cadre de la décision d’exécution C(2022)5637 de la Commission relative à une demande de normalisation du règlement délégué RED [règlement (UE) 2022/30] lors de l’élaboration et du développement de normes harmonisées visant à faciliter la mise en œuvre du présent règlement.	(15) Le règlement délégué (UE) 2022/30 précise que les exigences essentielles énoncées à l’article 3, paragraphe 3, point d) (dommages au réseau et mauvaise utilisation des ressources du réseau), point e) (données à caractère personnel et vie privée) et point f) (fraude), de la directive 2014/53/UE s’appliquent à certains équipements radio. La [décision d’exécution (UE) XXX/2022 de la Commission relative à une demande de normalisation adressée aux organisations européennes de normalisation] fixe des exigences pour l’élaboration de normes spécifiques précisant la manière dont ces trois exigences essentielles doivent être traitées. Les exigences essentielles établies par le présent règlement comprennent tous les éléments des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE. En outre, les exigences essentielles énoncées dans le présent règlement sont alignées sur les objectifs des exigences relatives à des normes spécifiques incluses dans cette demande de normalisation. Par conséquent, si la Commission abroge le règlement délégué (UE) 2022/30 de sorte qu’il cesse de s’appliquer à certains produits soumis au présent règlement, la Commission et les organisations européennes de normalisation devraient tenir compte des travaux de normalisation menés dans le cadre de la décision d’exécution C(2022)5637 de la Commission relative à une demande de normalisation du règlement délégué RED [règlement (UE) 2022/30] lors de l’élaboration et du développement de normes harmonisées visant à faciliter la mise en œuvre du présent règlement.

Amendement  9

 

Proposition de règlement

Considérant 18 bis (nouveau)

Texte proposé par la Commission	Amendement
	(18 bis) Afin que les développeurs individuels ou les micro-développeurs de logiciels au sens de la recommandation 2003/361/CE de la Commission ne soient pas confrontés à des obstacles financiers majeurs et ne soient pas dissuadés de tester sur le marché leur preuve de concept ainsi que leur analyse de rentabilisation, ces entités devraient être tenues de faire tout ce qui est en leur pouvoir pour se conformer aux exigences de la présente proposition dans les six mois suivant la mise sur le marché d’un logiciel. Ce régime spécial devrait permettre d’éviter l’effet dissuasif que les coûts de conformité et d’accès élevés pourraient avoir sur les entrepreneurs ou les personnes qualifiées qui envisagent de développer des logiciels dans l’Union. Toutefois, ce régime spécial ne devrait pas s’appliquer aux produits hautement critiques comportant des éléments numériques.

Amendement  10

 

Proposition de règlement

Considérant 19

Texte proposé par la Commission	Amendement
(19) Certaines tâches prévues par le présent règlement devraient être exécutées par l’ENISA, conformément à l’article 3, paragraphe 2, du règlement (UE) 2019/881. L’ENISA devrait notamment recevoir des notifications des fabricants concernant les vulnérabilités activement exploitées des produits comportant des éléments numériques ainsi que les incidents ayant une incidence sur la sécurité de ces produits. L’ENISA devrait également transmettre ces notifications aux centres de réponse aux incidents de sécurité informatique (CSIRT) concernés ou, respectivement, aux points de contact uniques pertinents des États membres désignés conformément à l’article [article X] de la directive [directive XXX/XXXX (SRI 2)], et informer les autorités de surveillance du marché concernées de la vulnérabilité notifiée. Sur la base des informations qu’elle recueille, l’ENISA devrait préparer un rapport technique bisannuel sur les tendances émergentes concernant les risques de cybersécurité dans les produits comportant des éléments numériques et le soumettre au groupe de coopération visé dans la directive [directive XXX/XXXX (SRI 2)]. En outre, eu égard à son expertise et à son mandat, l’ENISA devrait être en mesure de soutenir le processus de mise en œuvre du présent règlement. Elle devrait notamment pouvoir proposer des activités conjointes à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations concernant une non-conformité potentielle au présent règlement, dans plusieurs États membres, de produits comportant des éléments numériques ou recenser les catégories de produits pour lesquelles des actions de contrôle coordonnées simultanées devraient être organisées. Dans des circonstances exceptionnelles, à la demande de la Commission, l’ENISA devrait être en mesure de procéder à des évaluations portant sur des produits comportant des éléments numériques spécifiques qui présentent un risque de cybersécurité important, lorsqu’une intervention immédiate est nécessaire pour préserver le bon fonctionnement du marché intérieur.	(19) Certaines tâches prévues par le présent règlement devraient être exécutées par l’ENISA, conformément à l’article 3, paragraphe 2, du règlement (UE) 2019/881. L’ENISA devrait notamment recevoir des fabricants, sous la forme d’une alerte précoce, des notifications concernant les vulnérabilités activement exploitées des produits comportant des éléments numériques ainsi que les incidents ayant une incidence importante sur la sécurité de ces produits. L’ENISA devrait également transmettre ces notifications aux centres de réponse aux incidents de sécurité informatique (CSIRT) concernés ou, respectivement, aux points de contact uniques pertinents des États membres désignés conformément à l’article [article X] de la directive [directive XXX/XXXX (SRI 2)], et informer immédiatement les autorités de surveillance du marché concernées de l’existence d’une vulnérabilité et, le cas échéant, des mesures d’atténuation du risque potentiel. En l’absence de mesure corrective ou d’atténuation pour une vulnérabilité notifiée, l’ENISA devrait veiller à ce que les informations concernant ladite vulnérabilité notifiée soient partagées conformément à des protocoles de sécurité stricts et selon le principe du besoin d’en connaître. Sur la base des informations qu’elle recueille, l’ENISA devrait préparer un rapport technique bisannuel sur les tendances émergentes concernant les risques de cybersécurité dans les produits comportant des éléments numériques et le soumettre au groupe de coopération visé dans la directive [directive XXX/XXXX (SRI 2)]. En outre, eu égard à son expertise et à son mandat, l’ENISA devrait être en mesure de soutenir le processus de mise en œuvre du présent règlement. Elle devrait notamment pouvoir proposer des activités conjointes à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations concernant une non-conformité potentielle au présent règlement, dans plusieurs États membres, de produits comportant des éléments numériques ou recenser les catégories de produits pour lesquelles des actions de contrôle coordonnées simultanées devraient être organisées. Dans des circonstances exceptionnelles, à la demande de la Commission, l’ENISA devrait être en mesure de procéder à des évaluations portant sur des produits comportant des éléments numériques spécifiques qui présentent un risque de cybersécurité important, lorsqu’une intervention immédiate est nécessaire pour préserver le bon fonctionnement du marché intérieur.

Amendement  11

 

Proposition de règlement

Considérant 20

Texte proposé par la Commission	Amendement
(20) Le marquage CE devrait être apposé sur les produits comportant des éléments numériques pour indiquer leur conformité avec le présent règlement, afin qu’ils puissent circuler librement dans le marché intérieur. Les États membres devraient s’abstenir de créer des entraves injustifiées à la mise sur le marché de produits comportant des éléments numériques qui satisfont aux exigences fixées dans le présent règlement et portent le marquage CE.	(20) Le marquage CE devrait être apposé sur les produits comportant des éléments numériques pour indiquer de manière visible, lisible et indélébile leur conformité avec le présent règlement, afin qu’ils puissent circuler librement dans le marché intérieur. Les États membres devraient s’abstenir de créer des entraves injustifiées à la mise sur le marché de produits comportant des éléments numériques qui satisfont aux exigences fixées dans le présent règlement et portent le marquage CE.

Amendement  12

 

Proposition de règlement

Considérant 22

Texte proposé par la Commission	Amendement
(22) Afin de garantir que les produits comportant des éléments numériques, lorsqu’ils sont mis sur le marché, ne présentent pas de risques de cybersécurité pour les personnes et les organisations, il convient de fixer des exigences essentielles pour ces produits. Lorsque ces produits sont modifiés ultérieurement, par des moyens physiques ou numériques, d’une manière qui n’est pas prévue par le fabricant et qui peut impliquer qu’ils ne satisfont plus aux exigences essentielles pertinentes, la modification devrait être considérée comme substantielle. Par exemple, les mises à jour de logiciels ou les réparations pourraient être assimilées à des opérations d’entretien pour autant qu’elles ne modifient pas un produit déjà mis sur le marché d’une manière qui soit susceptible d’en compromettre la conformité aux exigences applicables ou de modifier l’utilisation prévue pour laquelle le produit a été évalué. Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques doit être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel modifie les fonctions, le type ou les performances initialement prévues du produit et que ces modifications n’ont pas été prévues dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque a augmenté en raison de la mise à jour du logiciel.	(22) Afin de garantir que les produits comportant des éléments numériques, lorsqu’ils sont mis sur le marché, ne présentent pas de risques de cybersécurité pour les personnes et les organisations, il convient de fixer des exigences essentielles pour ces produits. Lorsque ces produits sont modifiés ultérieurement, par des moyens physiques ou numériques, d’une manière qui n’est pas prévue par le fabricant et qui peut impliquer qu’ils ne satisfont plus aux exigences essentielles pertinentes, la modification devrait être considérée comme substantielle. Par exemple, les mises à jour de logiciels ou les réparations, telles qu’une modification mineure du code source de nature à améliorer la sécurité et le fonctionnement, pourraient être assimilées à des opérations d’entretien pour autant qu’elles ne modifient pas un produit déjà mis sur le marché d’une manière qui soit susceptible d’en compromettre la conformité aux exigences applicables ou de modifier l’utilisation prévue pour laquelle le produit a été évalué. Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques doit être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel modifie les fonctions, le type ou les performances initialement prévues du produit et que ces modifications n’ont pas été prévues dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque a augmenté en raison de la mise à jour du logiciel.

Amendement  13

 

Proposition de règlement

Considérant 23

Texte proposé par la Commission	Amendement
(23) Conformément à la notion généralement établie de modification substantielle pour les produits régis par la législation d’harmonisation de l’Union, chaque fois que se produit une modification substantielle de nature à affecter la conformité d’un produit au présent règlement ou lorsque l’utilisation prévue de ce produit change, il convient de vérifier la conformité du produit comportant des éléments numériques et, le cas échéant, de le soumettre à une nouvelle évaluation de la conformité. Le cas échéant, si le fabricant a recours à une évaluation de la conformité faisant intervenir un tiers, les modifications susceptibles d’entraîner des modifications substantielles devraient être notifiées à ce dernier.	(23) Conformément à la notion généralement établie de modification substantielle pour les produits régis par la législation d’harmonisation de l’Union, chaque fois que se produit une modification substantielle de nature à affecter la conformité d’un produit au présent règlement ou lorsque l’utilisation prévue de ce produit change, il convient de vérifier la conformité du produit comportant des éléments numériques et, le cas échéant, de mettre à jour l’évaluation de la conformité. Le cas échéant, si le fabricant a recours à une évaluation de la conformité faisant intervenir un tiers, les modifications susceptibles d’entraîner des modifications substantielles devraient être notifiées à ce dernier. L’évaluation ultérieure de la conformité devrait porter sur les modifications ayant conduit à la nouvelle évaluation, à moins que ces modifications n’aient une incidence importante sur la conformité d’autres parties du produit. Lorsqu’une mise à jour logicielle est effectuée, le fabricant ne devrait pas être tenu de procéder à une autre évaluation de la conformité du produit comportant des éléments numériques, sauf si la mise à jour logicielle entraîne une modification substantielle du produit comportant des éléments numériques.

Amendement  14

 

Proposition de règlement

Considérant 24 bis (nouveau)

Texte proposé par la Commission	Amendement
	(24 bis) Les fabricants de produits comportant des éléments numériques devraient veiller à ce que les mises à jour des logiciels soient fournies de manière claire et transparente et à ce qu’une distinction claire soit établie entre les mises à jour de sécurité et les mises à jour de fonctionnalités. Si les mises à jour de sécurité visent à diminuer le niveau de risque d’un produit comportant des éléments numériques, l’application des mises à jour de fonctionnalités fournies par le fabricant devrait toujours rester à la discrétion de l’utilisateur. Les fabricants devraient donc fournir ces mises à jour séparément, sauf si cela n’est pas possible d’un point de vue technique. Les fabricants devraient fournir aux consommateurs des informations pertinentes sur les motifs de chaque mise à jour et sur l’incidence prévue de celle-ci sur le produit, ainsi qu’un mécanisme de renonciation clair et facile à utiliser.

Amendement  15

 

Proposition de règlement

Considérant 25

Texte proposé par la Commission	Amendement
(25) Les produits comportant des éléments numériques devraient être considérés comme critiques si l’exploitation de vulnérabilités potentielles de cybersécurité dans ces produits peut avoir de graves répercussions en raison, entre autres, de la fonctionnalité liée à la cybersécurité ou de l’utilisation prévue. En particulier, les vulnérabilités de produits comportant des éléments numériques qui ont une fonctionnalité liée à la cybersécurité, tels que les éléments sécurisés, peuvent provoquer une propagation des problèmes de sécurité tout au long de la chaîne d’approvisionnement. La gravité des effets d’un incident de cybersécurité peut également augmenter selon l’utilisation prévue du produit, par exemple s’il est employé dans un cadre industriel ou dans le contexte d’une entité essentielle du type visé à l’annexe [annexe I] de la directive [directive XXX/XXXX (SRI 2)], ou pour l’exécution de fonctions critiques ou sensibles, telles que le traitement de données à caractère personnel.	(25) Les produits comportant des éléments numériques devraient être considérés comme critiques si l’exploitation de vulnérabilités potentielles de cybersécurité dans ces produits peut avoir de graves répercussions en raison, entre autres, de la fonctionnalité liée à la cybersécurité ou de l’utilisation prévue. En particulier, les vulnérabilités de produits comportant des éléments numériques qui ont une fonctionnalité liée à la cybersécurité, tels que les éléments sécurisés, peuvent provoquer une propagation des problèmes de sécurité tout au long de la chaîne d’approvisionnement. La gravité des effets d’un incident de cybersécurité peut également augmenter en considération de l’utilisation prévue du produit dans des applications critiques au sein d’environnements sensibles ou dans le contexte d’une entité essentielle du type visé à l’annexe [annexe I] de la directive [directive XXX/XXXX (SRI 2)], ou pour l’exécution de fonctions critiques ou sensibles, telles que le traitement de données à caractère personnel.

Amendement  16

 

Proposition de règlement

Considérant 26

Texte proposé par la Commission	Amendement
(26) Les produits critiques comportant des éléments numériques devraient être soumis à des procédures d’évaluation de la conformité plus strictes, tout en conservant une approche proportionnée. À cette fin, les produits critiques comportant des éléments numériques devraient être divisés en deux catégories, reflétant le niveau de risque de cybersécurité lié à ces catégories de produits. Un cyberincident potentiel impliquant des produits de classe II pourrait avoir des conséquences négatives plus importantes qu’un incident impliquant des produits de classe I, par exemple en raison de la nature de leur fonction liée à la cybersécurité ou de leur utilisation prévue dans des environnements sensibles, et ces produits devraient donc faire l’objet d’une procédure d’évaluation de la conformité plus stricte.	(26) Les produits critiques comportant des éléments numériques devraient être soumis à des procédures d’évaluation de la conformité plus strictes, tout en conservant une approche proportionnée. À cette fin, les produits critiques comportant des éléments numériques devraient être divisés en deux catégories, reflétant le niveau de risque de cybersécurité lié à ces catégories de produits. Un cyberincident potentiel impliquant des produits de classe II pourrait avoir des conséquences négatives plus importantes qu’un incident impliquant des produits de classe I, par exemple en raison de la nature de leur fonction liée à la cybersécurité ou de leur utilisation prévue dans des environnements sensibles, et ces produits devraient donc faire l’objet d’une procédure d’évaluation de la conformité plus stricte. À titre d’exception, les petites entreprises et les microentreprises devraient pouvoir employer la procédure applicable aux produits de classe I.

Amendement  17

 

Proposition de règlement

Considérant 29

Texte proposé par la Commission	Amendement
(29) Les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article 6 du règlement27 [règlement sur l’IA] qui relèvent du champ d’application du présent règlement devraient satisfaire aux exigences essentielles énoncées dans celui-ci. Lorsque ces systèmes d’IA à haut risque satisfont aux exigences essentielles du présent règlement, ils devraient être réputés conformes aux exigences en matière de cybersécurité énoncées à l’article [article 15] du règlement [règlement sur l’IA], dans la mesure où ces exigences sont couvertes par la déclaration UE de conformité, ou par certaines parties de celle-ci, délivrée en vertu du présent règlement. S’agissant des procédures d’évaluation de la conformité relatives aux exigences essentielles de cybersécurité d’un produit comportant des éléments numériques couvert par le présent règlement et classé comme système d’IA à haut risque, les dispositions pertinentes de l’article 43 du règlement [règlement sur l’IA] devraient de manière générale s’appliquer en lieu et place des dispositions correspondantes du présent règlement. Toutefois, l’application de cette règle ne devrait pas entraîner de réduction du niveau d’assurance nécessaire pour les produits critiques comportant des éléments numériques couverts par le présent règlement. Par conséquent, par dérogation à cette règle, les systèmes d’IA à haut risque qui relèvent du champ d’application du règlement [règlement sur l’IA] et sont également considérés comme des produits critiques comportant des éléments numériques en vertu du présent règlement et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI du règlement [règlement sur l’IA] devraient être soumis aux dispositions du présent règlement relatives à l’évaluation de la conformité en ce qui concerne les exigences essentielles énoncées dans celui-ci. Dans ce cas, pour tous les autres aspects couverts par le règlement [règlement sur l’IA], les dispositions correspondantes relatives à l’évaluation de la conformité fondée sur le contrôle interne énoncées à l’annexe VI du règlement [règlement sur IA] devraient s’appliquer.	(29) Les produits comportant des éléments numériques ou les quasi-produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article 6 du règlement27 [règlement sur l’IA] qui relèvent du champ d’application du présent règlement devraient satisfaire aux exigences essentielles énoncées dans celui-ci. Lorsque ces systèmes d’IA à haut risque satisfont aux exigences essentielles du présent règlement, ils devraient être réputés conformes aux exigences en matière de cybersécurité énoncées à l’article [article 15] du règlement [règlement sur l’IA], dans la mesure où ces exigences sont couvertes par la déclaration UE de conformité, ou par certaines parties de celle-ci, délivrée en vertu du présent règlement. S’agissant des procédures d’évaluation de la conformité relatives aux exigences essentielles de cybersécurité d’un produit comportant des éléments numériques couvert par le présent règlement et classé comme système d’IA à haut risque, les dispositions pertinentes [des dispositions applicables] du règlement [règlement sur l’IA] devraient de manière générale s’appliquer en lieu et place des dispositions correspondantes du présent règlement. L’application de cette règle devrait créer un niveau élevé d’assurance pour les produits critiques comportant des éléments numériques couverts par le présent règlement. Pour les systèmes d’IA à haut risque qui relèvent du champ d’application du règlement [règlement sur l’IA] et sont également considérés comme des produits critiques comportant des éléments numériques au titre du présent règlement, l’organisme sectoriel notifié responsable devrait être chargé de la réalisation de l’évaluation de la conformité en application du présent règlement et diriger la procédure administrative de façon à ce que les opérateurs économiques puissent adresser leur demande d’évaluation de la conformité à un organisme réglementaire unique.
__________________	__________________
27 Règlement [le règlement sur l’IA].	27 Règlement [le règlement sur l’IA].

Amendement  18

 

Proposition de règlement

Considérant 32

Texte proposé par la Commission	Amendement
(32) Afin de garantir la sécurité des produits comportant des éléments numériques au moment de leur mise sur le marché et tout au long de leur cycle de vie, il est nécessaire de définir des exigences essentielles en matière de gestion de la vulnérabilité et des exigences essentielles en matière de cybersécurité concernant les propriétés des produits comportant des éléments numériques. Les fabricants devraient se conformer à toutes les exigences essentielles liées à la gestion des vulnérabilités et veiller à ce que tous leurs produits soient livrés sans aucune vulnérabilité exploitable connue, mais ils devraient en outre déterminer les autres exigences essentielles liées aux propriétés du produit pertinentes pour le type de produit concerné. À cette fin, les fabricants devraient entreprendre une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques afin de recenser les risques et les exigences essentielles pertinents et d’appliquer de manière appropriée des normes harmonisées ou des spécifications communes appropriées.	(32) Afin de garantir la sécurité des produits comportant des éléments numériques au moment de leur mise sur le marché et tout au long de leur cycle de vie, il est nécessaire de définir des exigences essentielles en matière de gestion de la vulnérabilité et des exigences essentielles en matière de cybersécurité concernant les propriétés des produits comportant des éléments numériques. Les fabricants devraient se conformer à toutes les exigences essentielles liées à la gestion des vulnérabilités et veiller à ce que tous leurs produits soient livrés sans aucune vulnérabilité exploitable connue, mais ils devraient en outre déterminer les autres exigences essentielles liées aux propriétés du produit pertinentes pour le type de produit concerné. À cette fin, les fabricants devraient entreprendre une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques afin de recenser les risques et les exigences essentielles pertinents et d’appliquer de manière appropriée des normes harmonisées appropriées.

Amendement  19

 

Proposition de règlement

Considérant 33 bis (nouveau)

Texte proposé par la Commission	Amendement
	(33 bis) Pour garantir que les produits sont conçus, développés et fabriqués conformément aux exigences essentielles prévues à l’annexe I, section 1, les fabricants devraient faire preuve de diligence raisonnable lors de l’intégration de composants provenant de tiers dans des produits comportant des éléments numériques. Tel est le cas des composants qui sont adaptés au produit et y sont intégrés en tenant compte de ses spécificités, en particulier pour ce qui est des logiciels libres et ouverts qui n’ont pas été mis sur le marché moyennant une monétisation, financière ou autre.

Amendement  20

 

Proposition de règlement

Considérant 34

Texte proposé par la Commission	Amendement
(34) Afin de garantir que les CSIRT nationaux et le guichet unique désigné conformément à l’article [article X] de la directive [directive XX/XXXX (SRI 2)] reçoivent les informations nécessaires à l’accomplissement de leurs tâches et à l’élévation du niveau global de cybersécurité des entités essentielles et importantes, et afin de garantir le fonctionnement efficace des autorités de surveillance du marché, les fabricants de produits comportant des éléments numériques devraient notifier à l’ENISA les vulnérabilités activement exploitées. Étant donné que la plupart des produits comportant des éléments numériques sont commercialisés sur l’ensemble du marché intérieur, toute vulnérabilité exploitée dans un de ces produits devrait être considérée comme une menace pour le fonctionnement du marché intérieur. Les fabricants devraient également envisager de communiquer les vulnérabilités fixes à la base de données européenne sur les vulnérabilités établie en vertu de la directive [directive XX/XXXX (SRI 2)] et gérée par l’ENISA ou à toute autre base de données sur les vulnérabilités accessible au public.	(34) Afin de garantir que les CSIRT nationaux et le guichet unique désigné conformément à l’article [article X] de la directive [directive XX/XXXX (SRI 2)] reçoivent les informations nécessaires à l’accomplissement de leurs tâches et à l’élévation du niveau global de cybersécurité des entités essentielles et importantes, et afin de garantir le fonctionnement efficace des autorités de surveillance du marché, les fabricants de produits comportant des éléments numériques devraient notifier à l’ENISA, dans les meilleurs délais et en tout état de cause 48 heures au plus tard après en avoir eu connaissance, au moyen d’une alerte précoce, les vulnérabilités activement exploitées. Les fabricants devraient, dans les meilleurs délais après avoir eu connaissance de vulnérabilités activement exploitées ayant une incidence importante sur la sécurité du produit comportant des éléments numériques, communiquer à l’ENISA des précisions supplémentaires sur ladite vulnérabilité exploitée. Toute autre vulnérabilité n’ayant pas d’incidence importante sur la sécurité du produit comportant des éléments numériques devrait être signalée à l’ENISA une fois traitée. Étant donné que la plupart des produits comportant des éléments numériques sont commercialisés sur l’ensemble du marché intérieur, toute vulnérabilité exploitée dans un de ces produits devrait être considérée comme une menace pour le fonctionnement du marché intérieur. Les fabricants devraient également envisager de communiquer les vulnérabilités fixes à la base de données européenne sur les vulnérabilités établie en vertu de la directive [directive XX/XXXX (SRI 2)] et gérée par l’ENISA ou à toute autre base de données sur les vulnérabilités accessible au public.

Amendement  21

 

Proposition de règlement

Considérant 34 bis (nouveau)

Texte proposé par la Commission	Amendement
	(34 bis) L’ENISA devrait être responsable de la publication et de la tenue à jour d’une base de données des vulnérabilités exploitées connues. Les fabricants devraient assurer une veille de la base de données et communiquer les vulnérabilités constatées dans leurs produits.

Amendement  22

 

Proposition de règlement

Considérant 35

Texte proposé par la Commission	Amendement
(35) Les fabricants devraient également signaler à l’ENISA tout incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques. Nonobstant les obligations de signalement d’incidents prévues par la directive [directive XXX/XXXX (SRI 2)] pour les entités essentielles et importantes, il est essentiel que l’ENISA, les guichets uniques désignés par les États membres conformément à l’article [article X] de la directive [directive XXX/XXXX (SRI 2)] et les autorités de surveillance du marché reçoivent des informations des fabricants de produits comportant des éléments numériques leur permettant d’évaluer la sécurité de ces produits. Afin de garantir que les utilisateurs puissent réagir rapidement aux incidents ayant un impact sur la sécurité de leurs produits comportant des éléments numériques, les fabricants devraient également informer leurs utilisateurs de tout incident de ce type et, le cas échéant, de toute mesure corrective que les utilisateurs peuvent mettre en œuvre pour atténuer l’impact de l’incident, par exemple en publiant des informations pertinentes sur leur site internet ou, lorsque le fabricant est en mesure de contacter les utilisateurs et lorsque les risques le justifient, en contactant directement les utilisateurs.	(35) Les fabricants devraient également signaler à l’ENISA, au moyen d’une alerte précoce, tout incident ayant des répercussions importantes sur la sécurité du produit comportant des éléments numériques. Les fabricants devraient communiquer à l’ENISA, dans les meilleurs délais et en tout état de cause dans les 72 heures après avoir eu connaissance de l’incident important relatif au produit comportant des éléments numériques, des précisions supplémentaires sur ledit incident important. Nonobstant les obligations de signalement d’incidents prévues par la directive [directive XXX/XXXX (SRI 2)] pour les entités essentielles et importantes, il est essentiel que l’ENISA, les guichets uniques désignés par les États membres conformément à l’article [article X] de la directive [directive XXX/XXXX (SRI 2)] et les autorités de surveillance du marché reçoivent des informations des fabricants de produits comportant des éléments numériques leur permettant d’évaluer la sécurité de ces produits. Afin de garantir que les utilisateurs puissent réagir rapidement aux incidents ayant un impact important sur la sécurité de leurs produits comportant des éléments numériques, les fabricants devraient également informer leurs utilisateurs de tout incident de ce type, s’il y a lieu et si celui-ci risque de leur nuire, et, le cas échéant, de toute mesure d’atténuation des risques ou mesure corrective que les utilisateurs peuvent mettre en œuvre pour atténuer l’impact de l’incident important, par exemple en publiant des informations pertinentes sur leur site internet ou, lorsque le fabricant est en mesure de contacter les utilisateurs et lorsque les risques le justifient, en contactant directement les utilisateurs. Sans préjudice d’autres obligations, les fabricants qui décèlent une vulnérabilité dans un composant intégré à un produit comportant des éléments numériques, y compris dans un composant libre et ouvert, devraient signaler la vulnérabilité à la personne ou à l’entité qui assure l’entretien du composant, ainsi que les mesures correctives prises.

Amendement  23

 

Proposition de règlement

Considérant 37 bis (nouveau)

Texte proposé par la Commission	Amendement
	(37 bis) Aux termes de l’accord de l’Organisation mondiale du commerce (OMC) sur les obstacles techniques au commerce, dans les cas où des règlements techniques sont requis et où des normes internationales pertinentes existent, les membres de l’OMC devraient utiliser ces normes comme base de leurs propres règlements techniques. Il importe d’éviter tout chevauchement d’activité entre les organisations de normalisation, les normes internationales visant à faciliter l’harmonisation des règlements et normes techniques nationaux et régionaux et, ce faisant, à réduire les obstacles techniques non tarifaires au commerce. La cybersécurité étant un problème mondial, l’Union devrait s’efforcer de parvenir à un alignement maximal. Pour atteindre cet objectif, la demande de normalisation effectuée pour le présent règlement en application de l’article 10 du règlement 1025/2012 devrait tendre à réduire les obstacles à l’acceptation des normes en publiant leurs références au Journal officiel de l’Union, conformément à l’article 10, paragraphe 6, du règlement 1025/2012.

Amendement  24

 

Proposition de règlement

Considérant 37 ter (nouveau)

Texte proposé par la Commission	Amendement
	(37 ter) Compte tenu de l’étendue du champ d’application du présent règlement, l’élaboration en temps utile de normes harmonisées représente un défi de taille. Pour renforcer au plus vite la sécurité des produits comportant des éléments numériques sur le marché de l’Union, la Commission devrait être habilitée, pendant une durée limitée, à déclarer que les normes internationales existantes en matière de cybersécurité des produits satisfont aux exigences du présent règlement. Ces normes devraient être publiées en tant que normes conférant une présomption de conformité.

Amendement  25

 

Proposition de règlement

Considérant 38

Texte proposé par la Commission	Amendement
(38) Afin de faciliter l’évaluation de la conformité aux exigences établies par le présent règlement, il convient de prévoir une présomption de conformité pour les produits dont les éléments numériques sont conformes à des normes harmonisées, qui traduisent les exigences essentielles du présent règlement en spécifications techniques détaillées et sont adoptées conformément au règlement (UE) nº 1025/2012 du Parlement européen et du Conseil29. Le règlement (UE) nº 1025/2012 prévoit une procédure pour la formulation d’objections à l’encontre de normes harmonisées lorsque celles-ci ne satisfont pas pleinement aux exigences du présent règlement.	(38) Afin de faciliter l’évaluation de la conformité aux exigences établies par le présent règlement, il convient de prévoir une présomption de conformité pour les produits dont les éléments numériques sont conformes à des normes harmonisées, qui traduisent les exigences essentielles du présent règlement en spécifications techniques détaillées et sont adoptées conformément au règlement (UE) nº 1025/2012 du Parlement européen et du Conseil29. Le règlement (UE) nº 1025/2012 prévoit une procédure pour la formulation d’objections à l’encontre de normes harmonisées lorsque celles-ci ne satisfont pas pleinement aux exigences du présent règlement. Le processus de normalisation devrait garantir une représentation équilibrée des intérêts et la participation effective des parties prenantes de la société civile, y compris des organisations de consommateurs.
__________________	__________________
29 Règlement (UE) nº 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision nº 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).	29 Règlement (UE) nº 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision nº 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).

Amendement  26

 

Proposition de règlement

Considérant 41

Texte proposé par la Commission	Amendement
(41) En l’absence de normes harmonisées ou lorsque les normes harmonisées ne répondent pas suffisamment aux exigences essentielles du présent règlement, la Commission devrait pouvoir adopter des spécifications communes au moyen d’actes d’exécution. Les raisons de l’élaboration de telles spécifications communes, en lieu et place de normes harmonisées, pourraient inclure un refus de la demande de normalisation par l’une des organisations européennes de normalisation, des retards indus dans la mise en place de normes harmonisées appropriées ou un non-respect des exigences du présent règlement ou d’une demande de la Commission. Afin de faciliter l’évaluation de la conformité aux exigences essentielles prévues par le présent règlement, il convient d’établir une présomption de conformité pour les produits comportant des éléments numériques répondant aux spécifications communes adoptées par la Commission en vertu du présent règlement, aux fins de l’expression de spécifications techniques détaillées sur la base de ces exigences.	(41) Lorsqu’aucune référence à des normes harmonisées couvrant les exigences énoncées à l’annexe I n’a été publiée au Journal officiel de l’Union européenne conformément au règlement (UE) nº°1025/2012 et qu’il n’est pas prévu que la publication d’une telle référence intervienne dans un délai raisonnable, la Commission devrait pouvoir adopter des spécifications communes au moyen d’actes d’exécution. Les raisons de l’élaboration de telles spécifications communes, en lieu et place de normes harmonisées, pourraient inclure un refus de la demande de normalisation par l’une des organisations européennes de normalisation, des retards indus dans la mise en place de normes harmonisées appropriées ou un non-respect des exigences du présent règlement ou d’une demande de la Commission. Afin de faciliter l’évaluation de la conformité aux exigences essentielles prévues par le présent règlement, il convient d’établir une présomption de conformité pour les produits comportant des éléments numériques répondant aux spécifications communes adoptées par la Commission en vertu du présent règlement, aux fins de l’expression de spécifications techniques détaillées sur la base de ces exigences.

Amendement  27

 

Proposition de règlement

Considérant 43

Texte proposé par la Commission	Amendement
(43) Le marquage CE, qui matérialise la conformité d’un produit, est le résultat visible de tout un processus englobant l’évaluation de conformité au sens large. Le règlement (CE) nº 765/2008 du Parlement européen et du Conseil30 établit les principes généraux régissant le marquage CE. Les règles régissant l’apposition du marquage CE sur les produits comportant des éléments numériques devraient être définies par le présent règlement. Le marquage CE devrait être le seul marquage garantissant la conformité d’un produit comportant des éléments numériques aux exigences du présent règlement.	(43) Le marquage CE, qui matérialise la conformité d’un produit, est le résultat visible de tout un processus englobant l’évaluation de conformité au sens large. Le règlement (CE) nº 765/2008 du Parlement européen et du Conseil30 établit les principes généraux régissant le marquage CE. Les règles régissant l’apposition du marquage CE sur les produits comportant des éléments numériques devraient être définies par le présent règlement. Le marquage CE devrait être le seul marquage garantissant la conformité d’un produit comportant des éléments numériques aux exigences du présent règlement. Toutefois, un quasi-produit comportant des éléments numériques ne porte pas le marquage CE prévu par le présent règlement, sans préjudice des dispositions de marquage qui résultent de toute autre disposition législative de l’Union applicable. En ce qui concerne les quasi-produits comportant des éléments numériques, les fabricants établissent une déclaration UE d’incorporation.
__________________	__________________
30 Règlement (CE) nº 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et abrogeant le règlement (CEE) nº 339/93 (JO L 218 du 13.8.2008, p. 30).	30 Règlement (CE) nº 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et abrogeant le règlement (CEE) nº 339/93 (JO L 218 du 13.8.2008, p. 30).

Amendement  28

 

Proposition de règlement

Considérant 45

Texte proposé par la Commission	Amendement
(45) En règle générale, l’évaluation de la conformité des produits comportant des éléments numériques devrait être effectuée par le fabricant sous sa propre responsabilité, conformément à la procédure fondée sur le module A de la décision 768/2008/CE. Le fabricant devrait conserver la possibilité de choisir une procédure d’évaluation de la conformité plus stricte faisant intervenir un tiers. Si le produit est classé comme produit critique de classe I, une assurance supplémentaire est requise pour démontrer la conformité aux exigences essentielles énoncées dans le présent règlement. Le fabricant devrait appliquer des normes harmonisées, des spécifications communes ou des schémas de certification de cybersécurité au titre du règlement (UE) 2019/881, répertoriés par la Commission dans un acte d’exécution, s’il souhaite effectuer l’évaluation de la conformité sous sa propre responsabilité (module A). Si le fabricant n’applique pas ces normes harmonisées, spécifications communes ou schémas de certification de cybersécurité, il devrait se soumettre à une évaluation de la conformité par un tiers. Compte tenu de la charge administrative pesant sur les fabricants et du fait que la cybersécurité joue un rôle important dans la phase de conception et de développement des produits matériels et immatériels comportant des éléments numériques, les procédures d’évaluation de la conformité fondées respectivement sur les modules B+C ou H de la décision 768/2008/CE ont été retenues comme étant les plus appropriées pour évaluer de manière proportionnée et efficace la conformité des produits critiques comportant des éléments numériques. Le fabricant qui fait procéder à l’évaluation de conformité par un tiers peut choisir la procédure qui convient le mieux à son processus de conception et de production. Compte tenu du risque de cybersécurité encore plus grand lié à l’utilisation de produits classés comme produits critiques de classe II, l’évaluation de la conformité de ces produits devrait toujours prévoir l’intervention d’un tiers.	(45) En règle générale, les exigences relatives à l’évaluation de la conformité des produits comportant des éléments numériques devraient être fondées sur les risques et, à cet égard, l’évaluation pourrait, dans de nombreux cas, être effectuée par le fabricant sous sa propre responsabilité, conformément à la procédure fondée sur le module A de la décision 768/2008/CE. Le fabricant devrait conserver la possibilité de choisir une procédure d’évaluation de la conformité plus stricte faisant intervenir un tiers. Si le produit est classé comme produit critique de classe I, une assurance supplémentaire est requise pour démontrer la conformité aux exigences essentielles énoncées dans le présent règlement. Le fabricant devrait appliquer des normes harmonisées ou des schémas de certification de cybersécurité au titre du règlement (UE) 2019/881, répertoriés par la Commission dans un acte d’exécution, s’il souhaite effectuer l’évaluation de la conformité sous sa propre responsabilité (module A). Si le fabricant n’applique pas ces normes harmonisées ou schémas de certification de cybersécurité, il devrait se soumettre à une évaluation de la conformité par un tiers. Compte tenu de la charge administrative pesant sur les fabricants et du fait que la cybersécurité joue un rôle important dans la phase de conception et de développement des produits matériels et immatériels comportant des éléments numériques, les procédures d’évaluation de la conformité fondées respectivement sur les modules B+C ou H de la décision 768/2008/CE ont été retenues comme étant les plus appropriées pour évaluer de manière proportionnée et efficace la conformité des produits critiques comportant des éléments numériques. Le fabricant qui fait procéder à l’évaluation de conformité par un tiers peut choisir la procédure qui convient le mieux à son processus de conception et de production. Compte tenu du risque de cybersécurité encore plus grand lié à l’utilisation de produits classés comme produits critiques de classe II, l’évaluation de la conformité de ces produits devrait toujours prévoir l’intervention d’un tiers.

Amendement  29

 

Proposition de règlement

Considérant 46 bis (nouveau)

Texte proposé par la Commission	Amendement
	(46 bis) Lorsque des produits comportant des éléments numériques sont équivalents, l’un de ces produits peut être reconnu comme représentant d’une famille ou d’une catégorie de produits aux fins de certaines procédures d’évaluation de la conformité.

Amendement  30

 

Proposition de règlement

Considérant 55

Texte proposé par la Commission	Amendement
(55) Conformément au règlement (UE) 2019/1020, les autorités de surveillance du marché sont chargées de la surveillance du marché sur le territoire de l’État membre concerné. Le présent règlement ne devrait pas empêcher les États membres de choisir les autorités compétentes pour l’accomplissement de ces tâches. Chaque État membre devrait désigner une ou plusieurs autorités de surveillance du marché sur son territoire. Les États membres peuvent choisir de désigner toute autorité existante ou nouvelle pour agir en qualité d’autorité de surveillance du marché, y compris les autorités nationales compétentes visées à l’article [article X] de la directive [directive XXX/XXXX (SRI 2)] ou les autorités nationales de certification de cybersécurité désignées conformément à l’article 58 du règlement (UE) 2019/881. Les opérateurs économiques devraient coopérer pleinement avec les autorités de surveillance du marché et les autres autorités compétentes. Chaque État membre devrait communiquer à la Commission ainsi qu’aux autres États membres le nom de ses autorités de surveillance du marché et les domaines de compétence de chacune de ces autorités et veiller à ce qu’elles disposent des ressources et compétences nécessaires pour effectuer les tâches de surveillance qui leur incombent en vertu du présent règlement. Conformément à l’article 10, paragraphes 2 et 3, du règlement (UE) 2019/1020, chaque État membre devrait désigner un bureau de liaison unique chargé, entre autres, de représenter la position coordonnée des autorités de surveillance du marché et de contribuer à la coopération entre les autorités de surveillance du marché des différents États membres.	(55) Conformément au règlement (UE) 2019/1020, les autorités de surveillance du marché sont chargées de la surveillance du marché sur le territoire de l’État membre concerné. Le présent règlement ne devrait pas empêcher les États membres de choisir les autorités compétentes pour l’accomplissement de ces tâches. Chaque État membre devrait désigner une ou plusieurs autorités de surveillance du marché sur son territoire.Les États membres peuvent choisir de désigner toute autorité existante ou nouvelle pour agir en qualité d’autorité de surveillance du marché, y compris les autorités nationales compétentes visées à l’article 8 de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) nº 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) ou les autorités nationales de certification de cybersécurité désignées conformément à l’article 58 du règlement (UE) 2019/881. Les opérateurs économiques devraient coopérer pleinement avec les autorités de surveillance du marché et les autres autorités compétentes. Chaque État membre devrait communiquer à la Commission ainsi qu’aux autres États membres le nom de ses autorités de surveillance du marché et les domaines de compétence de chacune de ces autorités et veiller à ce qu’elles disposent des ressources et compétences nécessaires pour effectuer les tâches de surveillance qui leur incombent en vertu du présent règlement. Conformément à l’article 10, paragraphes 2 et 3, du règlement (UE) 2019/1020, chaque État membre devrait désigner un bureau de liaison unique chargé, entre autres, de représenter la position coordonnée des autorités de surveillance du marché et de contribuer à la coopération entre les autorités de surveillance du marché des différents États membres.

Amendement  31

 

Proposition de règlement

Considérant 56 bis (nouveau)

Texte proposé par la Commission	Amendement
	(56 bis) Afin de permettre aux opérateurs économiques qui sont des PME et des microentreprises de faire face aux nouvelles obligations imposées par le présent règlement, la Commission devrait leur fournir des lignes directrices et des conseils faciles à comprendre, par exemple par l’intermédiaire d’un canal direct leur permettant de communiquer avec des experts lorsqu’ils ont des questions, en tenant compte de la nécessité de simplifier et de limiter les charges administratives. Lors de l’élaboration de ces lignes directrices, la Commission devrait prendre en considération les besoins des PME, afin de limiter au maximum les charges administratives et financières qui pèsent sur elles tout en facilitant leur mise en conformité avec le présent règlement. La Commission devrait consulter les parties prenantes concernées possédant une expertise dans le domaine de la cybersécurité.

Amendement  32

 

Proposition de règlement

Considérant 58

Texte proposé par la Commission	Amendement
(58) Dans certains cas, un produit comportant des éléments numériques conforme au présent règlement peut néanmoins présenter un risque de cybersécurité important ou présenter un risque pour la santé ou la sécurité des personnes, pour le respect des obligations découlant du droit de l’Union ou du droit national visant à protéger les droits fondamentaux, la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services offerts au moyen d’un système d’information électronique par des entités essentielles du type visé à l’[annexe I de la directive XXX/XXXX (SRI 2)] ou pour d’autres aspects de la protection de l’intérêt public. Il est donc nécessaire d’établir des règles permettant d’atténuer ces risques. En conséquence, les autorités de surveillance du marché devraient prendre des mesures pour demander à l’opérateur économique de veiller à ce que le produit ne présente plus ce risque, de le rappeler ou de le retirer, en fonction du risque. Dès qu’une autorité de surveillance du marché restreint ou interdit ainsi la libre circulation d’un produit, l’État membre devrait immédiatement informer la Commission et les autres États membres des mesures provisoires prises, en justifiant sa décision. Lorsqu’une autorité de surveillance du marché adopte de telles mesures à l’encontre de produits présentant un risque, la Commission devrait entamer sans retard des consultations avec les États membres et le ou les opérateurs économiques concernés et évaluer la mesure nationale. En fonction des résultats de cette évaluation, la Commission devrait décider si la mesure nationale est justifiée ou non. La Commission devrait adresser sa décision à tous les États membres et la communiquer immédiatement à ceux-ci ainsi qu’à l’opérateur ou aux opérateurs économiques concernés. Si la mesure est jugée justifiée, la Commission peut également envisager d’adopter des propositions de révision de la législation de l’Union concernée.	(58) Dans certains cas, un produit comportant des éléments numériques conforme au présent règlement peut néanmoins présenter un risque de cybersécurité important ou présenter un risque pour la santé ou la sécurité des personnes, pour le respect des obligations découlant du droit de l’Union ou du droit national visant à protéger les droits fondamentaux, la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services offerts au moyen d’un système d’information électronique par des entités essentielles du type visé à l’annexe I de la directive (UE) 2022/2555 (directive SRI 2) ou pour d’autres aspects de la protection de l’intérêt public. Il est donc nécessaire d’établir des règles permettant d’atténuer ces risques. En conséquence, les autorités de surveillance du marché devraient prendre des mesures pour demander à l’opérateur économique de veiller à ce que le produit ne présente plus ce risque, de le rappeler ou de le retirer, en fonction du risque. Dès qu’une autorité de surveillance du marché restreint ou interdit ainsi la libre circulation d’un produit, l’État membre devrait immédiatement informer la Commission et les autres États membres des mesures provisoires prises, en justifiant sa décision. Lorsqu’une autorité de surveillance du marché adopte de telles mesures à l’encontre de produits présentant un risque, la Commission devrait entamer sans retard des consultations avec les États membres et le ou les opérateurs économiques concernés et évaluer la mesure nationale. En fonction des résultats de cette évaluation, la Commission devrait décider si la mesure nationale est justifiée ou non. La Commission devrait adresser sa décision à tous les États membres et la communiquer immédiatement à ceux-ci ainsi qu’à l’opérateur ou aux opérateurs économiques concernés. Si la mesure est jugée justifiée, la Commission peut également envisager d’adopter des propositions de révision de la législation de l’Union concernée.

Amendement  33

 

Proposition de règlement

Considérant 59

Texte proposé par la Commission	Amendement
(59) Pour les produits comportant des éléments numériques présentant un risque de cybersécurité important, et lorsqu’il y a lieu de croire que ces produits ne sont pas conformes au présent règlement, ou pour les produits qui sont conformes au présent règlement, mais présentent d’autres risques importants, tels que des risques pour la santé ou la sécurité des personnes, les droits fondamentaux ou la fourniture de services par des entités essentielles du type visé à l’[annexe I de la directive XXX/XXXX (SRI 2)], la Commission peut demander à l’ENISA de procéder à une évaluation. Sur la base de cette évaluation, la Commission peut adopter, au moyen d’actes d’exécution, des mesures correctives ou restrictives au niveau de l’Union, y compris ordonner le retrait du marché ou le rappel des produits concernés, dans un délai raisonnable, proportionné à la nature du risque. La Commission ne peut recourir à une telle intervention que dans des circonstances exceptionnelles qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur, et uniquement lorsqu’aucune mesure efficace n’a été prise par les autorités de surveillance pour remédier à la situation. De telles circonstances exceptionnelles peuvent être des situations d’urgence dans lesquelles, par exemple, un produit non conforme est largement mis à disposition par le fabricant dans plusieurs États membres, utilisé également dans des secteurs clés par des entités relevant du champ d’application de la [directive XXX/XXXX (SRI 2)], alors qu’il contient des vulnérabilités connues qui sont exploitées par des acteurs malveillants et pour lesquelles le fabricant ne met pas de correctifs à disposition. La Commission ne peut intervenir dans de telles situations d’urgence que pour la durée des circonstances exceptionnelles et si le non-respect du présent règlement ou les risques importants présentés persistent.	(59) Pour les produits comportant des éléments numériques présentant un risque de cybersécurité important, et lorsqu’il y a lieu de croire que ces produits ne sont pas conformes au présent règlement, ou pour les produits qui sont conformes au présent règlement, mais présentent d’autres risques importants, tels que des risques pour la santé ou la sécurité des personnes, les droits fondamentaux ou la fourniture de services par des entités essentielles du type visé à l’annexe I de la directive (UE) 2022/2555 (directive SRI 2), la Commission peut demander à l’ENISA de procéder à une évaluation. Sur la base de cette évaluation, la Commission peut adopter, au moyen d’actes d’exécution, des mesures correctives ou restrictives au niveau de l’Union, y compris ordonner le retrait du marché ou le rappel des produits concernés, dans un délai raisonnable, proportionné à la nature du risque. La Commission ne peut recourir à une telle intervention que dans des circonstances exceptionnelles qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur, et uniquement lorsqu’aucune mesure efficace n’a été prise par les autorités de surveillance pour remédier à la situation. De telles circonstances exceptionnelles peuvent être des situations d’urgence dans lesquelles, par exemple, un produit non conforme est largement mis à disposition par le fabricant dans plusieurs États membres, utilisé également dans des secteurs clés par des entités relevant du champ d’application de la directive (UE) 2022/2555 (directive SRI 2), alors qu’il contient des vulnérabilités connues qui sont exploitées par des acteurs malveillants et pour lesquelles le fabricant ne met pas de correctifs à disposition. La Commission ne peut intervenir dans de telles situations d’urgence que pour la durée des circonstances exceptionnelles et si le non-respect du présent règlement ou les risques importants présentés persistent.

Amendement  34

 

Proposition de règlement

Considérant 62

Texte proposé par la Commission	Amendement
(62) Afin de garantir que le cadre réglementaire puisse être adapté si nécessaire, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité en ce qui concerne les mises à jour de la liste des produits critiques figurant à l’annexe III et de préciser les définitions de ces catégories de produits. Il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article pour lui permettre de répertorier les produits comportant des éléments numériques couverts par d’autres règles de l’Union qui atteignent un niveau de protection identique à celui du présent règlement, en précisant si une limitation ou une exclusion du champ d’application du présent règlement serait nécessaire ainsi que la portée de cette limitation, le cas échéant. Il convient également de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article en ce qui concerne la possibilité de rendre obligatoire la certification de certains produits hautement critiques comportant des éléments numériques sur la base des critères de criticité énoncés dans le présent règlement, ainsi que de préciser le contenu minimal de la déclaration UE de conformité; et de compléter les éléments à inclure dans la documentation technique. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»33. En particulier, afin d’assurer une participation égale à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents en même temps que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission participant à la préparation des actes délégués.	(62) Afin de garantir que le cadre réglementaire puisse être adapté si nécessaire, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité en ce qui concerne les mises à jour de la liste des produits critiques figurant à l’annexe III et de préciser les définitions de ces catégories de produits. Il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article pour lui permettre de répertorier les produits comportant des éléments numériques couverts par d’autres règles de l’Union qui atteignent un niveau de protection identique à celui du présent règlement, en précisant si une limitation ou une exclusion du champ d’application du présent règlement serait nécessaire ainsi que la portée de cette limitation, le cas échéant. Il convient également de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article en ce qui concerne la possibilité d’instaurer une certification volontaire de certains produits hautement critiques comportant des éléments numériques sur la base des critères de criticité énoncés dans le présent règlement, ainsi que de préciser le contenu minimal de la déclaration UE de conformité; et de compléter les éléments à inclure dans la documentation technique. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»33. En particulier, afin d’assurer une participation égale à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents en même temps que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission participant à la préparation des actes délégués.
__________________	__________________
33 JO L 123 du 12.5.2016, p. 1.	33 JO L 123 du 12.5.2016, p. 1.

Amendement  35

 

Proposition de règlement

Considérant 63

Texte proposé par la Commission	Amendement
(63) Afin de garantir des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission, afin qu’elle puisse: spécifier le format et les éléments de la nomenclature des logiciels; préciser davantage le type d’informations, le format et la procédure des notifications relatives aux vulnérabilités activement exploitées et aux incidents soumises à l’ENISA par les fabricants; spécifier les schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 qui peuvent être utilisés pour démontrer la conformité aux exigences essentielles ou à des parties de celles-ci énoncées à l’annexe I du présent règlement; adopter des spécifications communes en ce qui concerne les exigences essentielles énoncées à l’annexe I; établir des spécifications techniques pour les pictogrammes ou toute autre marque liée à la sécurité des produits comportant des éléments numériques, ainsi que des mécanismes visant à promouvoir leur utilisation; décider de mesures correctives ou restrictives au niveau de l’Union dans des circonstances exceptionnelles qui justifient une intervention immédiate afin de préserver le bon fonctionnement du marché intérieur. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil34.	(63) Afin de garantir des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission, afin qu’elle puisse: spécifier le format et les éléments de la nomenclature des logiciels; préciser davantage le type d’informations, le format et la procédure des notifications relatives aux vulnérabilités activement exploitées et aux incidents soumises à l’ENISA par les fabricants, sur la base des bonnes pratiques sectorielles; spécifier les schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 qui peuvent être utilisés pour démontrer la conformité aux exigences essentielles ou à des parties de celles-ci énoncées à l’annexe I du présent règlement; adopter des spécifications communes en ce qui concerne les exigences essentielles énoncées à l’annexe I; établir des spécifications techniques pour les pictogrammes ou toute autre marque liée à la sécurité des produits comportant des éléments numériques, ainsi que des mécanismes visant à promouvoir leur utilisation; décider de mesures correctives ou restrictives au niveau de l’Union dans des circonstances exceptionnelles qui justifient une intervention immédiate afin de préserver le bon fonctionnement du marché intérieur. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil34.
__________________	__________________
34 Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).	34 Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

Amendement  36

 

Proposition de règlement

Considérant 69

Texte proposé par la Commission	Amendement
(69) Il convient d’accorder un délai suffisant aux opérateurs économiques afin qu’ils s’adaptent aux exigences du présent règlement. Le présent règlement devrait s’appliquer [24 mois] à compter de son entrée en vigueur, à l’exception des obligations de signalement concernant les vulnérabilités activement exploitées et les incidents, qui devraient s’appliquer [12 mois] à compter de son entrée en vigueur.	(69) Il convient d’accorder un délai suffisant aux opérateurs économiques afin qu’ils s’adaptent aux exigences du présent règlement. Le présent règlement devrait s’appliquer [36 mois] à compter de son entrée en vigueur.

Amendement  37

 

Proposition de règlement

Article 1 – alinéa 1 – partie introductive

Texte proposé par la Commission	Amendement
Le présent règlement établit:	Le présent règlement a pour objectif d’améliorer le fonctionnement du marché intérieur, tout en assurant un niveau élevé de protection des consommateurs et de cybersécurité.
	Le présent règlement établit des règles harmonisées concernant:

Amendement  38

 

Proposition de règlement

Article 1 – alinéa 1 – point a

Texte proposé par la Commission	Amendement
a) les règles relatives à la mise sur le marché de produits comportant des éléments numériques afin de garantir la cybersécurité de ces produits;	a) la mise sur le marché de produits comportant des éléments numériques afin de garantir la cybersécurité de ces produits;

Amendement  39

 

Proposition de règlement

Article 1 – alinéa 1 – point d

Texte proposé par la Commission	Amendement
d) les règles relatives à la surveillance du marché et au contrôle de l’application des règles et exigences susmentionnées.	d) la surveillance du marché et le contrôle de l’application des règles et exigences susmentionnées.

Amendement  40

 

Proposition de règlement

Article 2 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Le présent règlement s’applique aux produits comportant des éléments numériques dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou à un réseau.	1. Le présent règlement s’applique aux produits comportant des éléments numériques mis sur le marché dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou réseau externe.

Amendement  41

 

Proposition de règlement

Article 2 – paragraphe 5 bis (nouveau)

Texte proposé par la Commission	Amendement
	5 bis. Le règlement ne s’applique pas aux logiciels libres et ouverts, y compris leurs codes sources et versions modifiées, sauf lorsque ces logiciels sont fournis dans le cadre d’une activité commerciale, caractérisée soit:
	i) par le prix facturé pour un produit,
	ii) par la fourniture d’une plate-forme logicielle reposant sur d’autres services monétisés par le fabricant,
	iii) par l’utilisation des données à caractère personnel générées par le logiciel pour des raisons autres qu’aux seules fins d’améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel,
	iv) par le prix facturé pour les services d’assistance technique.
	La conformité des composants libres et ouverts des produits est garantie par le fabricant du produit dans lequel ils sont intégrés.

Amendement  42

 

Proposition de règlement

Article 2 – paragraphe 5 ter (nouveau)

Texte proposé par la Commission	Amendement
	5 ter. Le présent règlement ne s’applique pas aux réseaux internes d’un produit comportant des éléments numériques si ces réseaux possèdent des points terminaux dédiés et sont complètement isolés et sécurisés par rapport à une connexion externe.

Amendement  43

 

Proposition de règlement

Article 2 – paragraphe 5 quater (nouveau)

Texte proposé par la Commission	Amendement
	5 quater. Le présent règlement ne s’applique pas aux pièces de rechange destinées exclusivement à remplacer les pièces défectueuses de produits comportant des éléments numériques en vue de restaurer leur fonctionnalité.

Amendement  44

 

Proposition de règlement

Article 3 – alinéa 1 – point 1

Texte proposé par la Commission	Amendement
1) «produit comportant des éléments numériques»: tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinées à être mis sur le marché séparément;	1) «produit comportant des éléments numériques»: tout produit logiciel ou matériel, y compris les composants logiciels ou matériels destinés à être mis sur le marché séparément;

Amendement  45

 

Proposition de règlement

Article 3 – alinéa 1 – point 2

Texte proposé par la Commission	Amendement
2) «traitement de données à distance»: tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou sous la responsabilité de ce dernier, et dont l’absence empêcherait le produit comportant des éléments numériques d’exécuter une de ses fonctions;	supprimé

Amendement  46

 

Proposition de règlement

Article 3– alinéa 1 – point 6 bis (nouveau)

Texte proposé par la Commission	Amendement
	6 bis) «logiciel ouvert»: un logiciel distribué sous une licence qui autorise les utilisateurs à l’exécuter, à le copier, à le distribuer, à l’étudier, à le modifier et à l’améliorer librement, ainsi qu’à l’intégrer en tant que composant dans d’autres produits, à le fournir en tant que service ou à assurer une assistance commerciale connexe;

Amendement  47

 

Proposition de règlement

Article 3 – alinéa 1 – point 18

Texte proposé par la Commission	Amendement
18) «fabricant»: toute personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;	(Ne concerne pas la version française.)

Amendement  48

 

Proposition de règlement

Article 3 – alinéa 1 – point 19

Texte proposé par la Commission	Amendement
19) «mandataire»: toute personne physique ou morale établie dans l’Union ayant reçu mandat écrit d’un fabricant pour agir en son nom aux fins de l’accomplissement de tâches déterminées;	19) «mandataire»: toute personne physique ou morale établie dans l’Union ayant reçu mandat écrit d’un fabricant pour agir en son nom aux fins de l’accomplissement de tâches déterminées qui sont liées aux obligations incombant au fabricant;

Amendement  49

 

Proposition de règlement

Article 3 – alinéa 1 – point 23 bis (nouveau)

Texte proposé par la Commission	Amendement
	23 bis) «rappel»: un rappel au sens de l’article 3, point 22, du règlement (UE) 2019/1020;

Amendement  50

 

Proposition de règlement

Article 3 – alinéa 1 – point 26

Texte proposé par la Commission	Amendement
26) «mauvaise utilisation raisonnablement prévisible»: l’utilisation d’un produit comportant des éléments numériques d’une manière qui n’est pas conforme à son utilisation prévue, mais qui peut résulter d’un comportement humain raisonnablement prévisible ou d’une interaction avec d’autres systèmes;	supprimé

Amendement  51

 

Proposition de règlement

Article 3 – alinéa 1 – point 31

Texte proposé par la Commission	Amendement
31) «modification substantielle»: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles énoncées à l’annexe I, section 1, ou entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;	31) «modification substantielle»: une modification apportée au produit comportant des éléments numériques, à l’exception des mises à jour de sécurité et de maintenance, à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles énoncées à l’annexe I, section 1, ou entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;

Amendement  52

 

Proposition de règlement

Article 3 – alinéa 1 – point 39

Texte proposé par la Commission	Amendement
39) «vulnérabilité activement exploitée»: une vulnérabilité pour laquelle il existe des preuves fiables qu’un code malveillant a été exécuté par un acteur sur un système sans l’autorisation du propriétaire du système;	39) «vulnérabilité activement exploitée»: une vulnérabilité corrigée pour laquelle il existe des preuves fiables qu’un code malveillant a été exécuté par un acteur sur un système sans l’autorisation du propriétaire du système;

Amendement  53

 

Proposition de règlement

Article 3 – alinéa 1 – point 40 bis (nouveau)

Texte proposé par la Commission	Amendement
	40 bis) «quasi-produit comportant des éléments numériques»: un objet matériel qui est incapable de fonctionner seul et qui est uniquement fabriqué dans le but d’être incorporé ou assemblé à un produit comportant des éléments numériques ou à un autre quasi-produit comportant des éléments numériques, et dont la conformité ne peut être évaluée de manière efficace qu’en tenant compte de la manière dont il est incorporé au produit final prévu comportant des éléments numériques;

Amendement  54

 

Proposition de règlement

Article 3 – alinéa 1 – point 40 ter (nouveau)

Texte proposé par la Commission	Amendement
	40 ter) «cycle de vie»: la période débutant au moment où un produit couvert par le présent règlement est mis sur le marché ou mis en service jusqu’au moment où il est retiré, comprenant la durée réelle pendant laquelle le produit peut être utilisé et les phases de transport, d’assemblage, de démontage, de mise hors service et de mise au rebut ou autres modifications physiques ou numériques prévues par le fabricant;

Amendement  55

 

Proposition de règlement

Article 4 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Les États membres n’empêchent pas, pour les aspects relevant du présent règlement, la mise à disposition sur le marché de produits comportant des éléments numériques conformes au présent règlement.	1. Les États membres n’empêchent pas, pour les aspects relevant du présent règlement, la mise à disposition sur le marché de produits comportant des éléments numériques ou de quasi-produits comportant des éléments numériques conformes au présent règlement.

Amendement  56

 

Proposition de règlement

Article 4 – paragraphe 2

Texte proposé par la Commission	Amendement
2. Lors de foires commerciales, d’expositions, de démonstrations ou d’événements similaires, les États membres n’empêchent pas la présentation et l’utilisation d’un produit comportant des éléments numériques non conforme au présent règlement.	2. Lors de foires commerciales, d’expositions, de démonstrations ou d’événements similaires, les États membres n’empêchent pas la présentation et l’utilisation d’un produit comportant des éléments numériques, d’un prototype de produit comportant des éléments numériques ou d’un quasi-produit comportant des éléments numériques qui n’est pas non conforme au présent règlement, pour autant que le produit comportant des éléments numériques soit utilisé exclusivement à des fins de présentation pendant l’événement et qu’une marque visible indique clairement qu’il n’est pas conforme au présent règlement.

Amendement  57

 

Proposition de règlement

Article 4 – paragraphe 3

Texte proposé par la Commission	Amendement
3. Les États membres n’empêchent pas la mise à disposition de logiciels inachevés qui ne sont pas conformes au présent règlement, à condition que le logiciel ne soit mis à disposition que pour une durée limitée nécessaire à des fins d’essai et qu’une marque visible indique clairement que le logiciel n’est pas conforme au présent règlement et qu’il ne sera pas disponible sur le marché à d’autres fins que les essais.	3. Les États membres n’empêchent pas la mise à disposition d’un produit comportant des éléments numériques inachevé ou d’un prototype de produit comportant des éléments numériques qui n’est pas conforme au présent règlement, à condition qu’il ne soit mis à disposition que dans une version non destinée à la production à des fins d’essai et qu’une marque visible indique clairement que le logiciel n’est pas conforme au présent règlement et qu’il ne sera pas disponible sur le marché à d’autres fins que les essais.

Amendement  58

 

Proposition de règlement

Article 4 – paragraphe 3 bis (nouveau)

Texte proposé par la Commission	Amendement
	3 bis. Le présent règlement n’empêche pas les États membres de soumettre des produits comportant des éléments numériques à des mesures supplémentaires lorsque ces produits spécifiques seront utilisés à des fins militaires, de défense ou de sécurité nationale, conformément au droit national et au droit de l’Union, et que de telles mesures sont nécessaires et proportionnées en vue de la réalisation de ces objectifs.

Amendement  59

 

Proposition de règlement

Article 5 – alinéa 1 – point 1

Texte proposé par la Commission	Amendement
1) s’ils satisfont aux exigences essentielles énoncées à l’annexe I, section 1, à condition qu’ils soient correctement installés, entretenus, utilisés conformément à l’utilisation prévue ou dans des conditions raisonnablement prévisibles et, le cas échéant, mis à jour, et	1) s’ils satisfont aux exigences essentielles énoncées à l’annexe I, section 1, à condition qu’ils soient correctement installés, entretenus, utilisés conformément à l’utilisation prévue ou dans des conditions raisonnablement prévisibles et qu’ils bénéficient, le cas échéant, des mises à jour de sécurité nécessaires, et

Amendement  60

 

Proposition de règlement

Article 6 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Les produits comportant des éléments numériques relevant d’une catégorie qui figure à l’annexe III sont considérés comme des produits critiques comportant des éléments numériques. Les produits dont la fonctionnalité de base est celle d’une catégorie énumérée à l’annexe III du présent règlement sont considérés comme relevant de cette catégorie. Les catégories de produits critiques comportant des éléments numériques sont réparties entre les classes I et II, comme indiqué à l’annexe III, en fonction du niveau de risque de cybersécurité lié à ces produits.	1. Les produits comportant des éléments numériques relevant d’une catégorie qui figure à l’annexe III sont considérés comme des produits critiques comportant des éléments numériques. Seuls les produits dont la fonctionnalité de base est celle d’une catégorie énumérée à l’annexe III du présent règlement sont considérés comme relevant de cette catégorie. Les catégories de produits critiques comportant des éléments numériques sont réparties entre les classes I et II, comme indiqué à l’annexe III, en fonction du niveau de risque de cybersécurité lié à ces produits. L’intégration dans un produit à faible niveau de criticité d’un composant présentant un niveau de criticité plus élevé ne modifie pas nécessairement le niveau de criticité du produit dans lequel le composant est intégré.

Amendement  61

 

Proposition de règlement

Article 6 – paragraphe 2 – point b

Texte proposé par la Commission	Amendement
b) l’utilisation prévue dans des environnements sensibles, y compris dans des environnements industriels ou par des entités essentielles du type visé à l’annexe [annexe I] de la directive [directive XXX/XXXX (SRI 2)];	b) l’utilisation prévue dans des applications critiques au sein d’environnements sensibles ou par des entités essentielles du type visé à l’annexe [annexe I] de la directive [directive XXX/XXXX (SRI 2)];

Amendement  62

 

Proposition de règlement

Article 6 – paragraphe 2 – point c

Texte proposé par la Commission	Amendement
c) la finalité prévue de l’exécution de fonctions critiques ou sensibles, telles que le traitement de données à caractère personnel;	c) la finalité prévue et l’étendue de l’exécution de fonctions critiques ou sensibles, telles que le traitement de données à caractère personnel;

Amendement  63

 

Proposition de règlement

Article 6 – paragraphe 4

Texte proposé par la Commission	Amendement
4. Les produits critiques comportant des éléments numériques sont soumis aux procédures d’évaluation de la conformité visées à l’article 24, paragraphes 2 et 3.	4. Les produits critiques comportant des éléments numériques sont soumis aux procédures d’évaluation de la conformité visées à l’article 24, paragraphes 2 et 3. À titre d’exception, les micro et petites entreprises peuvent employer la procédure visée à l’article 24, paragraphe 2.

Amendement  64

 

Proposition de règlement

Article 6 – paragraphe 5 – partie introductive

Texte proposé par la Commission	Amendement
5. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement en précisant les catégories de produits hautement critiques comportant des éléments numériques pour lesquels les fabricants sont tenus d’obtenir un certificat de cybersécurité européen dans le cadre d’un schéma européen de certification de cybersécurité en vertu du règlement (UE) 2019/881 afin de démontrer la conformité aux exigences essentielles énoncées à l’annexe I, ou à des parties de ces exigences. Lorsqu’elle détermine ces catégories de produits hautement critiques comportant des éléments numériques, la Commission tient compte du niveau de risque de cybersécurité lié à la catégorie de produits comportant des éléments numériques, à la lumière d’un ou de plusieurs des critères énumérés au paragraphe 2, ainsi que d’une évaluation visant à déterminer si cette catégorie de produits est:	5. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement en précisant les catégories de produits hautement critiques comportant des éléments numériques pour lesquels les fabricants peuvent obtenir un certificat de cybersécurité européen dans le cadre d’un schéma européen de certification de cybersécurité en vertu du règlement (UE) 2019/881 afin de démontrer la conformité aux exigences essentielles énoncées à l’annexe I, ou à des parties de ces exigences. Lorsqu’elle détermine ces catégories de produits hautement critiques comportant des éléments numériques, la Commission tient compte du niveau de risque de cybersécurité lié à la catégorie de produits comportant des éléments numériques, à la lumière d’un ou de plusieurs des critères énumérés au paragraphe 2, ainsi que d’une évaluation visant à déterminer si cette catégorie de produits est:

Amendement  65

 

Proposition de règlement

Article 8 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article [article 6] du règlement [législation sur l’IA] qui relèvent du champ d’application du présent règlement et satisfont aux exigences essentielles énoncées à l’annexe I, section 1, du présent règlement sont, lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles énoncées à l’annexe I, section 2, réputés conformes aux exigences de cybersécurité énoncées à l’article [article 15] du règlement [législation sur l’IA], sans préjudice des autres exigences en matière d’exactitude et de robustesse figurant à l’article susmentionné, et dans la mesure où le niveau de protection requis par ces exigences est démontré par la déclaration UE de conformité délivrée en vertu du présent règlement.	1. Les produits comportant des éléments numériques ou les quasi-produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article [article 6] du règlement [législation sur l’IA] qui relèvent du champ d’application du présent règlement et satisfont aux exigences essentielles énoncées à l’annexe I, section 1, du présent règlement sont, lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles énoncées à l’annexe I, section 2, réputés conformes aux exigences de cybersécurité énoncées à l’article [article 15] du règlement [législation sur l’IA], sans préjudice des autres exigences en matière d’exactitude et de robustesse figurant à l’article susmentionné, et dans la mesure où le niveau de protection requis par ces exigences est démontré par la déclaration UE de conformité délivrée en vertu du présent règlement.

Amendement  66

 

Proposition de règlement

Article 8 – paragraphe 2

Texte proposé par la Commission	Amendement
2. Pour les produits et les exigences de cybersécurité visés au paragraphe 1, la procédure d’évaluation de la conformité pertinente prévue à l’article [article 43] du règlement [législation sur l’IA] s’applique. Aux fins de cette évaluation, les organismes notifiés qui sont habilités à contrôler la conformité des systèmes d’IA à haut risque au titre du règlement [législation sur l’IA] sont également habilités à contrôler la conformité des systèmes d’IA à haut risque entrant dans le champ d’application du présent règlement aux exigences énoncées à l’annexe I du présent règlement, à condition que la conformité de ces organismes notifiés aux exigences énoncées à l’article 29 du présent règlement ait été évaluée dans le cadre de la procédure de notification prévue par le règlement [législation sur l’IA].	2. Pour les produits et les exigences de cybersécurité visés au paragraphe 1, la procédure d’évaluation de la conformité pertinente prévue par les [dispositions applicables] du règlement [législation sur l’IA] s’applique. Aux fins de cette évaluation, les organismes notifiés qui sont habilités à contrôler la conformité des systèmes d’IA à haut risque au titre du règlement [législation sur l’IA] sont également habilités à contrôler la conformité des systèmes d’IA à haut risque entrant dans le champ d’application du présent règlement aux exigences énoncées à l’annexe I du présent règlement.

Amendement  67

 

Proposition de règlement

Article 8 – paragraphe 3

Texte proposé par la Commission	Amendement
3. Par dérogation au paragraphe 2, les produits critiques comportant des éléments numériques énumérés à l’annexe III du présent règlement, qui doivent faire l’objet des procédures d’évaluation de la conformité prévues par l’article 24, paragraphe 2, points a) et b), et à l’article 24, paragraphe 3, points a) et b) du présent règlement, et qui sont également classés comme systèmes d’IA à haut risque conformément à l’article [article 6] du règlement [législation sur l’IA] et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne prévue à l’annexe [VI] du règlement [législation sur l’IA], sont soumis aux procédures d’évaluation de la conformité requises par le présent règlement en ce qui concerne les exigences essentielles du présent règlement.	supprimé

Amendement  68

 

Proposition de règlement

Article 9 – alinéa 1

Texte proposé par la Commission	Amendement
Les machines et produits connexes relevant du champ d’application du règlement [proposition de règlement sur les machines et produits connexes] qui sont des produits comportant des éléments numériques au sens du présent règlement et pour lesquels une déclaration UE de conformité a été délivrée sur la base du présent règlement sont réputés conformes aux exigences essentielles de santé et de sécurité énoncées à l’annexe [annexe III, sections 1.1.9 et 1.2.1] du règlement [proposition de règlement sur les machines et produits connexes], en ce qui concerne la protection contre la corruption ainsi que la sécurité et la fiabilité des systèmes de commande, et dans la mesure où le niveau de protection requis par ces exigences est démontré dans la déclaration UE de conformité délivrée en vertu du présent règlement.	Les machines et produits connexes relevant du champ d’application du règlement [proposition de règlement sur les machines et produits connexes] qui sont des produits comportant des éléments numériques ou des quasi-produits comportant des éléments numériques au sens du présent règlement et pour lesquels une déclaration UE de conformité a été délivrée sur la base du présent règlement sont réputés conformes aux exigences essentielles de santé et de sécurité énoncées à l’annexe [annexe III, sections 1.1.9 et 1.2.1] du règlement [proposition de règlement sur les machines et produits connexes], en ce qui concerne la protection contre la corruption ainsi que la sécurité et la fiabilité des systèmes de commande, et dans la mesure où le niveau de protection requis par ces exigences est démontré dans la déclaration UE de conformité délivrée en vertu du présent règlement.

Amendement  69

 

Proposition de règlement

Article 10 – paragraphe -1 (nouveau)

Texte proposé par la Commission	Amendement
	-1. Les fabricants de logiciels qui sont considérés comme des microentreprises au sens de la recommandation 2003/361/CE de la Commission font tout ce qui est en leur pouvoir pour se conformer aux exigences du présent règlement dans les six mois suivant la mise sur le marché d’un logiciel. Cette disposition ne s’applique pas aux produits hautement critiques comportant des éléments numériques.

Amendement  70

 

Proposition de règlement

Article 10 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Le fabricant s’assure, lorsqu’il met sur le marché un produit comportant des éléments numériques, que celui-ci a été conçu, développé et fabriqué conformément aux exigences essentielles énoncées à l’annexe I, section 1.	(Ne concerne pas la version française.)

Amendement  71

 

Proposition de règlement

Article 10 – paragraphe 4

Texte proposé par la Commission	Amendement
4. Aux fins du respect de l’obligation énoncée au paragraphe 1, le fabricant fait preuve de la diligence nécessaire lorsqu’il intègre dans des produits comportant des éléments numériques des composants obtenus auprès de tiers. Il veille à ce que ces composants ne compromettent pas la sécurité du produit comportant des éléments numériques.	4. Aux fins du respect de l’obligation énoncée au paragraphe 1, le fabricant fait preuve de la diligence nécessaire lorsqu’il intègre dans des produits comportant des éléments numériques des composants obtenus auprès de tiers. Il incombe au fabricant de veiller à ce que ces composants ne compromettent pas la sécurité du produit comportant des éléments numériques.

Amendement  72

 

Proposition de règlement

Article 10 – paragraphe 4 bis (nouveau)

Texte proposé par la Commission	Amendement
	4 bis. Lorsqu’ils fournissent de tels composants au fabricant du produit fini, les fabricants des composants lui communiquent les informations et les documents nécessaires pour lui permettre de satisfaire aux exigences du présent règlement. Ces informations sont fournies gratuitement.

Amendement  73

 

Proposition de règlement

Article 10 – paragraphe 6 – alinéa 1

Texte proposé par la Commission	Amendement
Lorsqu’il met sur le marché un produit comportant des éléments numériques, et pendant la durée de vie prévue du produit ou pendant une période de cinq ans à compter de la mise sur le marché de celui-ci, la plus courte des deux durées étant retenue, le fabricant veille à ce que les vulnérabilités de ce produit soient gérées efficacement et conformément aux exigences essentielles énoncées à l’annexe I, section 2.	Lorsqu’il met sur le marché un produit comportant des éléments numériques, et pendant la durée de vie prévue du produit au moment de sa mise sur le marché ou pendant une période de cinq ans à compter de la mise sur le marché de celui-ci, la plus longue des deux durées étant retenue, le fabricant veille à ce que les vulnérabilités de ce produit soient gérées efficacement et conformément aux exigences essentielles énoncées à l’annexe I, section 2, à condition que le fabricant en ait la maîtrise.

Amendement  74

 

Proposition de règlement

Article 10 – paragraphe 7 – alinéa 3 bis (nouveau)

Texte proposé par la Commission	Amendement
	Lorsqu’une mise à jour du logiciel est effectuée, le fabricant n’est pas tenu de procéder à une autre évaluation de la conformité du produit comportant des éléments numériques, sauf si la mise à jour logicielle entraîne une modification substantielle du produit comportant des éléments numériques au sens de l’article 3, paragraphe 31, du présent règlement.

Amendement  75

 

Proposition de règlement

Article 10 – paragraphe 9

Texte proposé par la Commission	Amendement
9. Le fabricant veille à ce que des procédures soient en place pour que la conformité des produits comportant des éléments numériques produits en série reste assurée. Le fabricant tient dûment compte des modifications du processus de développement et de production ou de la conception ou des caractéristiques du produit comportant des éléments numériques, ainsi que des modifications des normes harmonisées, des schémas européens de certification de cybersécurité ou des spécifications techniques visées à l’article 19 au regard desquelles la conformité du produit comportant des éléments numériques est déclarée ou en application desquelles sa conformité est vérifiée.	9. Le fabricant veille à ce que des procédures soient en place pour que la conformité des produits comportant des éléments numériques produits en série reste assurée. Le fabricant tient dûment compte des modifications du processus de développement et de production ou de la conception ou des caractéristiques du produit comportant des éléments numériques, ainsi que des modifications des normes harmonisées, des schémas européens de certification de cybersécurité ou des spécifications techniques visées à l’article 19 au regard desquelles la conformité du produit comportant des éléments numériques est déclarée ou en application desquelles sa conformité est vérifiée. Au fur et à mesure de l’apparition de nouvelles connaissances, techniques ou normes, qui n’étaient pas disponibles au moment de la conception d’un produit de série, le fabricant peut envisager de mettre en œuvre ces améliorations périodiquement pour les nouvelles générations de produits.

Amendement  76

 

Proposition de règlement

Article 10 – paragraphe 9 bis (nouveau)

Texte proposé par la Commission	Amendement
	9 bis. Les fabricants font connaître publiquement la durée de vie prévue de leurs produits de manière claire et compréhensible.

Amendement  77

 

Proposition de règlement

Article 10 – paragraphe 12

Texte proposé par la Commission	Amendement
12. Dès la mise sur le marché et pendant la durée de vie prévue d’un produit comportant des éléments numériques ou pendant une période de cinq ans après sa mise sur le marché, la durée la plus courte étant retenue, le fabricant qui considère ou a des raisons de croire que le produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles énoncées à l’annexe I prend immédiatement les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus du fabricant en conformité, ou pour procéder à leur retrait ou à leur rappel, selon le cas.	12. Dès la mise sur le marché et pendant la durée de vie prévue d’un produit comportant des éléments numériques ou pendant une période de cinq ans après sa mise sur le marché, la durée la plus longue étant retenue, le fabricant qui considère ou a des raisons de croire que le produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles énoncées à l’annexe I prend immédiatement les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus du fabricant en conformité, ou pour procéder à leur retrait ou à leur rappel, selon le cas.

Amendement  78

 

Proposition de règlement

Article 11 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Le fabricant notifie à l’ENISA, dans les meilleurs délais et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, toute vulnérabilité activement exploitée contenue dans le produit comportant des éléments numériques. La notification contient des précisions concernant cette vulnérabilité et, le cas échéant, toute mesure prise pour y remédier ou en atténuer les effets. Dès réception de cette notification, l’ENISA la transmet, sans retard indu, sauf pour des motifs justifiés ayant trait au risque de cybersécurité, au CSIRT désigné aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article [X] de la directive [XXX/XXXX (SRI2)] des États membres concernés et informe l’autorité de surveillance du marché de la vulnérabilité notifiée.	1. Le fabricant notifie à l’ENISA, dans les meilleurs délais et, en tout état de cause, 48 heures au plus tard après en avoir eu connaissance, au moyen d’une alerte précoce, toute vulnérabilité activement exploitée contenue dans le produit comportant des éléments numériques.

Amendement  79

 

Proposition de règlement

Article 11 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission	Amendement
	1 bis. Les fabricants, dans les meilleurs délais après avoir eu connaissance de vulnérabilités activement exploitées ayant une incidence importante sur la sécurité du produit comportant des éléments numériques, communiquent à l’ENISA des précisions supplémentaires sur ladite vulnérabilité exploitée.

Amendement  80

 

Proposition de règlement

Article 11 – paragraphe 1 ter (nouveau)

Texte proposé par la Commission	Amendement
	1 ter. Toute autre vulnérabilité n’ayant pas d’incidence importante sur la sécurité du produit comportant des éléments numériques est signalée à l’ENISA une fois traitée.

Amendement  81

 

Proposition de règlement

Article 11 – paragraphe 1 quater (nouveau)

Texte proposé par la Commission	Amendement
	1 quater. La notification contient des précisions concernant cette vulnérabilité et, le cas échéant, toute mesure prise pour y remédier ou en atténuer les effets, ainsi que toute mesure recommandée d’atténuation des risques. Dès réception de cette notification, l’ENISA la transmet, sans retard indu, sauf pour des motifs justifiés ayant trait au risque de cybersécurité, au CSIRT désigné aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article [X] de la directive [XXX/XXXX (SRI2)] des États membres concernés et informe immédiatement l’autorité de surveillance du marché de l’existence d’une vulnérabilité et, le cas échéant, des mesures d’atténuation des risques potentiels. En l’absence de mesure corrective ou d’atténuation pour une vulnérabilité notifiée, l’ENISA veille à ce que les informations concernant cette vulnérabilité soient partagées conformément à des protocoles de sécurité stricts et selon le principe du besoin d’en connaître.

Amendement  82

 

Proposition de règlement

Article 11 – paragraphe 2

Texte proposé par la Commission	Amendement
2. Le fabricant notifie à l’ENISA, dans les meilleurs délais et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, tout incident ayant un impact sur la sécurité du produit comportant des éléments numériques. L’ENISA transmet sans retard indu, sauf pour des motifs justifiés ayant trait au risque de cybersécurité, les notifications au point de contact unique désigné conformément à l’article [article X] de la directive [XXX/XXXX (SRI 2)] des États membres concernés et informe l’autorité de surveillance du marché des incidents notifiés. La notification d’incident comprend des informations sur la gravité et l’impact de l’incident et, le cas échéant, indique si le fabricant soupçonne des actes illicites ou malveillants d’être à l’origine de l’incident ou s’il considère que ce dernier a des répercussions transfrontières.	2. Le fabricant notifie à l’ENISA, dans les meilleurs délais et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, au moyen d’une alerte précoce, tout incident ayant des répercussions importantes sur la sécurité du produit comportant des éléments numériques. En outre, le fabricant communique à l’ENISA, dans les meilleurs délais et en tout état de cause dans les 72 heures après avoir eu connaissance de l’incident important relatif au produit comportant des éléments numériques, des précisions supplémentaires sur ledit incident important. L’ENISA transmet sans retard indu, sauf pour des motifs justifiés ayant trait au risque de cybersécurité, les notifications au point de contact unique désigné conformément à l’article [article X] de la directive [XXX/XXXX (SRI 2)] des États membres concernés et informe immédiatement l’autorité de surveillance du marché des incidents importants notifiés. La notification d’incident comprend les informations strictement nécessaires pour informer l’autorité compétente de l’incident et, lorsque cela est pertinent et proportionné au risque, sur la gravité et l’impact de l’incident et, le cas échéant, indique si le fabricant soupçonne des actes illicites ou malveillants d’être à l’origine de l’incident ou s’il considère que ce dernier a des répercussions transfrontières. Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification.

Amendement  83

 

Proposition de règlement

Article 11 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission	Amendement
	2 bis. Les opérateurs économiques qui sont également identifiés comme des entités essentielles ou des entités importantes au titre de la SRI 2 et qui soumettent leur notification d’incident conformément à la directive SRI 2 sont réputés en conformité avec les exigences visées au point 2 du présent article.

Amendement  84

 

Proposition de règlement

Article 11 – paragraphe 3

Texte proposé par la Commission	Amendement
3. L’ENISA soumet au réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE - CyCLONe) institué par l’article [l’article X] de la directive [la directive XXX/XXXX (SRI2)] les informations notifiées conformément aux paragraphes 1 et 2 si elles sont pertinentes pour la gestion coordonnée au niveau opérationnel des incidents et crises de cybersécurité majeurs.	3. L’ENISA soumet au réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE - CyCLONe) institué par l’article [l’article X] de la directive [la directive XXX/XXXX (SRI2)] les informations notifiées conformément aux paragraphes 1 et 2 si elles sont pertinentes pour la gestion coordonnée au niveau opérationnel des incidents importants et crises de cybersécurité d’ampleur majeure.

Amendement  85

 

Proposition de règlement

Article 11 – paragraphe 4

Texte proposé par la Commission	Amendement
4. Dans les meilleurs délais après avoir pris connaissance de l’incident, le fabricant informe les utilisateurs du produit comportant des éléments numériques de cet incident et, le cas échéant, des mesures correctives que l’utilisateur peut mettre en place pour en atténuer l’impact.	4. Dans les meilleurs délais après en avoir pris connaissance, le fabricant informe les utilisateurs du produit comportant des éléments numériques de l’incident important, s’il y a lieu et si celui-ci risque de leur nuire, et, le cas échéant, de toute mesure d’atténuation des risques ou mesure corrective que l’utilisateur peut mettre en place pour atténuer l’impact de l’incident important quant aux données pouvant être touchées et aux dommages éventuels.

Amendement  86

 

Proposition de règlement

Article 11 – paragraphe 4 bis (nouveau)

Texte proposé par la Commission	Amendement
	4 bis. Les obligations prévues aux paragraphes 1, 2 et 4 s’appliquent pendant la durée de vie du produit. Pendant la période de durée de vie prévue du produit, le fabricant fournit gratuitement des mises à jour de sécurité qui s’appliquent uniquement aux produits comportant des éléments numériques pour lesquels le fabricant a établi une déclaration UE de conformité, conformément à l’article 20 du présent règlement.

Amendement  87

 

Proposition de règlement

Article 11 – paragraphe 5

Texte proposé par la Commission	Amendement
5. La Commission peut, au moyen d’actes d’exécution, préciser plus en détail le type d’informations, le format et la procédure des notifications présentées en vertu des paragraphes 1 et 2. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 51, paragraphe 2.	5. La Commission peut, après avoir consulté les parties intéressées et les CSIRT, au moyen d’actes d’exécution, préciser plus en détail le type d’informations, le format et la procédure des notifications présentées en vertu des paragraphes 1 et 2. Ces actes d’exécution tiennent compte des normes européennes et internationales et sont adoptés en conformité avec la procédure d’examen visée à l’article 51, paragraphe 2.

Amendement  88

 

Proposition de règlement

Article 11 – paragraphe 6

Texte proposé par la Commission	Amendement
6. Sur la base des notifications reçues conformément aux paragraphes 1 et 2, l’ENISA élabore un rapport technique bisannuel sur les tendances émergentes en ce qui concerne les risques de cybersécurité dans les produits comportant des éléments numériques et le soumet au groupe de coopération visé à l’article [article X] de la directive [directive XXX/XXXX (SRI 2)]. Le premier rapport de ce type est présenté dans les 24 mois suivant le début de l’application des obligations prévues aux paragraphes 1 et 2.	6. Sur la base des notifications reçues conformément aux paragraphes 1 et 2, l’ENISA élabore un rapport technique bisannuel sur les tendances émergentes en ce qui concerne les risques de cybersécurité dans les produits comportant des éléments numériques et le soumet au groupe de coopération visé à l’article 14 de la directive (UE) 2022/2555. Le premier rapport de ce type est présenté dans les 24 mois suivant le début de l’application des obligations prévues aux paragraphes 1 et 2.

Amendement  89

 

Proposition de règlement

Article 11 – paragraphe 7

Texte proposé par la Commission	Amendement
7. Lorsqu’il identifie une vulnérabilité dans un composant, y compris un composant open source, qui est intégré au produit comportant des éléments numériques, le fabricant signale la vulnérabilité à la personne ou à l’entité qui assure la maintenance du composant.	7. Lorsqu’il identifie une vulnérabilité dans un composant, y compris un composant open source, qui est intégré au produit comportant des éléments numériques, le fabricant signale la vulnérabilité et la mesure corrective ou d’atténuation prise à la personne ou à l’entité qui assure la maintenance du composant. Cela ne libère pas le fabricant de l’obligation de maintenir la conformité du produit au regard des exigences du présent règlement et ne crée aucune obligation pour les développeurs de composants libres et ouverts qui n’ont pas de relation contractuelle avec ledit fabricant.

Amendement  90

 

Proposition de règlement

Article 12 – paragraphe 3 – partie introductive

Texte proposé par la Commission	Amendement
3. Le mandataire exécute les tâches spécifiées dans le mandat qu’il reçoit du fabricant. Le mandat autorise au minimum le mandataire:	3. Le mandataire exécute les tâches spécifiées dans le mandat qu’il reçoit du fabricant. Il fournit une copie du mandat aux autorités de surveillance du marché qui en font la demande. Le mandat autorise au minimum le mandataire:

Amendement  91

 

Proposition de règlement

Article 12 – paragraphe 3 – point a bis (nouveau)

Texte proposé par la Commission	Amendement
	a bis) lorsqu’il a une raison de croire que le produit comportant des éléments numériques en question présente un risque de cybersécurité, à informer le fabricant;

Amendement  92

 

Proposition de règlement

Article 12 – paragraphe 3 – point b

Texte proposé par la Commission	Amendement
b) sur requête motivée d’une autorité de surveillance du marché, à communiquer à cette dernière toutes les informations et tous les documents nécessaires pour démontrer la conformité du produit comportant des éléments numériques;	b) sur requête motivée d’une autorité de surveillance du marché, à communiquer à cette dernière toutes les informations et tous les documents nécessaires pour démontrer la sécurité et la conformité du produit comportant des éléments numériques, dans une langue pouvant être comprise facilement par cette autorité;

Amendement  93

 

Proposition de règlement

Article 12 – paragraphe 3 – point c

Texte proposé par la Commission	Amendement
c) à coopérer avec les autorités de surveillance du marché, à leur demande, concernant toute mesure adoptée pour éliminer les risques présentés par un produit comportant des éléments numériques relevant du mandat confié au mandataire.	c) à coopérer avec les autorités de surveillance du marché, à leur demande, concernant toute mesure adoptée pour éliminer efficacement les risques présentés par un produit comportant des éléments numériques relevant du mandat confié au mandataire.

Amendement  94

 

Proposition de règlement

Article 13 – paragraphe 2 – point c bis (nouveau)

Texte proposé par la Commission	Amendement
	c bis) tous les documents qui prouvent le respect des exigences prévues par le présent article aient été reçus par le fabricant et puissent être communiqués pour inspection pendant une durée de dix ans.

Amendement  95

 

Proposition de règlement

Article 13 – paragraphe 3

Texte proposé par la Commission	Amendement
3. Lorsqu’un importateur considère ou a des raisons de croire qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles énoncées à l’annexe I, il ne met pas le produit sur le marché tant que ce produit ou les processus mis en place par le fabricant n’ont pas été mis en conformité avec les exigences essentielles énoncées à l’annexe I. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe le fabricant et les autorités de surveillance du marché.	3. Lorsqu’un importateur considère ou a des raisons de croire, sur la base des informations à sa disposition, qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles énoncées à l’annexe I, il ne met pas le produit sur le marché tant que ce produit ou les processus mis en place par le fabricant n’ont pas été mis en conformité avec les exigences essentielles énoncées à l’annexe I. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe le fabricant et les autorités de surveillance du marché.

Amendement  96

 

Proposition de règlement

Article 13 – paragraphe 4

Texte proposé par la Commission	Amendement
4. L’importateur indique son nom, sa raison sociale ou sa marque déposée et les adresses postale et électronique auxquelles il peut être contacté sur le produit comportant des éléments numériques ou, lorsque cela n’est pas possible, sur l’emballage ou dans un document accompagnant le produit comportant des éléments numériques. Les coordonnées sont indiquées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché.	(Ne concerne pas la version française.)

Amendement  97

 

Proposition de règlement

Article 13 – paragraphe 6 – alinéa 1

Texte proposé par la Commission	Amendement
Tout importateur qui considère ou a des raisons de croire qu’un produit comportant des éléments numériques, qu’il a mis sur le marché, ou bien les processus mis en place par son fabricant, ne sont pas conformes aux exigences essentielles énoncées à l’annexe I prend immédiatement les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus mis en place par son fabricant en conformité avec les exigences essentielles énoncées à l’annexe I, ou pour procéder au retrait ou au rappel du produit, si nécessaire.	Tout importateur qui considère ou a des raisons de croire qu’un produit comportant des éléments numériques, qu’il a mis sur le marché, ou bien les processus mis en place par son fabricant, ne sont pas conformes aux exigences essentielles énoncées à l’annexe I prend immédiatement les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus mis en place par son fabricant en conformité avec les exigences essentielles énoncées à l’annexe I, ou pour procéder au retrait ou au rappel du produit, si nécessaire. Sur la base d’une évaluation des risques, les distributeurs et les utilisateurs finals sont informés en temps utile de la non-conformité et des mesures d’atténuation des risques qu’ils peuvent prendre.

Amendement  98

 

Proposition de règlement

Article 14 – paragraphe 2 – point b bis (nouveau)

Texte proposé par la Commission	Amendement
	b bis) il a reçu, de la part du fabricant et de l’importateur, toutes les informations et tous les documents requis par le présent règlement.

Amendement  99

 

Proposition de règlement

Article 16 – alinéa 1

Texte proposé par la Commission	Amendement
Une personne physique ou morale, autre que le fabricant, l’importateur ou le distributeur, qui apporte une modification substantielle à un produit comportant des éléments numériques est considérée comme un fabricant aux fins du présent règlement.	Une personne physique ou morale, autre que le fabricant, l’importateur ou le distributeur, qui, dans le cadre d’une activité professionnelle, apporte une modification substantielle à un produit comportant des éléments numériques et qui met le produit à disposition sur le marché est considérée comme un fabricant aux fins du présent règlement.

Amendement  100

 

Proposition de règlement

Article 18 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission	Amendement
	1 bis. Conformément à l’article 10, paragraphe 1, du règlement (UE) 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d’élaborer des normes harmonisées relatives aux exigences énoncées à l’annexe I.

Amendement  101

 

Proposition de règlement

Article 18 – paragraphe 4 bis (nouveau)

Texte proposé par la Commission	Amendement
	4 bis. Conformément à l’article 10, paragraphe 1, du règlement 1025/2012, lors de l’élaboration de la demande de normalisation de produits relevant du champ d’application du présent règlement, la Commission vise une harmonisation maximale avec les normes internationales en vigueur ou dont l’application est imminente en matière de cybersécurité. Au cours des trois années qui suivent la date d’application du présent règlement, la Commission est habilitée à déclarer qu’une norme internationale existante respecte les exigences du présent règlement, sans aucune modification européenne, pour autant que l’observation de cette norme améliore suffisamment la sécurité des produits comportant des éléments numériques, et pour autant que la norme soit publiée dans une version séparée par l’une des organisations européennes de normalisation.

Amendement  102

 

Proposition de règlement

Article 19 – alinéa 1

Texte proposé par la Commission	Amendement
Lorsque les normes harmonisées visées à l’article 18 n’existent pas ou lorsque la Commission estime que les normes harmonisées pertinentes sont insuffisantes pour satisfaire aux exigences du présent règlement ou pour répondre à la demande de normalisation de la Commission, ou lorsque la procédure de normalisation rencontre des retards excessifs ou lorsqu’aucune organisation européenne de normalisation n’a accepté la demande de normes harmonisées de la Commission, la Commission est habilitée, au moyen d’actes d’exécution, à adopter des spécifications communes en ce qui concerne les exigences essentielles énoncées à l’annexe I. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 51, paragraphe 2.	1. La Commission peut adopter des actes d’exécution qui établissent des spécifications communes couvrant les exigences techniques qui offrent un moyen de se conformer aux exigences essentielles de santé et de sécurité énoncées à l’annexe I en ce qui concerne les produits relevant du champ d’application du présent règlement. Ces actes d’exécution ne sont adoptés que lorsque les conditions suivantes sont remplies:
	a) la Commission, conformément à l’article 10, paragraphe 1, du règlement (UE) nº 1025/2012, a demandé à une ou plusieurs organisations européennes de normalisation d’élaborer une norme harmonisée relative aux exigences essentielles énoncées à l’annexe I et:
	i) la demande n’a pas été acceptée; ou
	ii) les normes harmonisées correspondant à cette demande ne sont pas présentées dans le délai fixé conformément à l’article 10, paragraphe 1, du règlement (UE) 1025/2012; ou
	iii) les normes harmonisées ne sont pas conformes à la demande; et
	b) aucune référence à des normes harmonisées couvrant les exigences énoncées à l’annexe I n’a été publiée au Journal officiel de l’Union européenne conformément au règlement (UE) nº°1025/2012 et il n’est pas prévu que la publication d’une telle référence intervienne dans un délai raisonnable.
	Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 3.

Amendement  103

 

Proposition de règlement

Article 19 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission	Amendement
	1 bis. Avant d’élaborer le projet d’acte d’exécution visé au paragraphe 3, la Commission informe le comité visé à l’article 22 du règlement (UE) nº 1025/2012 qu’elle considère que les conditions énoncées au paragraphe 3 sont remplies.

Amendement  104

 

Proposition de règlement

Article 19 – paragraphe 1 ter (nouveau)

Texte proposé par la Commission	Amendement
	1 ter. Lorsqu’elle élabore le projet d’acte d’exécution visé au paragraphe 1, la Commission tient compte de l’avis des organismes compétents ou du groupe d’experts et consulte dûment toutes les parties prenantes concernées.

Amendement  105

 

Proposition de règlement

Article 19 – paragraphe 1 quater (nouveau)

Texte proposé par la Commission	Amendement
	1 quater. Lorsqu’une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission en vue de la publication de sa référence au Journal officiel de l’Union européenne, la Commission évalue la norme harmonisée conformément au règlement (UE) nº 1025/2012. Lorsque la référence d’une norme harmonisée est publiée au Journal officiel de l’Union européenne, la Commission abroge les actes d’exécution visés au paragraphe 1 ou les parties de ces actes qui couvrent les mêmes exigences que celles couvertes par cette norme harmonisée.

Amendement  106

 

Proposition de règlement

Article 19 – paragraphe 1 quinquies (nouveau)

Texte proposé par la Commission	Amendement
	1 quinquies. Lorsqu’un État membre estime qu’une spécification commune ne satisfait pas entièrement aux exigences énoncées à l’annexe I, il en informe la Commission en lui fournissant une explication détaillée. La Commission examine cette explication détaillée et peut, s’il y a lieu, modifier l’acte d’exécution établissant la spécification commune en question.

Amendement  107

 

Proposition de règlement

Article 20 – paragraphe 2

Texte proposé par la Commission	Amendement
2. La déclaration UE de conformité est établie selon le modèle figurant à l’annexe IV et contient les éléments précisés dans les procédures d’évaluation de la conformité applicables prévues à l’annexe VI. Cette déclaration est constamment mise à jour. Elle est disponible dans la ou les langues requises par l’État membre dans lequel le produit comportant des éléments numériques est mis sur le marché ou mis à disposition.	2. La déclaration UE de conformité est établie selon le modèle figurant à l’annexe IV et contient les éléments précisés dans les procédures d’évaluation de la conformité applicables prévues à l’annexe VI. Cette déclaration est mise à jour selon que de besoin. Elle est disponible dans une langue qui peut être facilement comprise par les autorités de l’État membre dans lequel le produit comportant des éléments numériques est mis sur le marché ou mis à disposition.

Amendement  108

 

Proposition de règlement

Article 20 bis (nouveau)

Texte proposé par la Commission	Amendement
	Article 20 bis
	Déclaration UE d’incorporation pour les quasi-produits comportant des éléments numériques
	1. La déclaration UE d’incorporation est établie par le fabricant conformément à l’article 10, paragraphe 7, et atteste que le respect des exigences essentielles pertinentes énoncées à l’annexe I a été démontré.
	2. La déclaration UE d’incorporation est établie selon le modèle figurant à l’annexe IV bis (nouvelle). Cette déclaration est mise à jour selon que de besoin. Elle est disponible dans la ou les langues requises par l’État membre dans lequel le quasi-produit comportant des éléments numériques est mis sur le marché ou mis à disposition.
	3. Lorsqu’un quasi-produit comportant des éléments numériques relève de plusieurs actes de l’Union imposant une déclaration UE d’incorporation, une seule déclaration UE d’incorporation est établie pour l’ensemble de ces actes. Cette déclaration mentionne les titres des actes de l’Union concernés, ainsi que les références de leur publication.
	4. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement aux fins d’ajouter des éléments au contenu minimal de la déclaration UE d’incorporation prévu à l’annexe IV bis (nouvelle) afin de tenir compte des progrès techniques.

Amendement  109

 

Proposition de règlement

Article 22 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Le marquage CE est apposé de manière visible, lisible et indélébile sur le produit comportant des éléments numériques. Lorsque la nature du produit comportant des éléments numériques ne le permet pas ou ne le justifie pas, il est apposé sur son emballage et sur la déclaration UE de conformité mentionnée à l’article 20 qui accompagne le produit comportant des éléments numériques. Pour les produits comportant des éléments numériques qui se présentent sous la forme d’un logiciel, le marquage CE est apposé soit sur la déclaration UE de conformité mentionnée à l’article 20, soit sur le site web qui accompagne le logiciel.	1. Le marquage CE est apposé de manière visible, lisible et indélébile sur le produit comportant des éléments numériques. Lorsque la nature du produit comportant des éléments numériques ne le permet pas ou ne le justifie pas, il est apposé sur son emballage et sur la déclaration UE de conformité mentionnée à l’article 20 qui accompagne le produit comportant des éléments numériques. Pour les produits comportant des éléments numériques qui se présentent sous la forme d’un logiciel, le marquage CE est apposé soit sur la déclaration UE de conformité mentionnée à l’article 20, soit sur le site web qui accompagne le logiciel. Dans ce dernier cas, la section correspondante du site web est aisément et directement accessible aux consommateurs.

Amendement  110

 

Proposition de règlement

Article 22 – paragraphe 3

Texte proposé par la Commission	Amendement
3. Le marquage CE est apposé avant que le produit comportant des éléments numériques ne soit mis sur le marché. Il peut être suivi d’un pictogramme ou de tout autre marquage indiquant un risque ou un usage particulier énoncés dans les actes d’exécution visés au paragraphe 6.	3. Le marquage CE est apposé avant que le produit comportant des éléments numériques ne soit mis sur le marché. Il peut être suivi d’un pictogramme ou de tout autre marquage indiquant aux consommateurs un risque ou un usage particulier énoncés dans les actes d’exécution visés au paragraphe 6.

Amendement  111

 

Proposition de règlement

Article 22 – paragraphe 5

Texte proposé par la Commission	Amendement
5. Les États membres s’appuient sur les mécanismes existants pour assurer la bonne application du régime régissant le marquage CE et prennent les mesures nécessaires en cas d’usage abusif de ce marquage. Lorsque le produit comportant des éléments numériques relève d’autres actes législatifs de l’Union qui prévoient aussi l’apposition du marquage CE, le marquage CE indique que le produit satisfait également aux exigences de ces autres actes législatifs.	5. Les États membres s’appuient sur les mécanismes existants pour assurer la bonne application harmonisée du régime régissant le marquage CE et prennent les mesures nécessaires de façon coordonnée en cas d’usage abusif de ce marquage. Lorsque le produit comportant des éléments numériques relève d’autres actes législatifs de l’Union qui prévoient aussi l’apposition du marquage CE, le marquage CE indique que le produit satisfait également aux exigences de ces autres actes législatifs.

Amendement  112

 

Proposition de règlement

Article 22 – paragraphe 6

Texte proposé par la Commission	Amendement
6. La Commission peut, au moyen d’actes d’exécution, définir des spécifications techniques pour les pictogrammes ou tout autre marquage en lien avec la sécurité du produit comportant des éléments numériques, ainsi que des mécanismes visant à promouvoir leur utilisation. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 51, paragraphe 2.	6. La Commission peut, au moyen d’actes délégués, définir des spécifications techniques pour les systèmes d’étiquetage, y compris les étiquettes harmonisées, les pictogrammes ou tout autre marquage en lien avec la sécurité du produit comportant des éléments numériques, ainsi que des mécanismes visant à promouvoir leur utilisation chez les entreprises et les consommateurs et à sensibiliser le public à la sécurité des produits comportant des éléments numériques. Ces actes délégués sont adoptés en conformité avec la procédure visée à l’article 50.

Amendement  113

 

Proposition de règlement

Article 22 – paragraphe 6 bis (nouveau)

Texte proposé par la Commission	Amendement
	6 bis. Un quasi-produit comportant des éléments numériques ne porte pas le marquage CE prévu au titre du présent règlement, sans préjudice des dispositions de marquage qui résultent de tout autre acte législatif de l’Union applicable.

Amendement  114

 

Proposition de règlement

Article 22 – paragraphe 6 ter (nouveau)

Texte proposé par la Commission	Amendement
	6 ter. La Commission adopte des lignes directrices et fournit des conseils aux opérateurs économiques, en particulier à ceux qui sont considérés comme des PME, y compris les microentreprises, sur la mise en œuvre du présent règlement. Ces lignes directrices et ces conseils visent en particulier à simplifier et à limiter la charge administrative et financière, tout en garantissant une application efficace et cohérente du présent règlement conformément à l’objectif général consistant à garantir la sécurité des produits et la protection des consommateurs. La Commission devrait consulter les parties prenantes concernées possédant une expertise dans le domaine de la cybersécurité.

Amendement  115

 

Proposition de règlement

Article 23 – paragraphe 2

Texte proposé par la Commission	Amendement
2. La documentation technique est établie avant que le produit comportant des éléments numériques ne soit mis sur le marché et fait l’objet de mises à jour régulières, le cas échéant, pendant la durée de vie prévue du produit ou pendant une période de cinq ans après la mise sur le marché d’un produit comportant des éléments numériques, la durée la plus courte étant retenue.	2. La documentation technique est établie avant que le produit comportant des éléments numériques ne soit mis sur le marché et fait l’objet de mises à jour régulières, le cas échéant, pendant la durée de vie prévue du produit ou pendant une période de cinq ans après la mise sur le marché d’un produit comportant des éléments numériques, la durée la plus longue étant retenue.

Amendement  116

 

Proposition de règlement

Article 23 – paragraphe 3

Texte proposé par la Commission	Amendement
3. Pour les produits comportant des éléments numériques mentionnés à l’article 8 et à l’article 24, paragraphe 4, qui relèvent aussi d’autres actes législatifs de l’Union, une seule documentation technique est établie, contenant les informations visées à l’annexe V du présent règlement ainsi que les informations requises en vertu de ces actes de l’Union.	3. Pour les produits comportant des éléments numériques qui relèvent aussi d’autres actes législatifs de l’Union, une seule documentation technique est établie, contenant les informations visées à l’annexe V du présent règlement ainsi que les informations requises en vertu de ces actes de l’Union.

Amendement  117

 

Proposition de règlement

Article 23 – paragraphe 5

Texte proposé par la Commission	Amendement
5. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement aux fins d’inclure les éléments requis dans la documentation technique figurant à l’annexe V pour tenir compte des progrès techniques ainsi que des évolutions rencontrées dans le processus de mise en œuvre du présent règlement.	5. La Commission est habilitée à adopter des actes délégués conformément à l’article 50 pour compléter le présent règlement aux fins d’inclure les éléments requis dans la documentation technique figurant à l’annexe V pour tenir compte des progrès techniques ainsi que des évolutions rencontrées dans le processus de mise en œuvre du présent règlement. La Commission s’efforce de réduire au minimum la charge administrative pour les micro, petites et moyennes entreprises.

Amendement  118

 

Proposition de règlement

Article 24 – paragraphe 1 – point c bis (nouveau)

Texte proposé par la Commission	Amendement
	c bis) un schéma européen de certification de cybersécurité adopté conformément à l’article 18, paragraphe 4, du règlement (UE) 2019/881.

Amendement  119

 

Proposition de règlement

Article 24 – paragraphe 3 – point b

Texte proposé par la Commission	Amendement
b) l’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VI.	b) l’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VI; ou

Amendement  120

 

Proposition de règlement

Article 24 – paragraphe 3 – point b bis (nouveau)

Texte proposé par la Commission	Amendement
	b bis) le cas échéant, un schéma européen de certification de cybersécurité à un niveau d’assurance «substantiel» ou «élevé» conformément au règlement (UE) 2019/881.

Amendement  121

 

Proposition de règlement

Article 24 – paragraphe 4 bis (nouveau)

Texte proposé par la Commission	Amendement
	4 bis. Pour les produits auxquels s’applique la législation d’harmonisation de l’Union fondée sur le nouveau cadre législatif, le fabricant procède à l’évaluation de la conformité selon les modalités requises par ces actes juridiques. Les exigences énoncées au chapitre III s’appliquent à ces produits.

Amendement  122

 

Proposition de règlement

Article 24 – paragraphe 5

Texte proposé par la Commission	Amendement
5. Les organismes notifiés tiennent compte des intérêts et besoins spécifiques des petites et moyennes entreprises (PME) lorsqu’ils fixent les redevances imposées pour les procédures d’évaluation de la conformité, et les réduisent proportionnellement auxdits intérêts et besoins spécifiques.	5. Les organismes notifiés tiennent compte des intérêts et besoins spécifiques des micro, petites et moyennes entreprises lorsqu’ils fixent les redevances imposées pour les procédures d’évaluation de la conformité, et les réduisent proportionnellement auxdits intérêts et besoins spécifiques. La Commission prend des mesures visant à garantir des procédures plus accessibles et plus abordables et un soutien financier approprié dans le cadre des programmes de l’Union existants, en particulier afin d’alléger la charge pesant sur les micro, petites et moyennes entreprises.

Amendement  123

 

Proposition de règlement

Article 24 – paragraphe 5 bis (nouveau)

Texte proposé par la Commission	Amendement
	5 bis. Pour les produits comportant des éléments numériques relevant du champ d’application du présent règlement et mis sur le marché ou mis en service par des établissements de crédit régis par la directive 2013/36/UE, l’évaluation de la conformité est effectuée dans le cadre de la procédure visée aux articles 97 à 101 de ladite directive.

Amendement  124

 

Proposition de règlement

Article 24 bis (nouveau)

Texte proposé par la Commission	Amendement
	Article 24 bis
	Lorsque les produits comportant des éléments numériques sont dotés d’un matériel ou d’un logiciel équivalent, un modèle de produit peut être représentatif d’une famille de produits aux fins des procédures d’évaluation de la conformité suivantes:
	a) la procédure de contrôle interne (module A) visée à l’annexe VI; ou
	b) la procédure d’examen UE de type (module B) prévue à l’annexe VI, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VI.

Amendement  125

 

Proposition de règlement

Article 27 – paragraphe 5

Texte proposé par la Commission	Amendement
5. Une autorité notifiante garantit la confidentialité des informations qu’elle obtient.	5. Une autorité notifiante garantit la confidentialité des informations, y compris les droits de propriété intellectuelle, les informations commerciales confidentielles et les secrets d’affaires, qu’elle obtient.

Amendement  126

 

Proposition de règlement

Article 27 – paragraphe 6 bis (nouveau)

Texte proposé par la Commission	Amendement
	6 bis. Une autorité notifiante réduit au minimum les formalités administratives et les redevances, particulièrement pour les PME.

Amendement  127

 

Proposition de règlement

Article 29 – paragraphe 7 bis (nouveau)

Texte proposé par la Commission	Amendement
	7 bis. Les États membres et la Commission mettent en place des mesures appropriées pour garantir une disponibilité suffisante de personnel qualifié, afin de réduire au minimum les freins aux activités des organismes d’évaluation de la conformité.

Amendement  128

 

Proposition de règlement

Article 29 – paragraphe 10

Texte proposé par la Commission	Amendement
10. Le personnel d’un organisme d’évaluation de la conformité est lié par le secret professionnel pour toutes les informations dont il prend connaissance dans l’exercice de ses fonctions dans le cadre de l’annexe VI ou de toute disposition de droit national lui donnant effet, sauf à l’égard des autorités de surveillance du marché de l’État membre où il exerce ses activités. Les droits de propriété sont protégés. L’organisme d’évaluation de la conformité dispose de procédures documentées garantissant le respect du présent paragraphe.	10. Le personnel d’un organisme d’évaluation de la conformité est lié par le secret professionnel pour toutes les informations dont il prend connaissance dans l’exercice de ses fonctions dans le cadre de l’annexe VI ou de toute disposition de droit national lui donnant effet, sauf à l’égard des autorités de surveillance du marché de l’État membre où il exerce ses activités. Les droits de propriété intellectuelle, les informations commerciales confidentielles et les secrets d’affaires sont protégés. L’organisme d’évaluation de la conformité dispose de procédures documentées garantissant le respect du présent paragraphe.

Amendement  129

 

Proposition de règlement

Article 29 – paragraphe 12

Texte proposé par la Commission	Amendement
12. Les organismes d’évaluation de la conformité agissent conformément à un ensemble de conditions cohérentes, justes et raisonnables, notamment en tenant compte des intérêts des PME pour ce qui est des redevances.	12. Les organismes d’évaluation de la conformité agissent conformément à un ensemble de conditions cohérentes, justes et raisonnables en conformité avec l’article 37, paragraphe 2, notamment en tenant compte des intérêts des micro, petites et moyennes entreprises pour ce qui est des redevances.

Amendement  130

 

Proposition de règlement

Article 36 – paragraphe 3

Texte proposé par la Commission	Amendement
3. La Commission veille à ce que toutes les informations sensibles obtenues au cours de ses enquêtes soient traitées de manière confidentielle.	3. La Commission veille à ce que toutes les informations, y compris les droits de propriété intellectuelle, les informations commerciales confidentielles et les secrets d’affaires, obtenues au cours de ses enquêtes soient traitées de manière confidentielle.

Amendement  131

 

Proposition de règlement

Article 37 – paragraphe 2

Texte proposé par la Commission	Amendement
2. Les évaluations de la conformité sont effectuées de manière proportionnée, en évitant d’imposer des charges inutiles aux opérateurs économiques. Les organismes d’évaluation de la conformité accomplissent leurs activités en tenant dûment compte de la taille des entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, du degré de complexité de la technologie du produit en question et de la nature en masse, ou série, du processus de production.	2. Les évaluations de la conformité sont effectuées de manière proportionnée, en évitant d’imposer des charges inutiles aux opérateurs économiques, avec une attention particulière portée aux PME. Les organismes d’évaluation de la conformité accomplissent leurs activités en tenant dûment compte de la taille des entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, du degré de complexité et de l’exposition au risque du type et de la technologie du produit en question et de la nature en masse, ou série, du processus de production.

Amendement  132

 

Proposition de règlement

Article 37 – paragraphe 5

Texte proposé par la Commission	Amendement
5. Lorsque, au cours du contrôle de la conformité faisant suite à la délivrance d’un certificat de conformité, un organisme notifié constate qu’un produit ne respecte plus les exigences définies par le présent règlement, il exige du fabricant qu’il prenne les mesures correctrices appropriées et suspend ou retire le certificat si nécessaire.	5. Lorsque, au cours du contrôle de la conformité faisant suite à la délivrance d’un certificat de conformité, un organisme notifié constate qu’un produit ne respecte plus les exigences définies par le présent règlement, il exige du fabricant qu’il prenne les mesures correctrices appropriées et il soumet à des restrictions, suspend ou retire le certificat si nécessaire.

Amendement  133

 

Proposition de règlement

Article 40 – paragraphe 1

Texte proposé par la Commission	Amendement
1. La Commission veille à ce qu’une coordination et une coopération appropriées s’établissent entre les organismes notifiés et soient dûment encadrées sous la forme d’un groupe transsectoriel d’organismes notifiés.	1. La Commission veille à ce qu’une coordination et une coopération appropriées s’établissent entre les organismes notifiés, en tenant compte de la nécessité de réduire les formalités administratives et les redevances, et soient dûment encadrées sous la forme d’un groupe transsectoriel d’organismes notifiés.

Amendement  134

 

Proposition de règlement

Article 40 – paragraphe 2

Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les organismes qu’ils ont notifiés participent aux travaux de ce groupe, directement ou par l’intermédiaire de représentants désignés.	2. Les États membres veillent à ce que les organismes qu’ils ont notifiés participent aux travaux de ce groupe, directement ou par l’intermédiaire de représentants désignés, en tenant également compte de la nécessité de réduire les formalités administratives et les redevances.

Amendement  135

 

Proposition de règlement

Article 41 – paragraphe 3

Texte proposé par la Commission	Amendement
3. Le cas échéant, les autorités de surveillance du marché coopèrent avec les autorités nationales de certification de cybersécurité désignées en vertu de l’article 58 du règlement (UE) 2019/881 et échangent régulièrement des informations. Les autorités de surveillance du marché désignées coopèrent avec l’ENISA en ce qui concerne le contrôle de la mise en œuvre des obligations en matière de communication d’informations prévues à l’article 11 du présent règlement.	3. Le cas échéant, les autorités de surveillance du marché coopèrent avec les autorités nationales de certification de cybersécurité désignées en vertu de l’article 58 du règlement (UE) 2019/881 et échangent régulièrement des informations. Les autorités de surveillance du marché désignées coopèrent efficacement avec l’ENISA en ce qui concerne le contrôle de la mise en œuvre des obligations en matière de communication d’informations prévues à l’article 11 du présent règlement. Les autorités de surveillance du marché peuvent demander à l’ENISA de fournir des conseils techniques sur des questions liées à la mise en œuvre et à l’exécution du présent règlement, y compris au cours des enquêtes menées conformément à l’article 43 lors desquelles les autorités de surveillance du marché peuvent demander à l’ENISA de fournir des évaluations non contraignantes de la conformité des produits comportant des éléments numériques.

Amendement  136

 

Proposition de règlement

Article 41 – paragraphe 7

Texte proposé par la Commission	Amendement
7. La Commission facilite les échanges d’expériences entre les autorités de surveillance du marché désignées.	7. La Commission facilite les échanges d’expériences réguliers et structurés entre les autorités de surveillance du marché désignées, notamment à l’aide d’un groupe de coopération administrative (ADCO) spécifique institué en vertu du paragraphe 11 du présent article.

Amendement  137

 

Proposition de règlement

Article 41 – paragraphe 8

Texte proposé par la Commission	Amendement
8. Avec le soutien de la Commission, les autorités de surveillance du marché peuvent fournir des orientations et des conseils aux opérateurs économiques sur la mise en œuvre du présent règlement.	8. La Commission adopte des lignes directrices et fournit des conseils aux opérateurs économiques, en particulier à ceux qui sont considérés comme des PME, y compris les microentreprises, sur la mise en œuvre du présent règlement. Ces lignes directrices et ces conseils visent en particulier à simplifier et à limiter la charge administrative et financière, tout en garantissant une application efficace et cohérente conformément à l’objectif général consistant à garantir la sécurité des produits et la protection des consommateurs.

Amendement  138

 

Proposition de règlement

Article 41 – paragraphe 8 bis (nouveau)

Texte proposé par la Commission	Amendement
	8 bis. Les autorités de surveillance du marché ont les capacités de recevoir les réclamations des consommateurs conformément à l’article 11 du règlement 2019/1020 notamment en établissant des mécanismes clairs et accessibles afin de faciliter le signalement des vulnérabilités, des incidents et des cybermenaces.

Amendement  139

 

Proposition de règlement

Article 41 – paragraphe 11

Texte proposé par la Commission	Amendement
11. Un groupe de coopération administrative (ADCO) spécifique est établi pour l’application uniforme du présent règlement, conformément à l’article 30, paragraphe 2, du règlement (UE) 2019/1020. Cet ADCO se compose de représentants des autorités de surveillance du marché désignées et, si nécessaire, de représentants des bureaux de liaison uniques.	11. Un groupe de coopération administrative (ADCO) spécifique est établi pour l’application uniforme du présent règlement, afin de faciliter la coopération structurée en lien avec la mise en œuvre du présent règlement et de rationaliser les pratiques des autorités de surveillance du marché au sein de l’Union, conformément à l’article 30, paragraphe 2, du règlement (UE) 2019/1020. Cet ADCO est chargé, en particulier, des missions visées à l’article 32, paragraphe 2, du règlement (UE) 2019/1020, et se compose de représentants des autorités de surveillance du marché désignées, de l’ENISA et, si nécessaire, de représentants des bureaux de liaison uniques. L’ADCO se réunit à intervalles réguliers et, le cas échéant, sur demande motivée de la Commission, de l’ENISA ou d’un État membre, coordonne son action avec d’autres activités existantes de l’Union liées à la surveillance du marché et à la sécurité des consommateurs et, le cas échéant, coopère et échange des informations avec d’autres réseaux, groupes et organismes de l’Union. L’ADCO peut inviter des spécialistes et d’autres tiers, notamment des organisations de consommateurs, à assister à ses réunions.

Amendement  140

 

Proposition de règlement

Article 41 – paragraphe 11 bis (nouveau)

Texte proposé par la Commission	Amendement
	11 bis. Pour les produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement, distribués, mis en service ou utilisés par des établissements financiers régis par la législation pertinente de l’Union sur les services financiers, l’autorité de surveillance du marché, aux fins du présent règlement, est l’autorité compétente responsable de la supervision financière de ces établissements en vertu de ladite législation.

Amendement  141

 

Proposition de règlement

Article 42 – alinéa 1

Texte proposé par la Commission	Amendement
Lorsque cela est nécessaire pour évaluer la conformité des produits comportant des éléments numériques et des processus mis en place par leurs fabricants aux exigences essentielles énoncées à l’annexe I, et sur demande motivée, les autorités de surveillance du marché ont accès aux données requises pour évaluer la conception, le développement, la production et le traitement des vulnérabilités de ces produits, y compris la documentation interne correspondante de l’opérateur économique concerné.	Lorsque cela est nécessaire pour évaluer la conformité des produits comportant des éléments numériques et des processus mis en place par leurs fabricants aux exigences essentielles énoncées à l’annexe I, et sur demande motivée, les autorités de surveillance du marché ont accès aux données requises pour évaluer la conception, le développement, la production et le traitement des vulnérabilités de ces produits, y compris la documentation interne correspondante de l’opérateur économique concerné. Le cas échéant, et conformément à l’article 52, paragraphe 1, point a), cette opération est réalisée dans un environnement sûr et contrôlé, défini par le fabricant.

Amendement  142

 

Proposition de règlement

Article 43 – paragraphe 1 – alinéa 2

Texte proposé par la Commission	Amendement
Si, au cours de cette évaluation, l’autorité de surveillance du marché constate que le produit comportant des éléments numériques ne respecte pas les exigences énoncées dans le présent règlement, elle invite sans tarder l’opérateur économique en cause à prendre toutes les mesures correctives appropriées pour mettre le produit en conformité avec ces exigences, le retirer du marché ou le rappeler dans un délai raisonnable, proportionné à la nature du risque, qu’elle prescrit.	Si, au cours de cette évaluation, l’autorité de surveillance du marché constate que le produit comportant des éléments numériques ne respecte pas les exigences énoncées dans le présent règlement ou présente une menace pour la sécurité nationale, elle invite sans tarder l’opérateur économique en cause à prendre toutes les mesures correctives appropriées pour mettre le produit en conformité avec ces exigences, le retirer du marché ou le rappeler dans un délai raisonnable, proportionné à la nature du risque, qu’elle prescrit.
	Avant de procéder à l’évaluation susmentionnée, l’autorité de surveillance du marché peut, si nécessaire, compte tenu de l’importance du risque de cybersécurité, demander à l’opérateur concerné de suspendre ou restreindre immédiatement la disponibilité du produit sur le marché pendant la durée de ladite évaluation.

Amendement  143

 

Proposition de règlement

Article 43 – paragraphe 4 – alinéa 1

Texte proposé par la Commission	Amendement
Lorsque le fabricant d’un produit comportant des éléments numériques ne prend pas les mesures correctives adéquates dans le délai visé au paragraphe 1, deuxième alinéa, l’autorité de surveillance du marché adopte toutes les mesures provisoires appropriées pour interdire ou restreindre la mise à disposition du produit sur son marché national ou pour procéder à son retrait de ce marché ou à son rappel.	Lorsque le fabricant d’un produit comportant des éléments numériques ne prend pas les mesures correctives adéquates dans le délai visé au paragraphe 1, deuxième alinéa, ou si l’autorité compétente de l’État membre considère que le produit présente une menace pour la sécurité nationale, l’autorité de surveillance du marché adopte toutes les mesures provisoires appropriées pour interdire ou restreindre la mise à disposition du produit sur son marché national ou pour procéder à son retrait de ce marché ou à son rappel.

Amendement  144

 

Proposition de règlement

Article 45 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques présentant un risque de cybersécurité important n’est pas conforme aux exigences énoncées dans le présent règlement, elle peut demander aux autorités de surveillance du marché concernées de procéder à une évaluation de la conformité et de suivre les procédures visées à l’article 43.	1. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par les autorités compétentes des États membres, les centres de réponse aux incidents de sécurité informatique (CSIRT) désignés ou établis conformément à la directive (UE) 2022/2555 ou l’ENISA, qu’un produit comportant des éléments numériques présentant un risque de cybersécurité important n’est pas conforme aux exigences énoncées dans le présent règlement, elle demande aux autorités de surveillance du marché concernées de procéder à une évaluation de la conformité et de suivre les procédures visées à l’article 43.

Amendement  145

 

Proposition de règlement

Article 45 – paragraphe 2

Texte proposé par la Commission	Amendement
2. Dans des circonstances exceptionnelles qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons suffisantes de considérer que le produit visé au paragraphe 1 demeure non conforme aux exigences énoncées dans le présent règlement et qu’aucune mesure effective n’a été prise par les autorités de surveillance du marché concernées, la Commission peut demander à l’ENISA de procéder à une évaluation de la conformité. La Commission en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent comme il se doit avec l’ENISA.	2. Dans des circonstances qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons de considérer que le produit visé au paragraphe 1 demeure non conforme aux exigences énoncées dans le présent règlement et qu’aucune mesure effective n’a été prise par les autorités de surveillance du marché concernées, la Commission demande à l’ENISA de procéder à une évaluation de la conformité. La Commission en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent comme il se doit avec l’ENISA.

Amendement  146

 

Proposition de règlement

Article 46 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Lorsque, après avoir réalisé une évaluation au titre de l’article 43, l’autorité de surveillance du marché d’un État membre constate que, bien qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant soient conformes au présent règlement, ils présentent un risque de cybersécurité important ainsi qu’un risque pour la santé ou la sécurité des personnes, pour le respect des obligations découlant du droit de l’Union ou du droit national visant à protéger les droits fondamentaux, pour la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services proposés au moyen d’un système d’information électronique par des entités essentielles du type visé à [l’annexe I de la directive XXX/XXXX (NIS2)] ou pour d’autres aspects de la protection de l’intérêt public, elle exige de l’opérateur concerné qu’il prenne toutes les mesures appropriées pour faire en sorte qu’une fois mis sur le marché, le produit comportant des éléments numériques et les processus mis en place par le fabricant concerné ne présentent plus ce risque, pour retirer ledit produit du marché ou pour le rappeler dans un délai raisonnable, proportionné à la nature du risque.	1. Lorsque, après avoir réalisé une évaluation au titre de l’article 43, l’autorité de surveillance du marché d’un État membre constate que, bien qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant soient conformes au présent règlement, ils présentent un risque de cybersécurité important ainsi qu’un risque pour la santé ou la sécurité des personnes, pour le respect des obligations découlant du droit de l’Union ou du droit national visant à protéger les droits fondamentaux, pour la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services proposés au moyen d’un système d’information électronique par des entités essentielles du type visé à l’annexe I de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) nº 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) ou pour d’autres aspects de la protection de l’intérêt public, elle exige de l’opérateur économique concerné qu’il prenne toutes les mesures appropriées pour faire en sorte qu’une fois mis sur le marché, le produit comportant des éléments numériques et les processus mis en place par le fabricant concerné ne présentent plus ce risque, pour retirer ledit produit du marché ou pour le rappeler dans un délai raisonnable, proportionné à la nature du risque.

Amendement  147

 

Proposition de règlement

Article 46 – paragraphe 2

Texte proposé par la Commission	Amendement
2. Le fabricant ou les autres opérateurs concernés s’assurent que des mesures correctives sont prises pour tous les produits comportant des éléments numériques concernés qu’ils ont mis à disposition sur le marché dans toute l’Union dans le délai établi par l’autorité de surveillance du marché de l’État membre visée au paragraphe 1.	2. Le fabricant ou les autres opérateurs économiques concernés s’assurent que des mesures correctives sont prises pour tous les produits comportant des éléments numériques concernés qu’ils ont mis à disposition sur le marché dans toute l’Union dans le délai établi par l’autorité de surveillance du marché de l’État membre visée au paragraphe 1.

Amendement  148

 

Proposition de règlement

Article 46 – paragraphe 6

Texte proposé par la Commission	Amendement
6. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques, bien que conforme au présent règlement, présente les risques visés au paragraphe 1, elle peut demander aux autorités de surveillance du marché concernées de procéder à une évaluation de la conformité et de suivre les procédures visées à l’article 43 et aux paragraphes 1, 2 et 3 du présent article.	6. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques, bien que conforme au présent règlement, présente les risques visés au paragraphe 1, elle demande aux autorités de surveillance du marché concernées de procéder à une évaluation de la conformité et de suivre les procédures visées à l’article 43 et aux paragraphes 1, 2 et 3 du présent article.

Amendement  149

 

Proposition de règlement

Article 46 – paragraphe 7

Texte proposé par la Commission	Amendement
7. Dans des circonstances exceptionnelles qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons suffisantes de considérer que le produit visé au paragraphe 6 continue de présenter les risques visés au paragraphe 1 et qu’aucune mesure effective n’a été prise par les autorités nationales de surveillance du marché concernées, la Commission peut demander à l’ENISA de procéder à une évaluation des risques présentés par ledit produit et en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent comme il se doit avec l’ENISA.	7. Dans des circonstances qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons suffisantes de considérer que le produit visé au paragraphe 6 continue de présenter les risques visés au paragraphe 1 et qu’aucune mesure effective n’a été prise par les autorités nationales de surveillance du marché concernées, la Commission demande à l’ENISA de procéder à une évaluation des risques présentés par ledit produit et en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent comme il se doit avec l’ENISA.

Amendement  150

 

Proposition de règlement

Article 48 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Les autorités de surveillance du marché peuvent convenir avec d’autres autorités compétentes de mener des activités conjointes visant à garantir la cybersécurité et la protection des consommateurs en ce qui concerne des produits spécifiques comportant des éléments numériques mis sur le marché ou mis à disposition sur le marché, en particulier des produits dont il est souvent constaté qu’ils présentent des risques de cybersécurité.	1. Les autorités de surveillance du marché mènent régulièrement des activités conjointes avec d’autres autorités compétentes, qui visent à garantir la cybersécurité et la protection des consommateurs en ce qui concerne des produits spécifiques comportant des éléments numériques mis sur le marché ou mis à disposition sur le marché, en particulier des produits dont il est souvent constaté qu’ils présentent des risques de cybersécurité. Ces activités comprennent des inspections des produits acquis sous une fausse identité.

Amendement  151

 

Proposition de règlement

Article 48 – paragraphe 2

Texte proposé par la Commission	Amendement
2. La Commission ou l’ENISA peuvent proposer des activités conjointes de contrôle du respect du présent règlement à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations relatives à une non-conformité potentielle, dans plusieurs États membres, de produits relevant du champ d’application du présent règlement, aux exigences fixées par ce dernier.	2. La Commission ou l’ENISA proposent des activités conjointes de contrôle du respect du présent règlement à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations relatives à une non-conformité potentielle, dans plusieurs États membres, de produits relevant du champ d’application du présent règlement, aux exigences fixées par ce dernier.

Amendement  152

 

Proposition de règlement

Article 49 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Les autorités de surveillance du marché peuvent décider de mener des actions de contrôle coordonnées et simultanées (opérations «coup de balai») concernant certains produits ou catégories de produits comportant des éléments numériques afin de vérifier le respect du présent règlement ou de détecter des infractions à celui-ci.	1. Les autorités de surveillance du marché mènent régulièrement des actions de contrôle coordonnées et simultanées (opérations «coup de balai») concernant certains produits ou catégories de produits comportant des éléments numériques afin de vérifier le respect du présent règlement ou de détecter des infractions à celui-ci.

Amendement  153

 

Proposition de règlement

Article 49 – paragraphe 2

Texte proposé par la Commission	Amendement
2. Sauf accord contraire des autorités de surveillance du marché participantes, les opérations «coup de balai» sont coordonnées par la Commission. Le coordonnateur de l’opération «coup de balai» peut, s’il y a lieu, publier les résultats agrégés de l’opération.	2. Sauf accord contraire des autorités de surveillance du marché participantes, les opérations «coup de balai» sont coordonnées par la Commission. Le coordonnateur de l’opération «coup de balai» publie, s’il y a lieu, les résultats agrégés de l’opération.

Amendement  154

 

Proposition de règlement

Article 49 – paragraphe 3

Texte proposé par la Commission	Amendement
3. L’ENISA peut identifier, dans l’exécution de ses tâches, y compris sur la base des notifications reçues conformément à l’article 11, paragraphes 1 et 2, des catégories de produits pour lesquelles des opérations «coup de balai» peuvent être organisées. La proposition d’opération «coup de balai» est soumise au coordonnateur potentiel visé au paragraphe 2 pour examen par les autorités de surveillance du marché.	3. L’ENISA identifie, dans l’exécution de ses tâches, y compris sur la base des notifications reçues conformément à l’article 11, paragraphes 1 et 2, des catégories de produits pour lesquelles des opérations «coup de balai» sont organisées. La proposition d’opération «coup de balai» est soumise au coordonnateur potentiel visé au paragraphe 2 pour examen par les autorités de surveillance du marché.

Amendement  155

 

Proposition de règlement

Article 49 – paragraphe 5

Texte proposé par la Commission	Amendement
5. Les autorités de surveillance du marché peuvent inviter des fonctionnaires de la Commission et d’autres personnes les accompagnant habilitées par la Commission à participer aux opérations «coup de balai».	5. Les autorités de surveillance du marché invitent des fonctionnaires de la Commission et d’autres personnes les accompagnant habilitées par la Commission à participer aux opérations «coup de balai».

Amendement  156

 

Proposition de règlement

Article 9 bis (nouveau)

Texte proposé par la Commission	Amendement
	Article 49 bis
	Fourniture de conseils techniques
	1. La Commission nomme, par un acte d’exécution, un groupe d’experts chargé de fournir des conseils techniques aux autorités de surveillance du marché sur des questions liées à la mise en œuvre et à l’exécution du présent règlement. L’acte d’exécution précise, entre autres, les détails liés à la composition du groupe, à son fonctionnement et à la rémunération de ses membres. En particulier, le groupe d’experts fournit des évaluations non contraignantes de produits comportant des éléments numériques, sur demande d’une autorité de surveillance du marché qui mène une enquête en vertu de l’article 43, et de la liste de produits critiques comportant des éléments numériques figurant à l’annexe II, ainsi que sur la nécessité éventuelle de la mettre à jour.
	2. Le groupe d’experts se compose d’experts indépendants nommés pour un mandat de trois ans renouvelable par la Commission sur la base de leur expertise scientifique ou technique dans le domaine.
	3. La Commission nomme un nombre d’experts jugé suffisant pour répondre aux besoins prévus.
	4. La Commission prend les mesures nécessaires pour gérer et prévenir tout conflit d’intérêts. Les déclarations d’intérêts des membres du groupe d’experts sont rendues publiques.
	5. Les experts nommés s’acquittent de leurs tâches avec le plus haut niveau de professionnalisme, d’indépendance, d’impartialité et d’objectivité.
	6. Lors de l’adoption de positions, d’avis et de rapports, le groupe d’experts s’efforce de parvenir à un consensus. En l’absence de consensus, les décisions sont prises à la majorité simple des membres du groupe.

Amendement  157

 

Proposition de règlement

Article 53 – paragraphe 1

Texte proposé par la Commission	Amendement
1. Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement par les opérateurs économiques et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions prévues sont effectives, proportionnées et dissuasives.	1. Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement par les opérateurs économiques et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions prévues sont effectives, proportionnées et dissuasives et tiennent compte des spécificités des micro, petites et moyennes entreprises.

Amendement  158

 

Proposition de règlement

Article 53 – paragraphe 6 – point a bis (nouveau)

Texte proposé par la Commission	Amendement
	a bis) le point de savoir si l’infraction est involontaire;

Amendement  159

 

Proposition de règlement

Article 53 – paragraphe 6 – point b

Texte proposé par la Commission	Amendement
b) la question de savoir si des amendes administratives ont déjà été imposées par d’autres autorités de surveillance du marché au même opérateur pour une infraction similaire;	b) la question de savoir si des amendes administratives ont déjà été imposées par les mêmes ou d’autres autorités de surveillance du marché au même opérateur pour une infraction similaire;

Amendement  160

 

Proposition de règlement

Article 53 – paragraphe 6 – point c

Texte proposé par la Commission	Amendement
c) la taille et la part de marché de l’opérateur qui commet l’infraction.	c) la taille et la part de marché de l’opérateur qui commet l’infraction, compte tenu de l’ampleur des risques, des conséquences et des spécificités financières des micro, petites et moyennes entreprises;

Amendement  161

 

Proposition de règlement

Article 53 – paragraphe 6 – point c bis (nouveau)

Texte proposé par la Commission	Amendement
	c bis) le comportement de l’opérateur une fois qu’il a été informé ou qu’il a pris connaissance de la non-conformité en question, y compris la question de savoir si l’opérateur, lorsqu’il a pris connaissance de la non-conformité, a appliqué toutes les mesures correctives appropriées ainsi que les mesures raisonnablement nécessaires pour éviter ou réduire au minimum d’éventuelles conséquences négatives.

Amendement  162

 

Proposition de règlement

Chapitre VII bis (nouveau)

Texte proposé par la Commission	Amendement
	MESURES DE SOUTIEN À L’INNOVATION

Amendement  163

 

Proposition de règlement

Article 53 bis (nouveau)

Texte proposé par la Commission	Amendement
	Article 53 bis
	Sas réglementaires
	La Commission et l’ENISA peuvent établir un sas réglementaire européen avec la participation volontaire de fabricants de produits comportant des éléments numériques afin:
	a) de ménager un environnement contrôlé qui facilite la mise au point, l’expérimentation et la validation de la conception, du développement et de la fabrication de produits comportant des éléments numériques, avant leur mise sur le marché ou leur mise en service conformément à un plan spécifique;
	b) d’offrir un accompagnement pratique aux opérateurs économiques, y compris au moyen de lignes directrices et de bonnes pratiques afin de satisfaire aux exigences essentielles énoncées à l’annexe I;
	c) de contribuer à l’apprentissage réglementaire fondé sur des données probantes.

Amendement  164

 

Proposition de règlement

Article 54 – titre

Texte proposé par la Commission	Amendement
Modification du règlement (UE) 2019/1020	Modifications du règlement (UE) 2019/1020 et de la directive 2020/1828/CE

Amendement  165

 

Proposition de règlement

Article 54 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission	Amendement
	1 bis. À l’annexe I de la directive 2020/1828/CE, le point suivant est ajouté:
	«67) [Règlement XXX] [législation sur la cyberrésilience].»

Amendement  166

 

Proposition de règlement

Article 54 bis (nouveau)

Texte proposé par la Commission	Amendement
	Article 54 bis
	Règlement délégué (UE) 2022/30
	Le présent règlement est conçu de telle sorte que tous les produits régis par les exigences essentielles établies à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE, telles que décrites dans le règlement délégué (UE) 2022/30, soient conformes au présent règlement. Afin de garantir la sécurité juridique, le règlement délégué (UE) 2022/30 est abrogé au moment de l’entrée en vigueur du présent règlement.

Amendement  167

 

Proposition de règlement

Article 57 – alinéa 2

Texte proposé par la Commission	Amendement
Il est applicable à partir du [24 mois après la date d’entrée en vigueur du présent règlement]. Cependant, l’article 11 s’applique à compter du [12 mois après la date d’entrée en vigueur du présent règlement].	Il est applicable à partir du [36 mois après la date d’entrée en vigueur du présent règlement]. En ce qui concerne les produits comportant des éléments critiques, les chapitres II, III, V et VII s’appliquent au plus tôt le [20 mois après la date de publication des normes harmonisées élaborées dans le cadre de la normalisation requise aux fins du présent règlement].
	Au plus tard six mois après la date d’entrée en vigueur du présent règlement, la Commission publie des lignes directrices relatives aux modalités d’application des exigences prévues par le présent règlement pour les produits immatériels.

Amendement  168

 

Proposition de règlement

Annexe I – partie 1 – point 3 – partie introductive

Texte proposé par la Commission	Amendement
3) Sur la base de l’évaluation des risques visée à l’article 10, paragraphe 2, les produits comportant des éléments numériques doivent, le cas échéant:	3) Sur la base de l’évaluation des risques de cybersécurité visée à l’article 10, paragraphe 2, les produits comportant des éléments numériques doivent, le cas échéant:

Amendement  169

 

Proposition de règlement

Annexe I – partie 1 – point 3 – sous-point -a (nouveau)

Texte proposé par la Commission	Amendement
	-a) être mis sur le marché sans aucune vulnérabilité exploitable connue à l’égard d’un dispositif ou réseau extérieur;

Amendement  170

 

Proposition de règlement

Annexe I – partie 1 – point 3 – sous-point a

Texte proposé par la Commission	Amendement
a) être livrés avec une configuration de sécurité par défaut, y compris la possibilité de réinitialiser le produit à son état d’origine;	a) être livrés avec une configuration de sécurité par défaut;

Amendement  171

 

Proposition de règlement

Annexe I – partie 1 – point 3 – point c

Texte proposé par la Commission	Amendement
c) protéger la confidentialité des données stockées, transmises ou traitées de toute autre manière, à caractère personnel ou autres, par exemple en chiffrant les données pertinentes au repos ou en transit au moyen de mécanismes de pointe;	c) protéger la confidentialité des données stockées, transmises ou traitées de toute autre manière, à caractère personnel ou autres, par exemple grâce au chiffrement, à la tokénisation, au contrôle compensatoire et à toute autre protection appropriée des données pertinentes au repos ou en transit au moyen de mécanismes de pointe;

Amendement  172

 

Proposition de règlement

Annexe I – partie 1 – point 3 – point d

Texte proposé par la Commission	Amendement
d) protéger l’intégrité des données stockées, transmises ou traitées de toute autre manière, à caractère personnel ou autres, des commandes, des programmes et de la configuration contre toute manipulation ou modification non autorisée par l’utilisateur, ainsi que signaler les corruptions;	d) protéger l’intégrité des données stockées, transmises ou traitées de toute autre manière, à caractère personnel ou autres, des commandes, des programmes et de la configuration contre toute manipulation ou modification non autorisée par l’utilisateur, ainsi que signaler les corruptions ou tout accès non autorisé potentiel;

Amendement  173

 

Proposition de règlement

Annexe I – partie 1 – point 3 – sous-point f

Texte proposé par la Commission	Amendement
f) protéger la disponibilité des fonctions essentielles, y compris la résilience et l’atténuation des attaques par déni de service;	f) protéger la disponibilité des fonctions essentielles et des fonctions de base, y compris la résilience et l’atténuation des attaques par déni de service;

Amendement  174

 

Proposition de règlement

Annexe I – partie 1 – point 3 – sous-point i

Texte proposé par la Commission	Amendement
i) être conçus, développés et fabriqués de manière à réduire les conséquences d’un incident, en utilisant des mécanismes et des techniques appropriés de limitation de l’exploitation de failles;	i) être conçus, développés et fabriqués de manière à réduire les conséquences d’un incident important, en utilisant des mécanismes et des techniques appropriés de limitation de l’exploitation de failles;

Amendement  175

 

Proposition de règlement

Annexe I – partie 1 – point 3 – sous-point j

Texte proposé par la Commission	Amendement
j) fournir des informations relatives à la sécurité en enregistrant et/ou en surveillant les activités internes pertinentes, y compris l’accès ou la modification des données, des services ou des fonctions;	j) fournir des informations relatives à la sécurité en communiquant, sur demande de l’utilisateur, les capacités d’enregistrement et/ou de surveillance, localement et au niveau du dispositif pour les activités internes pertinentes, y compris l’accès ou la modification des données, des services ou des fonctions;

Amendement  176

 

Proposition de règlement

Annexe I – partie 1 – point 3 – sous-point k

Texte proposé par la Commission	Amendement
k) garantir que les vulnérabilités puissent être traitées par des mises à jour de sécurité, y compris, le cas échéant, par des mises à jour automatiques et la notification des mises à jour disponibles aux utilisateurs.	k) garantir que les vulnérabilités puissent être traitées par des mises à jour de sécurité, y compris, le cas échéant, distinctes des mises à jour de fonctionnalités, et par des mises à jour automatiques et la notification des mises à jour disponibles aux utilisateurs;

Amendement  177

 

Proposition de règlement

Annexe I – partie 1 – point 3 – sous-point k bis (nouveau)

Texte proposé par la Commission	Amendement
	k bis) être conçus, élaborés et fabriqués de manière à permettre leur abandon sécurisé et leur recyclage éventuel lorsqu’ils parviennent à la fin de leur cycle de vie, notamment en permettant aux utilisateurs de se retirer et de supprimer de manière sécurisée toutes les données, et ce de manière permanente.

Amendement  178

 

Proposition de règlement

Annexe I – partie 2 – alinéa 1 – point 2

Texte proposé par la Commission	Amendement
2) s’agissant des risques posés aux produits comportant des éléments numériques, gérer et corriger sans délai les vulnérabilités, notamment en fournissant des mises à jour de sécurité;	2) s’agissant des risques posés aux produits comportant des éléments numériques, gérer et corriger sans délai les vulnérabilités critiques et élevées, notamment en fournissant des mises à jour de sécurité ou en consignant les motifs de non-correction des vulnérabilités;

Amendement  179

 

Proposition de règlement

Annexe I – partie 2 – alinéa 1 – point 4

Texte proposé par la Commission	Amendement
4) dès la publication d’une mise à jour de sécurité, divulguer publiquement des informations sur les vulnérabilités corrigées, en ce compris une description des vulnérabilités, des informations permettant aux utilisateurs d’identifier le produit concerné, les conséquences de ces vulnérabilités, leur gravité et des informations aidant les utilisateurs à y remédier;	4) dès la publication d’une mise à jour de sécurité, divulguer publiquement ou conformément aux bonnes pratiques du secteur des informations sur les vulnérabilités connues corrigées, en ce compris une description des vulnérabilités, des informations permettant aux utilisateurs d’identifier le produit concerné, les conséquences de ces vulnérabilités, leur gravité et des informations claires et accessibles aidant les utilisateurs à y remédier;

Amendement  180

 

Proposition de règlement

Annexe I – partie 2 – paragraphe 1 – point 4 bis (nouveau)

Texte proposé par la Commission	Amendement
	4 bis) partager et divulguer des informations concernant les corrections et les vulnérabilités de manière contrôlée, en respectant les principes de «réduction des risques» et les secrets d’affaires au moyen d’une divulgation responsable des vulnérabilités aux acteurs qui peuvent agir pour atténuer la vulnérabilité, et qui ne sont pas rendues publiques afin d’éviter le risque d’informer par inadvertance d’éventuelles personnes malveillantes;

Amendement  181

 

Proposition de règlement

Annexe I – partie 2 – alinéa 1 – point 7

Texte proposé par la Commission	Amendement
7) prévoir des mécanismes de distribution sécurisée des mises à jour pour les produits comportant des éléments numériques afin de s’assurer que les vulnérabilités exploitables soient corrigées ou atténuées rapidement;	7) prévoir des mécanismes de distribution sécurisée des mises à jour de sécurité pour les produits comportant des éléments numériques afin de s’assurer que les vulnérabilités exploitables soient corrigées ou atténuées rapidement;

Amendement  182

 

Proposition de règlement

Annexe I – partie 2 – alinéa 1 – point 8

Texte proposé par la Commission	Amendement
8) veiller à ce que, lorsque des correctifs ou des mises à jour de sécurité sont disponibles pour remédier à des problèmes de sécurité constatés, ils soient diffusés sans délai et gratuitement, et accompagnés de messages de recommandation fournissant aux utilisateurs les informations pertinentes, notamment sur les éventuelles mesures à prendre.	8) veiller à ce que, lorsque des correctifs ou des mises à jour de sécurité peuvent raisonnablement être mises à disposition pour remédier à des problèmes de sécurité constatés, les moyens par lesquels les utilisateurs peuvent les obtenir soient diffusés sans délai et gratuitement ou à un coût transparent et non discriminatoire, et accompagnés de messages de recommandation fournissant aux utilisateurs les informations pertinentes, notamment sur les éventuelles mesures à prendre.

Amendement  183

 

Proposition de règlement

Annexe II – alinéa 1 – point 2

Texte proposé par la Commission	Amendement
2) le point de contact où les informations sur les vulnérabilités du produit en matière de cybersécurité peuvent être signalées et reçues;	2) le point de contact unique où les informations sur les vulnérabilités du produit en matière de cybersécurité peuvent être signalées et reçues;

Amendement  184

 

Proposition de règlement

Annexe II – alinéa 1 – point 5

Texte proposé par la Commission	Amendement
5) toutes circonstances connues ou prévisibles liées à l’utilisation du produit comportant des éléments numériques conformément à son utilisation prévue ou dans des conditions de mauvaise utilisation raisonnablement prévisible, susceptibles d’entraîner des risques de cybersécurité importants;	supprimé

Amendement  185

 

Proposition de règlement

Annexe II – alinéa 1 – point 6

Texte proposé par la Commission	Amendement
6) le cas échéant, l’endroit où la nomenclature des logiciels peut être consultée;	6) le cas échéant, l’endroit où la nomenclature des logiciels peut être consultée par les autorités compétentes;

Amendement  186

 

Proposition de règlement

Annexe II – alinéa 1 – point 8

Texte proposé par la Commission	Amendement
8) le type d’assistance technique en matière de sécurité proposé par le fabricant et la date de fin de celle-ci, à tout le moins la date jusqu’à laquelle les utilisateurs peuvent s’attendre à recevoir des mises à jour de sécurité;	8. le type d’assistance technique en matière de sécurité proposé par le fabricant et la date de fin de celle-ci;

Amendement  187

 

Proposition de règlement

Annexe II – alinéa 1 – point 8 bis (nouveau)

Texte proposé par la Commission	Amendement
	8 bis) la date de fin de la durée de vie prévue du produit, clairement indiquée, le cas échéant, sur l’emballage du produit, jusqu’à laquelle le fabricant garantit le traitement efficace des vulnérabilités et la fourniture de mises à jour de sécurité;

Amendement  188

 

Proposition de règlement

Annexe II – alinéa 1 – point 9 – sous-point a

Texte proposé par la Commission	Amendement
a) les mesures nécessaires lors de la mise en service initiale du produit et pendant toute sa durée de vie pour assurer sa sécurité d’utilisation,	supprimé

Amendement  189

 

Proposition de règlement

Annexe II – alinéa 1 – point 9 – sous-point b

Texte proposé par la Commission	Amendement
b) la façon dont les modifications apportées au produit peuvent affecter la sécurité des données,	supprimé

Amendement  190

 

Proposition de règlement

Annexe II – alinéa 1 – point 9 – sous-point c bis (nouveau)

Texte proposé par la Commission	Amendement
	c bis) la durée de vie prévue du produit et la date jusqu’à laquelle le fabricant garantit le traitement efficace des vulnérabilités et la fourniture de mises à jour de sécurité;

Amendement  191

 

Proposition de règlement

Annexe II – alinéa 1 – point 9 – sous-point d

Texte proposé par la Commission	Amendement
d) la mise hors service sécurisée du produit, en ce compris des informations sur la manière dont les données utilisateur peuvent être supprimées en toute sécurité.	supprimé

Amendement  192

 

Proposition de règlement

Annexe III – classe I – point 3 bis (nouveau)

Texte proposé par la Commission	Amendement
	3 bis) plateformes d’authentification, d’autorisation et de traçabilité (AAA);

Amendement  193

 

Proposition de règlement

Annexe III – classe I – point 15

Texte proposé par la Commission	Amendement
15) interfaces réseau physiques;	15) interfaces réseau physiques et virtuelles;

Amendement  194

 

Proposition de règlement

Annexe III – classe I – point 18

Texte proposé par la Commission	Amendement
18) routeurs, modems destinés à la connexion à l’internet et commutateurs, non couverts par la classe II;	supprimé

Amendement  195

 

Proposition de règlement

Annexe III – classe I – point 23

Texte proposé par la Commission	Amendement
23) internet industriel des objets non couvert par la classe II.	23) produits industriels comportant des éléments numériques qui peuvent être désignés comme faisant partie de l’internet des objets non couvert par la classe II.

Amendement  196

 

Proposition de règlement

Annexe III – classe II – point 4

Texte proposé par la Commission	Amendement
4) pare-feu, systèmes de détection et/ou de prévention des intrusions destinés à un usage industriel;	4) pare-feu, passerelles de sécurité, systèmes de détection et/ou de prévention des intrusions destinés à un usage industriel;

Amendement  197

 

Proposition de règlement

Annexe III – classe II – point 7

Texte proposé par la Commission	Amendement
7) routeurs, modems destinés à la connexion à l’internet et commutateurs, destinés à un usage industriel;	7. routeurs, modems destinés à la connexion à l’internet, commutateurs et autres nœuds de réseau nécessaires à la fourniture du service de connectivité;

Amendement  198

 

Proposition de règlement

Annexe IV bis (nouveau)

Texte proposé par la Commission	Amendement
	ANNEXE IV bis
	DÉCLARATION UE D’INCORPORATON POUR LES QUASI-PRODUITS COMPORTANT DES ÉLÉMENTS NUMÉRIQUES
	La déclaration UE d’incorporation pour les quasi-produits comportant des éléments numériques prévue à l’article 20 bis contient l’ensemble des informations suivantes:
	1. nom et type, ainsi que toute information supplémentaire permettant l’identification unique du quasi-produit comportant des éléments numériques;
	2. objet de la déclaration (identification du quasi-produit permettant sa traçabilité; au besoin, une photographie peut être jointe);
	3. une mention indiquant que le quasi-produit décrit ci-dessus est conforme à la législation d’harmonisation de l’Union applicable;
	4. les références de tout acte de l’Union pertinent concerné, y compris ses références de publication;
	5. informations supplémentaires:
	Signé par et au nom de: …………………………………
	(date et lieu d’établissement):
	(nom, fonction) (signature):

Amendement  199

 

Proposition de règlement

Annexe V – alinéa 1 – point 1 – sous-point a

Texte proposé par la Commission	Amendement
a) l’utilisation prévue;	supprimé

Amendement  200

 

Proposition de règlement

Annexe V – alinéa 1 – point 2

Texte proposé par la Commission	Amendement
2) une description de la conception, du développement et de la fabrication du produit et des processus de gestion des vulnérabilités, et notamment:	supprimé
a) des informations complètes sur la conception et le développement du produit comportant des éléments numériques, y compris, le cas échéant, des dessins et des schémas et/ou une description de l’architecture du système expliquant comment les composants logiciels s’appuient les uns sur les autres ou s’alimentent et s’intègrent dans le traitement global;
b) des informations et des spécifications complètes concernant le processus de gestion des vulnérabilités mis en place par le fabricant, en ce compris la nomenclature des logiciels, la politique coordonnée de divulgation des vulnérabilités, la preuve de la fourniture d’une adresse de contact pour le signalement des vulnérabilités et une description des solutions techniques choisies pour la distribution sécurisée des mises à jour;
c) des informations et des spécifications complètes concernant les processus de production et de suivi du produit comportant des éléments numériques et la validation de ces processus;

Amendement  201

 

Proposition de règlement

Annexe V – alinéa 1 – point 3

Texte proposé par la Commission	Amendement
3) une évaluation des risques de cybersécurité sur la base de laquelle le produit comportant des éléments numériques est conçu, développé, produit, livré et entretenu, conformément à l’article 10 du présent règlement;	3) une déclaration ou un résumé des risques de cybersécurité sur la base desquels le produit comportant des éléments numériques est conçu, développé, fabriqué, livré et entretenu, conformément à l’article 10 du présent règlement et, sur requête motivée d’une autorité de surveillance du marché, pour autant que cela soit nécessaire afin que cette autorité soit en mesure de vérifier la conformité au regard des exigences essentielles énoncées à l’annexe I, une évaluation détaillée des risques de cybersécurité sur la base desquels le produit comportant des éléments numériques est conçu, développé, produit, livré et entretenu, conformément à l’article 10 du présent règlement;

 

ANNEXE: LISTE DES ENTITÉS OU PERSONNES
AYANT APPORTÉ LEUR CONTRIBUTION AU RAPPORTEUR

La liste ci-après est établie, sur une base purement volontaire, sous la responsabilité exclusive du rapporteur. Le rapporteur a reçu des contributions des entités ou personnes suivantes pour l’élaboration du projet d’avis:

 

Entité et/ou personne

Apple

BDI Federation of German Industries

BEUC

BSA The Software Alliance

Confederation of Danish Industries

Digital Europe

ETNO

Kaspersky

Microsoft

Samsung

TIC Council

Xiaomi

 

 

PROCÉDURE DE LA COMMISSION SAISIE POUR AVIS

Titre	Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020
Références	COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)
Commission compétente au fond  Date de l’annonce en séance	ITRE 9.11.2022
Avis émis par  Date de l’annonce en séance	IMCO 9.11.2022
Commissions associées - date de l’annonce en séance	20.4.2023
Rapporteur(e) pour avis  Date de la nomination	Morten Løkkegaard 16.12.2022
Examen en commission	2.3.2023	25.4.2023	23.5.2023
Date de l’adoption	29.6.2023
Résultat du vote final	+: –: 0:	41 1 0
Membres présents au moment du vote final	Alex Agius Saliba, Andrus Ansip, Pablo Arias Echeverría, Alessandra Basso, Biljana Borzan, Vlad-Marius Botoş, Anna Cavazzini, Dita Charanzová, Deirdre Clune, David Cormand, Alexandra Geese, Maria Grapini, Svenja Hahn, Krzysztof Hetman, Virginie Joron, Eugen Jurzyca, Arba Kokalari, Kateřina Konečná, Andrey Kovatchev, Maria-Manuel Leitão-Marques, Antonius Manders, Beata Mazurek, Leszek Miller, Anne-Sophie Pelletier, Miroslav Radačovský, René Repasi, Christel Schaldemose, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Kim Van Sparrentak, Marion Walsmann
Suppléants présents au moment du vote final	Marco Campomenosi, Maria da Graça Carvalho, Geoffroy Didier, Francisco Guerreiro, Tsvetelina Penkova, Catharina Rinzema, Kosma Złotowski
Suppléants (art. 209, par. 7) présents au moment du vote final	Asger Christensen, Nicolás González Casares, Grzegorz Tobiszowski

 

VOTE FINAL PAR APPEL NOMINAL
EN COMMISSION SAISIE POUR AVIS

41	+
ECR	Beata Mazurek, Grzegorz Tobiszowski, Kosma Złotowski
ID	Alessandra Basso, Marco Campomenosi, Virginie Joron
NI	Miroslav Radačovský
PPE	Pablo Arias Echeverría, Maria da Graça Carvalho, Deirdre Clune, Geoffroy Didier, Krzysztof Hetman, Arba Kokalari, Andrey Kovatchev, Antonius Manders, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Marion Walsmann
Renew	Andrus Ansip, Vlad-Marius Botoş, Dita Charanzová, Asger Christensen, Svenja Hahn, Catharina Rinzema
S&D	Alex Agius Saliba, Biljana Borzan, Nicolás González Casares, Maria Grapini, Maria-Manuel Leitão-Marques, Leszek Miller, Tsvetelina Penkova, René Repasi, Christel Schaldemose
The Left	Kateřina Konečná, Anne-Sophie Pelletier
Verts/ALE	Anna Cavazzini, David Cormand, Alexandra Geese, Francisco Guerreiro, Kim Van Sparrentak

 

1	-
ECR	Eugen Jurzyca

 

0	0

 

Légende des signes utilisés:

+ : pour

- : contre

0 : abstention

 

 

PROCÉDURE DE LA COMMISSION COMPÉTENTE AU FOND

Titre	Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020
Références	COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)
Date de la présentation au PE	15.9.2022
Commission compétente au fond  Date de l’annonce en séance	ITRE 9.11.2022
Commissions saisies pour avis  Date de l’annonce en séance	IMCO 9.11.2022	LIBE 9.11.2022
Commissions associées  Date de l’annonce en séance	LIBE 20.4.2023	IMCO 20.4.2023
Rapporteurs  Date de la nomination	Nicola Danti 26.10.2022
Examen en commission	25.4.2023
Date de l’adoption	19.7.2023
Résultat du vote final	+: –: 0:	61 1 10
Membres présents au moment du vote final	Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Vasile Blaga, Michael Bloss, Paolo Borchia, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Ignazio Corrao, Beatrice Covassi, Nicola Danti, Marie Dauchy, Pilar del Castillo Vera, Martina Dlabajová, Christian Ehler, Valter Flego, Niels Fuglsang, Jens Geier, Nicolás González Casares, Christophe Grudler, Henrike Hahn, Robert Hajšel, Ivo Hristov, Ivars Ijabs, Romana Jerković, Seán Kelly, Zdzisław Krasnodębski, Andrius Kubilius, Thierry Mariani, Marisa Matias, Marina Mesure, Dan Nica, Niklas Nienass, Ville Niinistö, Johan Nissinen, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Manuela Ripa, Robert Roos, Sara Skyttedal, Maria Spyraki, Grzegorz Tobiszowski, Patrizia Toia, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho
Suppléants présents au moment du vote final	Damian Boeselager, Franc Bogovič, Francesca Donato, Matthias Ecke, Ladislav Ilčić, Elena Lizzi, Dace Melbārde, Jutta Paulus, Massimiliano Salini, Jordi Solé, Susana Solís Pérez, Ivan Štefanec, Nils Torvalds, Emma Wiesner
Suppléants (art. 209, par. 7) présents au moment du vote final	Rosanna Conte, Arnaud Danjean, César Luena, Nicola Procaccini, Elżbieta Rafalska, Antonio Maria Rinaldi, Daniela Rondinelli, Nacho Sánchez Amor, Edina Tóth
Date du dépôt	27.7.2023

VOTE FINAL PAR APPEL NOMINAL EN COMMISSION COMPÉTENTE AU FOND

61	+
ECR	Ladislav Ilčić, Zdzisław Krasnodębski, Nicola Procaccini, Elżbieta Rafalska, Grzegorz Tobiszowski
NI	Francesca Donato, Edina Tóth
PPE	François-Xavier Bellamy, Hildegard Bentele, Vasile Blaga, Franc Bogovič, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Pilar del Castillo Vera, Arnaud Danjean, Christian Ehler, Seán Kelly, Andrius Kubilius, Dace Melbārde, Markus Pieper, Massimiliano Salini, Maria Spyraki, Ivan Štefanec, Henna Virkkunen, Pernille Weiss
Renew	Nicola Beer, Nicola Danti, Martina Dlabajová, Valter Flego, Christophe Grudler, Ivars Ijabs, Mauri Pekkarinen, Morten Petersen, Susana Solís Pérez, Nils Torvalds, Emma Wiesner
S&D	Beatrice Covassi, Matthias Ecke, Niels Fuglsang, Jens Geier, Nicolás González Casares, Robert Hajšel, Ivo Hristov, Romana Jerković, César Luena, Dan Nica, Tsvetelina Penkova, Daniela Rondinelli, Nacho Sánchez Amor, Patrizia Toia, Carlos Zorrinho
Verts/ALE	Michael Bloss, Damian Boeselager, Ignazio Corrao, Henrike Hahn, Niklas Nienass, Ville Niinistö, Jutta Paulus, Manuela Ripa, Jordi Solé

 

1	-
The Left	Marina Mesure

 

10	0
ECR	Johan Nissinen, Robert Roos
ID	Paolo Borchia, Rosanna Conte, Marie Dauchy, Elena Lizzi, Thierry Mariani, Antonio Maria Rinaldi
PPE	Sara Skyttedal
The Left	Marisa Matias

 

Légende des signes utilisés:

+ : pour

- : contre

0 : abstention

 

• [1] JO C 100 du 16.3.2023, p. 101.
• [*] Amendements: le texte nouveau ou modifié est signalé par des italiques gras; les suppressions sont signalées par le symbole ▌.
• [2] JO C 100 du 16.3.2023, p. 101.
• [3] JO C , , p. .
• [4] Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) nº 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).
• [5]  Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).
• [6]  Règlement (UE) 2023/988 du Parlement européen et du Conseil du 10 mai 2023 relatif à la sécurité générale des produits, modifiant le règlement (UE) no 1025/2012 du Parlement européen et du Conseil et la directive (UE) 2020/1828 du Parlement européen et du Conseil, et abrogeant la directive 2001/95/CE du Parlement européen et du Conseil et la directive 87/357/CEE du Conseil (JO L 135 du 23.5.2023, p. 1).
• [7] JOIN(2020) 18 final, https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=JOIN:2020:18:FIN.
• [8] 2021/2568(RSP), https://www.europarl.europa.eu/doceo/document/TA-9-2021-0286_FR.html.
• [9] Conférence sur l’avenir de l’Europe – Rapport sur les résultats finaux, mai 2022, proposition 28, point 2. La conférence s’est tenue entre avril 2021 et mai 2022. Il s’est agi d’un exercice unique de démocratie délibérative menée par les citoyens à l’échelle paneuropéenne, qui a impliqué des milliers de citoyens européens ainsi que des acteurs politiques, des partenaires sociaux, des représentants de la société civile et des parties prenantes clefs.
• [10]  The impact of open source software and hardware on technological independence, competitiveness and innovation in the EU economy (Les incidences des logiciels et matériels ouverts sur l’indépendance technologique, la compétitivité et l’innovation dans l’économie de l’Union), Commission européenne, 6 septembre 2021 https://ec.europa.eu/newsroom/dae/redirection/document/79021
• [11] Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) nº 178/2002 et le règlement (CE) nº 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE (JO L 117 du 5.5.2017, p. 1).
• [12] Règlement (UE) 2017/746 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux de diagnostic in vitro et abrogeant la directive 98/79/CE et la décision 2010/227/UE de la Commission (JO L 117 du 5.5.2017, p. 176).
• [13] MDCG 2019-16, approuvé par le groupe de coordination en matière de dispositifs médicaux (GCDM) institué par l’article 103 du règlement (UE) 2017/745.
• [14] Règlement (UE) 2019/2144 du Parlement européen et du Conseil du 27 novembre 2019 relatif aux prescriptions applicables à la réception par type des véhicules à moteur et de leurs remorques, ainsi que des systèmes, composants et entités techniques distinctes destinés à ces véhicules, en ce qui concerne leur sécurité générale et la protection des occupants des véhicules et des usagers vulnérables de la route, modifiant le règlement (UE) 2018/858 du Parlement européen et du Conseil et abrogeant les règlements (CE) nº 78/2009, (CE) nº 79/2009 et (CE) nº 661/2009 du Parlement européen et du Conseil et les règlements (CE) nº 631/2009, (UE) nº 406/2010, (UE) nº 672/2010, (UE) nº 1003/2010, (UE) nº 1005/2010, (UE) nº 1008/2010, (UE) nº 1009/2010, (UE) nº 19/2011, (UE) nº 109/2011, (UE) nº 458/2011, (UE) nº 65/2012, (UE) nº 130/2012, (UE) nº 347/2012, (UE) nº 351/2012, (UE) nº 1230/2012 et (UE) 2015/166 de la Commission (JO L 325 du 16.12.2019, p. 1).
• [15] Règlement ONU nº 155 – Prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne la cybersécurité et de leurs systèmes de gestion de la cybersécurité [2021/387].
• [16] Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) nº 2111/2005, (CE) nº 1008/2008, (UE) nº 996/2010, (UE) nº 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) nº 552/2004 et (CE) nº 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) nº 3922/91 du Conseil (JO L 212 du 22.8.2018, p. 1).
• [17] Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).
• [18]  Règlement (UE) nº 167/2013 du Parlement européen et du Conseil du 5 février 2013 relatif à la réception et à la surveillance du marché des véhicules agricoles et forestiers (JO L 60 du 2.3.2013, p. 1).
• [19] Règlement délégué (UE) 2022/30 de la Commission du 29 octobre 2021 complétant la directive 2014/53/UE du Parlement européen et du Conseil en ce qui concerne l’application des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de cette directive (JO L 7 du 12.1.2022, p. 6).
• [20] Directive 85/374/CEE du Conseil du 25 juillet 1985 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de responsabilité du fait des produits défectueux (JO L 210 du 7.8.1985, p. 29).
• [21] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
• [22] Règlement [le règlement sur l’IA].
• [23]  Règlement (UE) 2023/1230 du Parlement européen et du Conseil du 14 juin 2023 sur les machines, abrogeant la directive 2006/42/CE du Parlement européen et du Conseil et la directive 73/361/CEE du Conseil (JO L 165 du 29.6.2014, p. 1).
• [24] Voir la communication conjointe au Parlement européen, au Conseil européen et au Conseil sur la «stratégie européenne en matière de sécurité économique» (JOIN(2023) 20).
• [25] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (JO L 201 du 31.7.2002, p. 37).
• [26] Règlement (UE) nº 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision nº 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).
• [27] Règlement (CE) nº 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et abrogeant le règlement (CEE) nº 339/93 (JO L 218 du 13.8.2008, p. 30).
• [28] Décision nº 768/2008/CE du Parlement européen et du Conseil du 9 juillet 2008 relative à un cadre commun pour la commercialisation des produits et abrogeant la décision 93/465/CEE du Conseil (JO L 218 du 13.8.2008, p. 82).
• [29] Règlement (UE) 2019/1020 du Parlement européen et du Conseil du 20 juin 2019 sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) nº 765/2008 et (UE) nº 305/2011 (JO L 169 du 25.6.2019, p. 1).
• [30] JO L 123 du 12.5.2016, p. 1.
• [31] Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
• [32] Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
• [33] JO C 452 du 29.11.2022, p. 23.
• [34]  Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises [notifiée sous le numéro de document C(2003) 1422] (JO L 124 du 20.5.2003, p. 36).
• [35]  Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE, (JO L 94 du 28.3.2014, p. 65).
• [36]  Directive 2014/25/UE du Parlement européen et du Conseil du 26 février 2014 relative à la passation de marchés par des entités opérant dans les secteurs de l’eau, de l’énergie, des transports et des services postaux et abrogeant la directive 2004/17/CE (JO L 94 du 28.3.2014, p. 243).
• [37]  Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (JO L 178 du 17.7.2000, p. 1).
• [38] Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (JO L 157 du 15.6.2016, p. 1).
• [39]  Directive (UE) 2020/1828 du Parlement européen et du Conseil du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE (JO L 409 du 4.12.2020, p. 1).