(1)

La cybersécurité est l’un des grands enjeux de l’Union. Le nombre et la diversité des dispositifs connectés ne cesseront d’augmenter dans les prochaines années. Les cyberattaques sont une question d’intérêt public, car elles ont des conséquences très importantes non seulement sur l’économie de l’Union, mais également sur la démocratie ainsi que sur la sécurité des consommateurs et sur la santé. Il est dès lors nécessaire de renforcer l’approche de l’Union en matière de cybersécurité, d’aborder la cyberrésilience au niveau de l’Union et d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme concernant les exigences essentielles de cybersécurité aux fins de la mise sur le marché de l’Union de produits comportant des éléments numériques. Deux problèmes majeurs représentant des coûts supplémentaires pour les utilisateurs et la société devraient être réglés: d’une part, le niveau de cybersécurité des produits comportant des éléments numériques est faible, comme en témoignent les vulnérabilités généralisées et le manque de mises à jour de sécurité déployées de manière cohérente pour y remédier, et, d’autre part, les utilisateurs n’ont pas suffisamment accès aux informations et ne les comprennent pas bien, ce qui les empêche de choisir des produits dotés de propriétés de cybersécurité adéquates ou de les utiliser de manière sécurisée.

(2)

Le présent règlement vise à définir les conditions aux limites pour le développement de produits sécurisés comportant des éléments numériques en faisant en sorte que les produits matériels et logiciels mis sur le marché présentent moins de vulnérabilités et que les fabricants prennent la sécurité au sérieux tout au long du cycle de vie d’un produit. Il a également pour but de créer des conditions permettant aux utilisateurs de prendre en considération la cybersécurité lorsqu’ils sélectionnent et utilisent des produits comportant des éléments numériques, en améliorant par exemple la transparence concernant la période d’assistance pour les produits comportant des éléments numériques mis à disposition sur le marché.

(3)

Le droit pertinent de l’Union en vigueur comprend plusieurs ensembles de règles horizontales qui traitent de certains aspects liés à la cybersécurité sous différents angles, y compris des mesures destinées à améliorer la sécurité de la chaîne d’approvisionnement numérique. Toutefois, le droit existant de l’Union relatif à la cybersécurité, dont le règlement (UE) 2019/881 du Parlement européen et du Conseil (3) et la directive (UE) 2022/2555 du Parlement européen et du Conseil (4), ne couvre pas directement les exigences contraignantes en matière de sécurité des produits comportant des éléments numériques.

(4)

Bien que le droit de l’Union en vigueur s’applique à certains produits comportant des éléments numériques, il n’existe pas de cadre réglementaire horizontal de l’Union établissant des exigences complètes en matière de cybersécurité pour tous les produits comportant des éléments numériques. Les différents actes et initiatives adoptés à ce jour aux niveaux européen et national n’abordent qu’en partie les problèmes et risques recensés concernant la cybersécurité, ce qui a pour effet de créer une mosaïque législative au sein du marché intérieur et d’accroître l’insécurité juridique tant pour les fabricants que pour les utilisateurs de ces produits et d’alourdir inutilement la charge imposée aux entreprises et aux organisations pour se conformer à un certain nombre d’exigences et d’obligations pour des types de produits similaires. La cybersécurité de ces produits revêt une dimension transfrontière particulièrement forte, étant donné que les produits comportant des éléments numériques fabriqués dans un État membre ou un pays tiers sont souvent utilisés par des organisations et des consommateurs dans l’ensemble du marché intérieur. Il est donc nécessaire de réglementer cette question au niveau de l’Union afin d’assurer un cadre réglementaire harmonisé et de garantir la sécurité juridique aux utilisateurs, aux organisations et aux entreprises, dont les microentreprises et les petites et moyennes entreprises telles que définies à l’annexe de la recommandation 2003/361/CE de la Commission (5). Le paysage réglementaire de l’Union devrait être harmonisé en introduisant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques. Il convient en outre de garantir, dans l’ensemble de l’Union, la sécurité juridique des opérateurs économiques et des utilisateurs, ainsi qu’une meilleure harmonisation du marché intérieur et la proportionnalité pour les microentreprises et les petites et moyennes entreprises, en créant des conditions plus viables pour les opérateurs économiques désireux de pénétrer sur le marché de l’Union.

(5)

En ce qui concerne les microentreprises et les petites et moyennes entreprises, les dispositions de l’annexe de la recommandation 2003/361/CE devraient être appliquées dans leur intégralité pour déterminer la catégorie dont relève une entreprise. Par conséquent, lors du calcul des effectifs et des seuils financiers définissant les catégories d’entreprises, les dispositions de l’article 6 de l’annexe de la recommandation 2003/361/CE relatives à la détermination des données de l’entreprise eu égard à certains types d’entreprises, telles que les entreprises partenaires ou liées, devraient également s’appliquer.

(6)

Il convient que la Commission fournisse des orientations afin d’aider les opérateurs économiques, en particulier les microentreprises et les petites et moyennes entreprises, à appliquer le présent règlement. Ces orientations devraient couvrir, entre autres, le champ d’application du présent règlement, en particulier la notion de «traitement de données à distance» et ses implications pour les développeurs de logiciels libres et ouverts, l’application des critères employés pour définir la période d’assistance pour les produits comportant des éléments numériques, l’interaction entre le présent règlement et d’autres actes législatifs de l’Union ainsi que la notion de modification substantielle.

(7)

Au niveau de l’Union, divers documents programmatiques et politiques, tels que la communication conjointe de la Commission et du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité, datée du 16 décembre 2020 et intitulée «La stratégie de cybersécurité de l’Union pour la décennie numérique», les conclusions du Conseil du 2 décembre 2020 sur la cybersécurité des dispositifs connectés et du 23 mai 2022 sur la mise en place d’une posture cyber de l’Union européenne ou encore la résolution du Parlement européen du 10 juin 2021 sur la stratégie de cybersécurité de l’Union pour la décennie numérique (6), appelaient à l’adoption par l’Union d’exigences spécifiques en matière de cybersécurité pour les produits numériques ou connectés, étant donné que plusieurs pays tiers introduisent des mesures pour réglementer cette question de leur propre initiative. Dans le rapport final de la conférence sur l’avenir de l’Europe, les citoyens ont préconisé de «renforcer le rôle de l’Union dans la lutte contre les menaces de cybersécurité». Afin de permettre à l’Union de jouer un rôle de premier plan sur la scène internationale dans le domaine de la cybersécurité, il importe d’établir un cadre réglementaire ambitieux.

(8)

Pour accroître le niveau global de cybersécurité de tous les produits comportant des éléments numériques mis sur le marché intérieur, il est nécessaire d’introduire des exigences essentielles de cybersécurité, axées sur l’objectif et technologiquement neutres pour ces produits, qui s’appliquent horizontalement.

(9)

Dans certaines conditions, tous les produits comportant des éléments numériques intégrés ou connectés à un système d’information électronique plus vaste peuvent servir de vecteur d’attaque pour des acteurs malveillants. En conséquence, même le matériel et les logiciels considérés comme moins critiques peuvent faciliter une première compromission d’un appareil ou d’un réseau, permettant à des acteurs malveillants d’obtenir un accès privilégié à un système ou de se déplacer latéralement entre différents systèmes. Les fabricants devraient donc veiller à ce que tous les produits comportant des éléments numériques soient conçus et développés conformément aux exigences essentielles de cybersécurité prévues par le présent règlement. Cette obligation concerne à la fois les produits qui peuvent être connectés physiquement via des interfaces matérielles et les produits qui sont connectés logiquement, notamment par des connecteurs logiciels, tuyauteries, fichiers, interfaces de programmation d’application ou tout autre type d’interface logicielle. Étant donné que les cybermenaces peuvent se propager via divers produits comportant des éléments numériques avant d’atteindre une cible donnée, par exemple en enchaînant plusieurs exploits de vulnérabilité, les fabricants devraient également assurer la cybersécurité des produits comportant des éléments numériques qui ne sont connectés qu’indirectement à d’autres dispositifs ou réseaux.

(10)

L’établissement d’exigences de cybersécurité des produits comportant des éléments numériques aux fins de leur mise sur le marché vise à renforcer la cybersécurité de ces produits, tant pour les consommateurs que pour les entreprises. Ces exigences garantiront, en outre, que la cybersécurité est intégrée à tous les stades des chaînes d’approvisionnement, rendant ainsi plus sûrs les produits finaux comportant des éléments numériques et leurs composants. Parmi ces exigences figurent également des exigences de mise sur le marché applicables aux produits de consommation destinés aux consommateurs vulnérables, tels que les jouets ou les systèmes de surveillance pour bébé. Les produits de consommation comportant des éléments numériques qui sont catégorisés, en vertu du présent règlement, comme des produits importants comportant des éléments numériques présentent un risque de cybersécurité plus élevé car leur fonction comporte un risque important d’effets néfastes du fait de leur intensité et de leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs; aussi ces produits devraient-ils faire l’objet d’une procédure plus stricte d’évaluation de la conformité. Cela s’applique aux produits tels que les produits domestiques intelligents comportant des fonctionnalités de sécurité, y compris les serrures intelligentes, les systèmes de surveillances pour bébés et les systèmes d’alarme, les jouets connectés ou les dispositifs portables personnels de santé. En outre, les procédures d’évaluation de la conformité plus strictes auxquelles sont soumis les produits comportant des éléments numériques qui sont catégorisés, en vertu du présent règlement, comme produits critiques ou importants comportant des éléments numériques contribueront à prévenir les répercussions négatives que l’exploitation de vulnérabilités pourrait avoir sur les consommateurs.

(11)

Le présent règlement vise à garantir un niveau élevé de cybersécurité des produits comportant des éléments numériques et de leurs solutions intégrées de traitement de données à distance. Ces solutions de traitement de données à distance devraient être définies comme le traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant du produit comportant des éléments numériques concerné ou au nom de celui-ci, et dont l’absence empêcherait le produit d’exécuter l’une de ses fonctions. Grâce à cette approche, les produits concernés sont sécurisés dans leur intégralité et de façon adéquate par leur fabricant, que les données soient traitées ou stockées localement, sur l’appareil de l’utilisateur, ou à distance, par le fabricant. Cependant, le traitement ou le stockage des données à distance ne relèvent du champ d’application du présent règlement que s’ils sont nécessaires à l’exécution des fonctions d’un produit comportant des éléments numériques. Le traitement ou le stockage à distance comprend les cas où une application mobile a besoin d’accéder à une interface de programmation d’application ou à une base de données fournie par l’intermédiaire d’un service développé par le fabricant. Dans cette situation, le service constitue une solution de traitement de données à distance et relève donc du champ d’application du présent règlement. Par conséquent, les exigences relatives aux solutions de traitement de données à distance qui relèvent du champ d’application du présent règlement ne comportent pas de mesures techniques, opérationnelles ou organisationnelles visant à gérer les risques qui pèsent sur la sécurité des réseaux et systèmes d’information d’un fabricant dans leur ensemble.

(12)

Les solutions en nuage ne constituent des solutions de traitement de données à distance au sens du présent règlement que si elles répondent à la définition énoncée dans ce dernier. Par exemple, les fonctionnalités en nuage fournies par un fabricant d’appareils domestiques intelligents qui permettent aux utilisateurs de contrôler l’appareil à distance relèvent du champ d’application du présent règlement. À l’inverse, les sites internet qui ne supportent pas la fonctionnalité d’un produit comportant des éléments numériques ou les services en nuage qui ne sont pas conçus et développés sous la responsabilité du fabricant d’un produit comportant des éléments numériques ne relèvent pas du champ d’application du présent règlement. La directive (UE) 2022/2555 s’applique aux services d’informatique en nuage et aux modèles de services en nuage, tels que les logiciels service (SaaS), les plates-formes services (PaaS) et les infrastructures services (IaaS). Les entités qui fournissent des services d’informatique en nuage dans l’Union et qui répondent à la définition des moyennes entreprises énoncée à l’article 2 de l’annexe à la recommandation 2003/361/CE, ou qui dépassent les plafonds applicables aux moyennes entreprises prévus au paragraphe 1 dudit article, relèvent du champ d’application de cette directive.

(13)

Conformément à l’objectif du présent règlement consistant à éliminer les obstacles à la libre circulation des produits comportant des éléments numériques, les États membres ne devraient pas empêcher, pour les aspects relevant du présent règlement, la mise à disposition sur le marché de produits comportant des éléments numériques conformes au présent règlement. Par conséquent, en ce qui concerne les questions harmonisées par le présent règlement, les États membres ne peuvent pas imposer d’exigences de cybersécurité supplémentaires pour la mise à disposition sur le marché de produits comportant des éléments numériques. Cependant, toute entité, qu’elle soit publique ou privée, peut imposer des exigences, en plus de celles prévues par le présent règlement, pour l’achat de produits comportant des éléments numériques ou leur utilisation à des fins qui lui sont propres, et peut donc choisir d’utiliser des produits comportant des éléments numériques répondant à des exigences de cybersécurité plus strictes ou plus spécifiques que celles qui s’appliquent à la mise à disposition sur le marché en vertu du présent règlement. Sans préjudice des directives 2014/24/UE (7) et 2014/25/UE (8) du Parlement européen et du Conseil, les États membres devraient veiller, lorsqu’ils achètent des produits comportant des éléments numériques qui doivent respecter les exigences essentielles de cybersécurité prévues par le présent règlement, y compris celles relatives à la gestion des vulnérabilités, à ce qu’il soit tenu compte de ces exigences, ainsi que de la capacité du fabricant à appliquer des mesures de cybersécurité et à gérer les cybermenaces de façon efficace, lors des procédures de passation de marchés. En outre, la directive (UE) 2022/2555 établit des mesures de gestion des risques en matière de cybersécurité applicables aux entités essentielles et importantes visées à l’article 3 de ladite directive. Ces mesures pourraient entraîner des mesures de sécurité de la chaîne d’approvisionnement nécessitant l’utilisation, par ces entités, de produits comportant des éléments numériques qui répondent à des exigences de cybersécurité plus strictes que celles prévues par le présent règlement. Conformément à la directive (UE) 2022/2555 et dans le respect de son principe d’harmonisation minimale, les États membres peuvent donc imposer des exigences de cybersécurité supplémentaires applicables à l’utilisation de produits des technologies de l’information et de la communication (TIC) par des entités essentielles ou importantes au titre de ladite directive afin d’assurer un niveau plus élevé de cybersécurité, à condition que ces exigences soient compatibles avec les obligations des États membres prévues par le droit de l’Union. Les facteurs non techniques liés aux produits comportant des éléments numériques et aux fabricants de ces derniers peuvent compter parmi les questions qui ne sont pas régies par le présent règlement. Les États membres peuvent donc adopter des mesures nationales, y compris des restrictions applicables aux produits comportant des éléments numériques ou aux fournisseurs de ces produits, qui tiennent compte de facteurs non techniques. Les mesures nationales liées à ces facteurs sont nécessaires pour respecter le droit de l’Union.

(14)

Le présent règlement devrait être sans préjudice de la responsabilité des États membres de préserver la sécurité nationale, conformément au droit de l’Union. Les États membres devraient être en mesure de soumettre à des mesures supplémentaires les produits comportant des éléments numériques achetés ou utilisés à des fins de sécurité nationale ou de défense, à condition que ces mesures soient conformes aux obligations des États membres prévues par le droit de l’Union.

(15)

Le présent règlement ne s’applique aux opérateurs économiques qu’en ce qui concerne les produits comportant des éléments numériques mis à disposition sur le marché, donc fournis pour être distribués ou utilisés sur le marché de l’Union dans le cadre d’une activité commerciale. La fourniture dans le cadre d’une activité commerciale peut être caractérisée non seulement par le prix facturé pour un produit comportant des éléments numériques, mais également par le prix des services d’assistance technique lorsqu’il ne sert pas uniquement à récupérer les coûts réels, par une intention de monétisation, par exemple par la fourniture d’une plate-forme logicielle par l’intermédiaire de laquelle le fabricant monétise d’autres services, par l’exigence, comme condition à l’utilisation, du traitement des données à caractère personnel pour des raisons autres qu’aux seules fins d’améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel, ou par l’acceptation de dons supérieurs aux coûts associés à la conception, au développement et à la fourniture d’un produit comportant des éléments numériques. Le fait d’accepter des dons sans intention lucrative ne devrait pas être considéré comme constitutif d’une activité commerciale.

(16)

Aux fins du présent règlement, les produits comportant des éléments numériques fournis dans le cadre d’une prestation de service pour laquelle une rétribution est perçue à la seule fin de récupérer les coûts réels directement liés au fonctionnement de ce service, comme ce peut être le cas de certains produits comportant des éléments numériques fournis par des entités de l’administration publique, ne devraient pas être considérés pour cette seule raison comme constituant une activité commerciale. En outre, les produits comportant des éléments numériques qui sont développés ou modifiés par une entité de l’administration publique exclusivement pour son propre usage ne devraient pas être considérés comme mis à disposition sur le marché au sens du présent règlement.

(17)

Les logiciels et données qui sont partagés de manière ouverte, auxquels les utilisateurs peuvent librement accéder et qu’ils peuvent librement utiliser, modifier et redistribuer, dans une version modifiée ou non, peuvent contribuer à la recherche et à l’innovation sur le marché. Pour favoriser le développement et le déploiement de logiciels libres et ouverts, en particulier par les microentreprises et les petites et moyennes entreprises, y compris les jeunes pousses, par les personnes physiques, par les organisations à but non lucratif et par les instituts de recherche universitaires, l’application du présent règlement aux produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale devrait tenir compte de la nature des différents modèles de développement de logiciels distribués et développés sous licences logicielles libres et ouvertes.

(18)

On entend par «logiciel libre et ouvert» un logiciel dont le code source est partagé de manière ouverte et dont la licence prévoit tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable. Les logiciels libres et ouverts sont développés, entretenus et distribués de façon ouverte, y compris par l’intermédiaire de plates-formes en ligne. En ce qui concerne les opérateurs économiques auxquels s’applique le présent règlement, seuls les logiciels libres et ouverts mis à disposition sur le marché, donc fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale, devraient relever du champ d’application du présent règlement. Les seules circonstances dans lesquelles le produit comportant des éléments numériques a été développé ou la manière dont le développement a été financé ne devraient donc pas être prises en considération au moment de déterminer si l’activité en question est de nature commerciale ou non. Plus précisément, aux fins du présent règlement et en ce qui concerne les opérateurs économiques auxquels il s’applique, afin de garantir la distinction claire entre les phases de développement et de fourniture, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts qui ne sont pas monétisés par leur fabricant ne devrait pas être considérée comme une activité commerciale. En outre, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts, destinés à être intégrés par d’autres fabricants à leurs propres produits comportant des éléments numériques, ne devrait être considérée comme une mise à disposition sur le marché que si le composant est monétisé par son fabricant d’origine. Par exemple, le simple fait qu’un fabricant verse un soutien financier à un logiciel libre comportant des éléments numériques ou qu’il contribue au développement d’un tel produit ne devrait pas en soi suffire à déterminer que cette activité est de nature commerciale. En outre, les mises à jour régulières de ce logiciel ne devraient pas permettre à elles seules de conclure qu’un produit comportant des éléments numériques est fourni dans le cadre d’une activité commerciale. Enfin, aux fins du présent règlement, le développement par des organisations à but non lucratif de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne devrait pas être considéré comme une activité commerciale, pour autant que l’organisation concernée soit constituée de telle façon que tous les bénéfices sont utilisés pour atteindre des objectifs non lucratifs. Le présent règlement ne s’applique pas aux personnes physiques ou morales qui contribuent, sous forme de code source, à des produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne relevant pas de leur responsabilité.

(19)

Étant donné l’importance que revêtent, en matière de cybersécurité, de nombreux produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts qui sont publiés mais ne sont pas mis à disposition sur le marché au sens du présent règlement, les personnes morales qui apportent un soutien prolongé au développement de tels produits destinés à des activités commerciales et qui jouent un rôle de premier plan en veillant à la viabilité de ces produits (intendants de logiciels ouverts) devraient être soumises à un régime réglementaire allégé et sur mesure. Figurent parmi les intendants de logiciels ouverts certaines fondations et les entités qui développent et publient des logiciels libres et ouverts dans un cadre commercial, y compris les entités à but non lucratif. Le régime réglementaire devrait tenir compte de leur nature particulière et de leur compatibilité avec le type d’obligations qui leur incombent. Ce régime ne devrait concerner que les produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et dont la finalité est commerciale, par exemple ceux qui sont destinés à être intégrés à des services commerciaux ou à des produits comportant des éléments numériques monétisés. Aux fins de ce régime réglementaire, l’intention d’intégration à des produits comportant des éléments numériques monétisés couvre les cas où le fabricant qui intègre un composant dans ses propres produits comportant des éléments numériques contribue régulièrement au développement de ce composant ou apporte une assistance financière régulière afin d’assurer la pérennité d’un logiciel. Le fait d’apporter un soutien prolongé au développement d’un produit comportant des éléments numériques comprend, sans s’y limiter, l’hébergement et la gestion de plates-formes collaboratives de développement de logiciels, l’hébergement de code source ou d’un logiciel, l’administration ou la gestion de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ainsi que le pilotage du développement de ces produits. Étant donné que le régime réglementaire allégé et sur mesure n’impose pas aux intendants de logiciels ouverts les mêmes obligations que celles qui incombent aux fabricants en vertu du présent règlement, les intendants de logiciels ouverts ne devraient pas être autorisés à apposer le marquage CE aux produits comportant des éléments numériques dont ils soutiennent le développement.

(20)

Le seul fait d’héberger des produits comportant des éléments numériques sur des dépôts ouverts, y compris par l’intermédiaire de progiciels ou de plates-formes collaboratives, ne constitue pas en soi la mise à disposition sur le marché d’un produit comportant des éléments numériques. Les fournisseurs de ces services ne devraient être considérés comme des distributeurs que s’ils mettent ces logiciels à disposition sur le marché, donc s’ils les fournissent pour qu’ils soient distribués ou utilisés sur le marché de l’Union dans le cadre d’une activité commerciale.

(21)

Afin de soutenir et de faciliter l’application du devoir de diligence raisonnable par les fabricants qui intègrent à leurs produits comportant des éléments numériques des composants logiciels libres et ouverts qui ne sont pas soumis aux exigences essentielles de cybersécurité énoncées dans le présent règlement, la Commission devrait être en mesure de mettre en place des programmes volontaires d’attestation de sécurité, soit par voie d’un acte délégué complétant le présent règlement, soit en demandant, en vertu de l’article 48 du règlement (UE) 2019/881, un schéma européen de certification de cybersécurité qui tienne compte des spécificités des modèles de développement des logiciels libres et ouverts. Les programmes d’attestation de sécurité devraient être conçus de sorte que non seulement les personnes physiques ou morales qui développent un produit comportant des éléments numériques répondant aux critères d’un logiciel libre et ouvert ou qui participent à son développement, mais aussi des tiers, tels que les fabricants qui intègrent ces produits à leurs propres produits comportant des éléments numériques, les utilisateurs ou les administrations publiques de l’Union ou des États membres, puissent être à l’initiative d’une attestation de sécurité ou la financer.

(22)

Au vu des objectifs en matière de cybersécurité que fixe le présent règlement et afin d’améliorer l’appréciation de la situation qu’ont les États membres concernant la dépendance de l’Union à l’égard des composants logiciels, en particulier les composants potentiellement libres et ouverts, un groupe de coopération administrative (ADCO) spécifique, institué par le présent règlement, devrait pouvoir décider d’enclencher conjointement une évaluation des dépendances de l’Union. Il convient que les autorités de surveillance du marché puissent exiger des fabricants de produits comportant des éléments numériques appartenant aux catégories déterminées par l’ADCO qu’ils présentent la nomenclature des logiciels qu’ils ont établie en vertu du présent règlement. Afin de préserver la confidentialité des nomenclatures des logiciels, les autorités de surveillance du marché devraient transmettre à l’ADCO les informations pertinentes relatives aux dépendances de façon agrégée et anonymisée.

(23)

La bonne application du présent règlement dépendra également de la disponibilité des compétences appropriées en matière de cybersécurité. Au niveau de l’Union, la pénurie de main-d’œuvre qualifiée en cybersécurité dans l’Union et la nécessité d’y remédier à titre de priorité, dans le secteur tant public que privé, ont été reconnues dans divers documents programmatiques et politiques, dont la communication de la Commission du 18 avril 2023 intitulée «Remédier à la pénurie de talents dans le secteur de la cybersécurité pour renforcer la compétitivité, la croissance et la résilience de l’UE» et les conclusions du Conseil du 22 mai 2023 sur la politique de cyberdéfense de l’UE. Aux fins de la bonne application du présent règlement, les États membres devraient veiller à ce que les autorités de surveillance du marché et les organismes d’évaluation de la conformité disposent des ressources appropriées afin d’employer le personnel nécessaire aux tâches qui leur incombent en vertu du présent règlement. Ces mesures devraient favoriser la mobilité des effectifs dans le domaine de la cybersécurité et des parcours professionnels associés et contribuer à rendre la main-d’œuvre de ce domaine plus résiliente et inclusive, y compris pour ce qui est de l’équilibre entre les hommes et les femmes. Par conséquent, les États membres devraient prendre des mesures garantissant que les tâches susmentionnées sont menées à bien par des professionnels formés disposant des compétences nécessaires dans le domaine de la cybersécurité. De même, il convient que le fabricant veille à ce que son personnel dispose des compétences nécessaires pour respecter les obligations qui leur incombent en vertu du présent règlement. Les États membres et la Commission, conformément à leurs prérogatives et compétences ainsi qu’aux tâches particulières qui leur reviennent en vertu du présent règlement, devraient prendre des mesures visant à soutenir les fabricants et en particulier les microentreprises et les petites et moyennes entreprises, dont les jeunes pousses, y compris dans des domaines tels que le développement de compétences, aux fins du respect des obligations qui leur incombent en vertu du présent règlement. En outre, puisque la directive (UE) 2022/2555 exige d’eux qu’ils adoptent, dans le cadre de leurs stratégies nationales en matière de cybersécurité, des mesures de politique publique qui encouragent et développent la formation et les compétences dans le domaine de la cybersécurité, les États membres peuvent également envisager, lors de l’adoption de ces stratégies, de pourvoir aux besoins de compétences en matière de cybersécurité qui découlent du présent règlement, y compris les besoins de renforcement des compétences et de reconversion professionnelle.

(24)

Un internet sécurisé est indispensable au fonctionnement des infrastructures critiques et à la société dans son ensemble. La directive (UE) 2022/2555 vise à garantir un niveau élevé de cybersécurité des services fournis par des entités essentielles et importantes visées à son article 3, y compris les fournisseurs d’infrastructures numériques qui soutiennent les fonctions essentielles de l’internet ouvert, assurent l’accès à l’internet et fournissent les services internet. Il est donc important que les produits comportant des éléments numériques dont les fournisseurs d’infrastructures numériques ont besoin pour assurer le fonctionnement de l’internet soient développés de manière sécurisée et qu’ils respectent les normes de sécurité de l’internet bien établies. Le présent règlement, qui s’applique à tous les matériels et logiciels connectables, vise également à faciliter le respect, par les fournisseurs d’infrastructures numériques, des exigences de la chaîne d’approvisionnement en vertu de la directive (UE) 2022/2555, en veillant à ce que les produits comportant des éléments numériques qu’ils utilisent pour la fourniture de leurs services soient développés de manière sécurisée et à ce qu’ils aient accès à des mises à jour de sécurité en temps utile pour ces produits.

(25)

Le règlement (UE) 2017/745 du Parlement européen et du Conseil (9) établit des règles relatives aux dispositifs médicaux et le règlement (UE) 2017/746 du Parlement européen et du Conseil (10) définit des règles relatives aux dispositifs médicaux de diagnostic in vitro. Ces règlements traitent des risques de cybersécurité et suivent des approches particulières qui sont également abordées dans le présent règlement. Plus précisément, les règlements (UE) 2017/745 et (UE) 2017/746 établissent des exigences essentielles pour les dispositifs médicaux qui fonctionnent au moyen d’un système électronique ou sont eux-mêmes des logiciels. Certains logiciels non intégrés et l’approche du cycle de vie complet relèvent également du champ d’application de ces règlements. Ces exigences obligent les fabricants à développer et à fabriquer leurs produits en appliquant des principes de gestion des risques et en définissant des exigences concernant les mesures de sécurité informatique, ainsi que les procédures d’évaluation de la conformité correspondantes. En outre, des orientations spécifiques sur la cybersécurité des dispositifs médicaux sont en place depuis décembre 2019. Elles fournissent aux fabricants de dispositifs médicaux, notamment de dispositifs de diagnostic in vitro, des orientations quant à la manière de satisfaire à toutes les exigences essentielles pertinentes énoncées à l’annexe I de ces règlements en ce qui concerne la cybersécurité. Les produits comportant des éléments numériques relevant de l’un ou l’autre de ces règlements ne devraient donc pas être soumis au présent règlement.

(26)

Les produits comportant des éléments numériques qui sont développés ou modifiés exclusivement à des fins de sécurité nationale ou de défense ou les produits spécifiquement conçus pour traiter des informations classifiées ne relèvent pas du champ d’application du présent règlement. Les États membres sont invités à veiller à ce que ces produits bénéficient d’un niveau de protection analogue, voire supérieur, à celui appliqué aux produits relevant du champ d’application du présent règlement.

(27)

Le règlement (UE) 2019/2144 du Parlement européen et du Conseil (11) établit des exigences pour la réception par type des véhicules, ainsi que de leurs systèmes et composants, et introduit certaines exigences de cybersécurité, notamment concernant le fonctionnement d’un système de gestion de cybersécurité certifié et les mises à jour logicielles. Il couvre entre autres les politiques et processus des organisations en matière de risques de cybersécurité liés à l’ensemble du cycle de vie des véhicules, des équipements et des services, conformément aux réglementations des Nations unies applicables en matière de spécifications techniques et de cybersécurité, notamment le règlement ONU no 155 — Prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne la cybersécurité et de leurs systèmes de gestion de la cybersécurité (12), et prévoit des procédures spécifiques d’évaluation de la conformité. Dans le domaine de l’aviation, l’objectif principal du règlement (UE) 2018/1139 du Parlement européen et du Conseil (13) est d’établir et de maintenir un niveau uniforme élevé de sécurité dans l’aviation civile dans l’Union. Ce règlement crée un cadre pour les exigences essentielles en matière de navigabilité des produits, pièces et équipements aéronautiques, y compris les logiciels, qui comprennent des obligations de protection contre les menaces relatives à la sécurité de l’information. Le processus de certification prévu par le règlement (UE) 2018/1139 garantit le niveau d’assurance visé par le présent règlement. Les produits comportant des éléments numériques auxquels s’applique le règlement (UE) 2019/2144 et les produits certifiés conformément au règlement (UE) 2018/1139 ne devraient donc pas être soumis aux exigences essentielles de cybersécurité et aux procédures d’évaluation de la conformité énoncées dans le présent règlement.

(28)

Le présent règlement établit des règles horizontales de cybersécurité qui ne sont pas spécifiques aux secteurs ou à certains produits comportant des éléments numériques. Néanmoins, des règles sectorielles ou spécifiques aux produits pourraient être introduites au niveau de l’Union, établissant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles de cybersécurité énoncées dans le présent règlement. Dans de tels cas, l’application du présent règlement aux produits comportant des éléments numériques relevant d’autres règles de l’Union établissant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles de cybersécurité énoncées dans le présent règlement peut être limitée ou exclue lorsque cette limitation ou exclusion est compatible avec le cadre réglementaire global applicable à ces produits et lorsque les règles sectorielles permettent d’atteindre un niveau de protection au moins identique à celui prévu par le présent règlement. La Commission devrait être habilitée à adopter des actes délégués pour compléter le présent règlement en identifiant de tels produits et règles. Pour ce qui est du droit de l’Union en vigueur auquel cette limitation ou exclusion devrait s’appliquer, le présent règlement prévoit des dispositions spécifiques visant à clarifier sa relation avec ce droit de l’Union.

(29)

Afin de garantir que les produits comportant des éléments numériques mis à disposition sur le marché pourront être réparés de manière efficace et que leur durabilité pourra être prolongée, il convient de prévoir une dérogation pour les pièces de rechange. Cette dérogation devrait concerner à la fois les pièces de rechange destinées à réparer des produits anciens ayant été mis à disposition avant la date d’application du présent règlement et les pièces de rechange qui ont déjà fait l’objet d’une procédure d’évaluation de la conformité en application du présent règlement.

(30)

Le règlement délégué (UE) 2022/30 de la Commission (14) précise que plusieurs des exigences essentielles énoncées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE du Parlement européen et du Conseil (15), qui portent sur les dommages au réseau et la mauvaise utilisation des ressources du réseau, sur les données à caractère personnel et la vie privée ainsi que sur la fraude, s’appliquent à certains équipements radio. La décision d’exécution C(2022) 5637 de la Commission du 5 août 2022 relative à une demande de normalisation adressée au Comité européen de normalisation et au Comité européen de normalisation électrotechnique fixe des exigences pour l’élaboration de normes spécifiques précisant la manière dont ces trois exigences essentielles doivent être traitées. Les exigences essentielles de cybersécurité énoncées dans le présent règlement comprennent tous les éléments des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE. En outre, les exigences essentielles de cybersécurité énoncées dans le présent règlement sont alignées sur les objectifs des exigences relatives à des normes spécifiques incluses dans cette demande de normalisation. Par conséquent, lorsque la Commission abroge ou modifie le règlement délégué (UE) 2022/30 de sorte qu’il cesse de s’appliquer à certains produits soumis au présent règlement, la Commission et les organisations européennes de normalisation devraient tenir compte des travaux de normalisation menés dans le cadre de la décision d’exécution C(2022) 5637 lors de l’élaboration et du développement de normes harmonisées visant à faciliter la mise en œuvre du présent règlement. Au cours de la période transitoire pour l’application du présent règlement, la Commission devrait fournir des orientations aux fabricants soumis à la fois au présent règlement et au règlement délégué (UE) 2022/30, afin de faciliter la démonstration du respect de ces deux règlements.

(31)

La directive (UE) 2024/2853 du Parlement européen et du Conseil (16) complète le présent règlement. Cette directive établit des règles en matière de responsabilité du fait des produits défectueux afin que les victimes puissent demander réparation lorsqu’un dommage a été causé par de tels produits. Elle établit le principe selon lequel le fabricant d’un produit est responsable des dommages causés par un défaut de sécurité de son produit, indépendamment de la faute (responsabilité objective). Lorsqu’un tel défaut de sécurité consiste en un manque de mises à jour de sécurité après la mise sur le marché du produit, et qu’il en résulte des dommages, la responsabilité du fabricant pourrait être engagée. Le présent règlement devrait faire obligation aux fabricants de fournir de telles mises à jour de sécurité.

(32)

Le présent règlement devrait s’appliquer sans préjudice du règlement (UE) 2016/679 du Parlement européen et du Conseil (17), et notamment de ses dispositions concernant la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent ledit règlement. De telles opérations pourraient être intégrées dans un produit comportant des éléments numériques. La protection des données dès la conception et par défaut ainsi que la cybersécurité en général sont des éléments clés du règlement (UE) 2016/679. En protégeant les consommateurs et les organisations contre les risques de cybersécurité, les exigences essentielles de cybersécurité prévues par le présent règlement doivent également contribuer à renforcer la protection des données à caractère personnel et de la vie privée des personnes. Des synergies en matière de normalisation et de certification sur les aspects de la cybersécurité devraient être envisagées dans le cadre de la coopération entre la Commission, les organisations européennes de normalisation, l’Agence de l’Union européenne pour la cybersécurité (ENISA), le comité européen de la protection des données institué par le règlement (UE) 2016/679 et les autorités nationales de contrôle de la protection des données. Il convient également de créer des synergies entre le présent règlement et la législation de l’Union en matière de protection des données dans le domaine de la surveillance du marché et du contrôle de l’application. À cette fin, les autorités nationales de surveillance du marché désignées en vertu du présent règlement devraient coopérer avec les autorités chargées de surveiller l’application de la législation de l’Union en matière de protection des données. Ces dernières devraient également avoir accès aux informations nécessaires à l’accomplissement de leurs tâches.

(33)

Dans la mesure où leurs produits relèvent du champ d’application du présent règlement, les fournisseurs de portefeuilles européens d’identité numérique visés à l’article 5 bis, paragraphe 2, du règlement (UE) no 910/2014 du Parlement européen et du Conseil (18) devraient se conformer à la fois aux exigences essentielles de cybersécurité horizontales énoncées dans le présent règlement et aux exigences de sécurité spécifiques énoncées à l’article 5 bis du règlement (UE) no 910/2014. Afin de faciliter la conformité, les fournisseurs de portefeuilles devraient pouvoir démontrer la conformité des portefeuilles européens d’identité numérique aux exigences énoncées respectivement dans le présent règlement et dans le règlement (UE) no 910/2014 en certifiant leurs produits dans le cadre d’un schéma européen de certification de cybersécurité établi en vertu du règlement (UE) 2019/881 et pour lequel la Commission a établi, par voie d’actes délégués, une présomption de conformité pour le présent règlement, dans la mesure où le certificat, ou des parties de celui-ci, couvre ces exigences.

(34)

Lorsqu’il intègre des composants obtenus auprès de tiers à des produits comportant des éléments numériques au cours de la phase de conception et de développement, le fabricant devrait, pour que les produits soient conçus, développés et produits conformément aux exigences essentielles de cybersécurité énoncées dans le présent règlement, faire preuve de diligence raisonnable concernant ces composants, y compris les composants logiciels libres et ouverts qui n’ont pas été mis à disposition sur le marché. Le niveau approprié de diligence raisonnable dépend de la nature et du niveau du risque de cybersécurité associé à un composant donné et devrait, à cette fin, tenir compte d’une ou de plusieurs des mesures suivantes: vérifier, le cas échéant, que le fabricant d’un composant a démontré se conformer au présent règlement, y compris en s’assurant que le composant porte déjà le marquage CE; vérifier qu’un composant fait régulièrement l’objet de mises à jour de sécurité, par exemple en consultant l’historique de ses mises à jour de sécurité; vérifier qu’un composant est exempt des vulnérabilités enregistrées dans la base de données européenne des vulnérabilités créée en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555 ou dans d’autres bases de données publiques; réaliser des essais de sécurité supplémentaires. Les obligations en matière de gestion des vulnérabilités énoncées dans le présent règlement, que le fabricant doit respecter lors de la mise sur le marché d’un produit comportant des éléments numériques puis pendant la période d’assistance, s’appliquent aux produits comportant des éléments numériques dans leur entièreté, y compris à tous les composants intégrés. Lorsque, dans l’exercice de sa diligence raisonnable, le fabricant du produit comportant des éléments numériques décèle une vulnérabilité dans un composant, y compris un composant libre et ouvert, il devrait en informer la personne ou l’entité qui fabrique le composant ou en assure l’entretien, s’attaquer et remédier à la vulnérabilité et, le cas échéant, fournir à la personne ou à l’entité le correctif de sécurité appliqué.

(35)

Immédiatement après la période transitoire pour l’application du présent règlement, le fabricant d’un produit comportant des éléments numériques qui intègre un ou plusieurs composants obtenus auprès de tiers qui relèvent également du présent règlement pourrait ne pas être en mesure de vérifier, dans le cadre de son obligation de diligence raisonnable, que les fabricants de ces composants ont démontré qu’ils se conforment au présent règlement en s’assurant, par exemple, que le composant porte déjà le marquage CE. Cette situation pourrait se présenter lorsque des composants ont été intégrés avant que le présent règlement ne s’applique à leur fabricant. Dans ce cas, un fabricant qui intègre de tels composants devrait faire preuve de diligence raisonnable par d’autres moyens.

(36)

Le marquage CE devrait être apposé sur les produits comportant des éléments numériques pour indiquer de manière visible, lisible et indélébile leur conformité avec le présent règlement, afin qu’ils puissent circuler librement dans le marché intérieur. Les États membres devraient s’abstenir de créer des entraves injustifiées à la mise sur le marché de produits comportant des éléments numériques qui satisfont aux exigences prévues par le présent règlement et portent le marquage CE. En outre, lors de foires, d’expositions et de démonstrations ou de manifestations similaires, les États membres ne devraient pas faire obstacle à la présentation ou à l’utilisation d’un produit comportant des éléments numériques non conforme au présent règlement, y compris ses prototypes, pour autant que le produit porte une marque visible indiquant clairement que le produit n’est pas conforme au présent règlement et que, tant que ce sera le cas, il ne sera pas mis à disposition sur le marché.

(37)

Afin de garantir que les fabricants puissent mettre à disposition des logiciels à des fins d’essai avant de soumettre leurs produits comportant des éléments numériques à une évaluation de la conformité, les États membres ne devraient pas empêcher la mise à disposition de logiciels inachevés, tels que des versions alpha, des versions beta ou des versions candidates à la diffusion, à condition que le logiciel inachevé ne soit mis à disposition que pendant le temps nécessaire pour le tester et recueillir des commentaires. Les fabricants devraient veiller à ce que les logiciels mis à disposition dans ces conditions ne soient diffusés qu’après une évaluation des risques et soient conformes, dans la mesure du possible, aux exigences de sécurité relatives aux propriétés des produits comportant des éléments numériques prévues par le présent règlement. Les fabricants devraient également mettre en œuvre les exigences de gestion des vulnérabilités dans la mesure du possible. Les fabricants ne devraient pas forcer les utilisateurs à passer à des versions uniquement diffusées à des fins d’essais.

(38)

Afin de garantir que les produits comportant des éléments numériques, lorsqu’ils sont mis sur le marché, ne présentent pas de risques de cybersécurité pour les personnes et les organisations, il convient de fixer des exigences essentielles de cybersécurité pour ces produits. Ces exigences, y compris celles qui ont trait à la gestion des vulnérabilités, s’appliquent à chaque produit comportant des éléments numériques lors de sa mise sur le marché, qu’il ait été fabriqué individuellement ou produit en série. Par exemple, pour un type de produit, chaque produit comportant des éléments numériques devrait, lors de sa mise sur le marché, avoir reçu individuellement tous les correctifs et mises à jour de sécurité qui existent pour remédier aux problèmes de sécurité pertinents. Lorsque des produits comportant des éléments numériques sont modifiés ultérieurement, par des moyens physiques ou numériques, d’une manière qui n’est pas prévue par le fabricant dans l’évaluation initiale des risques et qui peut impliquer qu’ils ne satisfont plus aux exigences essentielles de cybersécurité pertinentes, la modification devrait être considérée comme substantielle. Par exemple, les réparations pourraient être assimilées à des opérations d’entretien pour autant qu’elles ne modifient pas un produit comportant des éléments numériques déjà mis sur le marché d’une manière qui soit susceptible d’en compromettre la conformité aux exigences applicables ou de modifier l’utilisation prévue pour laquelle le produit a été évalué.

(39)

Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques devrait être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel modifie l’utilisation prévue de ce produit et que ces modifications n’ont pas été prévues par le fabricant dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque de cybersécurité a augmenté en raison de la mise à jour du logiciel, et que la version mise à jour est mise à disposition sur le marché. Une mise à jour de sécurité destinée à réduire le niveau de risque de cybersécurité d’un produit comportant des éléments numériques qui ne modifie pas l’utilisation prévue de ce produit n’est pas considérée comme une modification substantielle. Il s’agit généralement des situations où une mise à jour de sécurité ne comporte que des ajustements mineurs du code source. Ce pourrait être le cas, par exemple, d’une mise à jour de sécurité qui remédie à une vulnérabilité connue, y compris en modifiant les fonctions ou les performances d’un produit comportant des éléments numériques dans le seul but de réduire le niveau de risque de cybersécurité. De même, une mise à jour mineure de fonctionnalités, telle qu’une amélioration visuelle ou l’ajout de nouveaux pictogrammes ou de nouvelles langues ou d’un nouvel ensemble de pictogrammes à l’interface utilisateur, ne devrait pas, en règle générale, être considérée comme une modification substantielle. À l’inverse, une mise à jour de caractéristiques qui modifie les fonctions initialement prévues d’un produit comportant des éléments numériques, son type ou ses performances et qui remplit les critères susmentionnés devrait être considérée comme une modification substantielle, étant donné que l’ajout de nouvelles caractéristiques accroît généralement la surface d’attaque et, partant, les risques de cybersécurité. Ce peut être le cas, par exemple, lorsque l’ajout d’un nouvel élément de saisie à une application nécessite que le fabricant procède à une validation adéquate de la saisie. Le fait qu’une mise à jour de caractéristiques soit apportée de façon indépendante ou qu’elle soit combinée à une mise à jour de sécurité n’est pas pertinent pour déterminer si elle constitue une modification substantielle. La Commission devrait publier des orientations sur la manière de déterminer ce qui constitue une modification substantielle.

(40)

Compte tenu de la nature itérative du développement de logiciels, un fabricant ayant successivement mis sur le marché plusieurs versions d’un logiciel en raison d’une modification substantielle apportée à ce dernier ne devrait être en mesure de fournir des mises à jour de sécurité pendant la période d’assistance que pour la dernière version du logiciel qu’il a mise sur le marché. Il ne devrait être en mesure de procéder ainsi que si les utilisateurs des versions précédentes concernées du logiciel ont accès gratuitement à la dernière version mise sur le marché et qu’ils n’ont pas à s’acquitter de coûts supplémentaires pour adapter l’environnement matériel ou logiciel dans lequel ils exploitent le produit. Tel pourrait être le cas par exemple, si la mise à jour d’un système d’exploitation de bureau ne nécessite pas de matériel nouveau tel qu’un processeur plus rapide ou de plus grandes capacités de mémoire. Toutefois, pendant la période d’assistance, le fabricant devrait continuer de respecter d’autres exigences relatives à la gestion des vulnérabilités, comme le fait de disposer d’une politique de divulgation coordonnée des vulnérabilités ou d’appliquer des mesures visant à faciliter le partage d’informations relatives à de possibles vulnérabilités pour toutes les versions suivantes du logiciel mis sur le marché qui ont été modifiées de façon substantielle. Il convient que le fabricant ne soit en mesure de fournir des mises à jour mineures de sécurité ou de fonctionnalité qui ne constituent pas une modification substantielle que pour la dernière version ou sous-version d’un logiciel qui n’a pas été modifiée de façon substantielle. Dans le même temps, lorsqu’un produit matériel tel qu’un téléphone intelligent n’est pas compatible avec la version la plus récente du système d’exploitation avec lequel il avait initialement été livré, il convient que le fabricant continue d’apporter des mises à jour de sécurité pendant la période d’assistance, au moins pour la dernière version du système d’exploitation compatible avec ce produit matériel.

(41)

Conformément à la notion généralement établie de modification substantielle pour les produits régis par la législation d’harmonisation de l’Union, lorsque se produit une modification substantielle de nature à affecter la conformité d’un produit comportant des éléments numériques au présent règlement ou lorsque l’utilisation prévue de ce produit change, il convient de vérifier la conformité du produit comportant des éléments numériques et, le cas échéant, de le soumettre à une nouvelle évaluation de la conformité. Le cas échéant, si le fabricant a recours à une évaluation de la conformité faisant intervenir un tiers, une modification susceptible d’entraîner une modification substantielle devrait être notifiée à ce dernier.

(42)

Lorsqu’un produit comportant des éléments numériques fait l’objet d’une «remise à neuf», d’un «entretien» et d’une «réparation», au sens de l’article 2, points 18), 19) et 20), du règlement (UE) 2024/1781 du Parlement européen et du Conseil (19), cela n’entraîne pas nécessairement une modification substantielle du produit, par exemple si l’utilisation et les fonctionnalités prévues ne sont pas modifiées et que le niveau de risque demeure inchangé. Toutefois, la mise à niveau d’un produit comportant des éléments numériques par le fabricant pourrait entraîner des modifications dans la conception et le développement de ce produit et donc avoir une incidence sur son utilisation prévue et sa conformité aux exigences énoncées dans le présent règlement.

(43)

Les produits comportant des éléments numériques devraient être considérés comme importants si l’exploitation de vulnérabilités potentielles dans ces produits peut avoir de graves répercussions en raison, entre autres, de la fonctionnalité liée à la cybersécurité ou d’une fonction qui comporte un risque important d’effets néfastes du fait de leur intensité et leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs par une manipulation directe, par exemple une fonction du système central, notamment la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel. En particulier, les vulnérabilités de produits comportant des éléments numériques qui ont une fonctionnalité liée à la cybersécurité, tels que les gestionnaires de démarrage, peuvent provoquer une propagation des problèmes de sécurité tout au long de la chaîne d’approvisionnement. La gravité des répercussions d’un incident peut également augmenter lorsque le produit assure principalement une fonction du système central, y compris la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel.

(44)

Certaines catégories de produits comportant des éléments numériques devraient être soumises à des procédures d’évaluation de la conformité plus strictes, tout en conservant une approche proportionnée. À cette fin, les produits importants comportant des éléments numériques devraient être divisés en deux catégories, reflétant le niveau de risque de cybersécurité lié à ces catégories de produits. Un incident impliquant des produits importants comportant des éléments numériques qui relèvent de la classe II pourrait avoir des répercussions négatives plus importantes qu’un incident impliquant des produits importants comportant des éléments numériques qui relèvent de la classe I, par exemple en raison de la nature de leur fonction liée à la cybersécurité ou de l’exécution d’une autre fonction qui comporte un risque important d’effets néfastes. À titre indicatif, les produits comportant des éléments numériques qui relèvent de la classe II pourraient assurer soit une fonctionnalité liée à la cybersécurité, soit une autre fonction comportant un risque important d’effets néfastes plus élevé que pour les produits relevant de la classe I, soit ces deux types de fonctions. Par conséquent, les produits importants comportant des éléments numériques qui relèvent de la classe II devraient faire l’objet d’une procédure plus stricte d’évaluation de la conformité.

(45)

Par «produits importants comportant des éléments numériques visés dans le présent règlement», on devrait entendre les produits possédant les fonctionnalités essentielles d’une catégorie de produits importants comportant des éléments numériques recensée dans le présent règlement. Par exemple, le présent règlement établit des catégories de produit importants comportant des éléments numériques qui sont définis par leur fonctionnalité de base comme pare-feu ou des systèmes de détection ou de prévention des intrusions de classe II. Par conséquent, les pare-feu et systèmes de détection ou de prévention des intrusions sont soumis à une évaluation de conformité obligatoire par un tiers. Ce n’est pas le cas pour d’autres produits comportant des éléments numériques qui ne sont pas catégorisés comme des produits importants comportant des éléments numériques mais qui peuvent intégrer des pare-feu ou des systèmes de détection ou de prévention des intrusions. La Commission devrait adopter un acte d’exécution pour préciser la description technique des catégories de produits importants comportant des éléments numériques qui relèvent des classes I et II, telles qu’elles figurent dans le présent règlement.

(46)

Les catégories de produits critiques comportant des éléments numériques énoncées dans le présent règlement ont une fonctionnalité liée à la cybersécurité et remplissent une fonction qui comporte un risque important d’effets néfastes quant à son intensité et à sa capacité à perturber, contrôler ou endommager un grand nombre d’autres produits avec éléments numériques par le biais d’une manipulation directe. En outre, ces catégories de produits comportant des éléments numériques sont considérées comme des dépendances critiques pour les entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. Les catégories de produits critiques comportant des éléments numériques figurant en annexe du présent règlement, en raison de leur criticité, reposent déjà largement sur diverses formes de certification et relèvent également du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) défini dans le règlement d’exécution (UE) 2024/482 de la Commission (20). Par conséquent, afin d’assurer, dans l’Union, une protection adéquate commune sur le plan de la cybersécurité des produits critiques comportant des éléments numériques, il pourrait être approprié et proportionné de soumettre ces catégories de produits, par voie d’un acte délégué, à une certification européenne de cybersécurité obligatoire lorsqu’un schéma européen de certification de cybersécurité pertinent couvrant ces produits est déjà en place et qu’une évaluation des effets potentiels sur le marché de la certification obligatoire envisagée a été réalisée par la Commission. Cette évaluation devrait tenir compte à la fois de l’offre et de la demande, et y compris de l’existence d’une demande, de la part des États membres et des utilisateurs pour les produits comportant des éléments numériques concernés, qui soit suffisante pour exiger une certification européenne de cybersécurité, ainsi que les finalités pour lesquelles les produits comportant des éléments numériques sont destinés à être utilisés, y compris la dépendance critique à leur égard des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. L’évaluation devrait également analyser les effets potentiels de la certification obligatoire sur la disponibilité de ces produits sur le marché intérieur, ainsi que les capacités et l’état de préparation des États membres pour la mise en œuvre des schémas européens de certification de cybersécurité.

(47)

Les actes délégués exigeant une certification européenne de cybersécurité obligatoire devraient déterminer les produits comportant des éléments numériques qui ont la fonctionnalité essentielle d’une catégorie de produits critiques comportant des éléments numériques définie dans le présent règlement et qui doivent faire l’objet d’une certification obligatoire, ainsi que le niveau d’assurance requis, lequel devrait être au moins «substantiel». Le niveau d’assurance requis doit être proportionnel au niveau de risque de cybersécurité associé au produit comportant des éléments numériques. Par exemple, lorsque le produit comportant des éléments numériques possède les fonctionnalités essentielles d’une catégorie de produits critiques comportant des éléments numériques définie dans le présent règlement et qu’il est destiné à être utilisé dans un environnement sensible ou critique, comme les produits destinés à être utilisés par des entités essentielles telles que visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555, il peut nécessiter le niveau d’assurance le plus élevé.

(48)

Afin d’assurer, dans l’Union, une protection adéquate commune sur le plan de la cybersécurité des produits comportant des éléments numériques qui ont les fonctionnalités essentielles d’une catégorie de produits critiques comportant des éléments numériques définie dans le présent règlement, il convient également de conférer à la Commission le pouvoir d’adopter des actes délégués pour modifier le présent règlement en y ajoutant ou en en retirant des catégories de produits critiques comportant des éléments numériques pour lesquels les fabricants pourraient être tenus d’obtenir un certificat européen de cybersécurité dans le cadre d’un schéma européen de certification de cybersécurité en application du règlement (UE) 2019/881 afin de démontrer leur conformité avec le présent règlement. Une nouvelle catégorie de produits critiques comportant des éléments numériques peut être ajoutée à ces catégories s’il existe une dépendance critique à leur égard d’entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555 ou, s’ils sont touchés par des incidents ou contiennent des vulnérabilités exploitées, si cela pourrait entraîner des perturbations pour les chaînes d’approvisionnement critiques. Lorsqu’elle évalue la nécessité d’ajouter ou de retirer des catégories de produits critiques comportant des éléments numériques par voie d’un acte délégué, la Commission devrait pouvoir tenir compte du fait que les États membres ont recensé, au niveau national, les produits comportant des éléments numériques qui jouent un rôle critique pour la résilience des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555 et qui sont de plus en plus confrontés à des cyberattaques dans la chaîne d’approvisionnement, avec des effets perturbateurs potentiels graves. Il convient par ailleurs que la Commission puisse tenir compte des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555.

(49)

La Commission devrait veiller à ce qu’un large éventail de parties prenantes soit consulté de manière structurée et régulière lors de l’élaboration des mesures de mise en œuvre du présent règlement. Cela devrait être particulièrement le cas lorsque la Commission évalue la nécessité d’actualiser les listes des catégories de produits importants ou critiques comportant des éléments numériques. Le cas échéant, les fabricants devraient être consultés et leurs avis pris en compte afin d’analyser les risques de cybersécurité ainsi que l’équilibre entre les coûts et les avantages de la désignation de ces catégories de produits comme importants ou critiques.

(50)

Le présent règlement aborde les risques de cybersécurité de manière ciblée. Les produits comportant des éléments numériques peuvent toutefois présenter d’autres risques pour la sécurité qui ne sont pas toujours liés à la cybersécurité mais qui peuvent être la conséquence d’une atteinte à la sécurité. Ces risques devraient continuer à être réglementés par des actes législatifs d’harmonisation de l’Union autres que le présent règlement. Si aucune législation d’harmonisation de l’Union autre que le présent règlement ne leur est applicable, ils devraient être soumis au règlement (UE) 2023/988 du Parlement européen et du Conseil (21). Par conséquent, compte tenu du caractère ciblé du présent règlement, par dérogation à l’article 2, paragraphe 1, troisième alinéa, point b), du règlement (UE) 2023/988, le chapitre III, section 1, les chapitres V et VII, et les chapitres IX à XI du règlement (UE) 2023/988 devraient s’appliquer aux produits comportant des éléments numériques en ce qui concerne les risques pour la sécurité qui ne sont pas couverts par le présent règlement, si ces produits ne sont pas soumis à des exigences spécifiques prévues par une législation d’harmonisation de l’Union autre que le présent règlement au sens de l’article 3, point 27), du règlement (UE) 2023/988.

(51)

Les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article 6 du règlement (UE) 2024/1689 du Parlement européen et du Conseil (22) qui relèvent du champ d’application du présent règlement devraient satisfaire aux exigences essentielles de cybersécurité énoncées dans celui-ci. Lorsque ces systèmes d’IA à haut risque satisfont aux exigences essentielles de cybersécurité énoncées dans le présent règlement, ils devraient être réputés respecter les exigences de cybersécurité énoncées à l’article article 15 du règlement (UE) 2024/1689, dans la mesure où ces exigences sont couvertes par la déclaration UE de conformité, ou par certaines parties de celle-ci, délivrée en vertu du présent règlement. À cette fin, l’évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques classés comme système d’IA à haut risque en vertu du règlement (UE) 2024/1689 qui doit être prise en compte pendant les phases de planification, de conception, de développement, de production, de livraison et de maintenance de ce produit, comme l’exige le présent règlement, devrait tenir compte des risques pour la cyberrésilience d’un système d’IA en cas de tentatives par des tiers non autorisés de modifier son utilisation, son comportement ou ses performances, y compris les vulnérabilités propres à l’IA telles que l’empoisonnement des données ou les attaques adversaires, ainsi que, le cas échéant, les risques pour les droits fondamentaux, conformément au règlement (UE) 2024/1689. En ce qui concerne les procédures d’évaluation de la conformité relatives aux exigences essentielles de cybersécurité d’un produit comportant des éléments numériques qui entre dans le champ d’application du présent règlement et classé comme système d’IA à haut risque, l’article 43 du règlement (UE) 2024/1689 devrait de manière générale s’appliquer en lieu et place des dispositions pertinentes du présent règlement. Toutefois, l’application de cette règle ne devrait pas entraîner de réduction du niveau d’assurance nécessaire pour les produits importants ou critiques comportant des éléments numériques visés dans le présent règlement. Par conséquent, par dérogation à cette règle, les systèmes d’IA à haut risque qui relèvent du champ d’application du règlement (UE) 2024/1689 et sont également considérés comme des produits importants ou critiques comportant des éléments numériques visés dans le présent règlement et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI du règlement (UE) 2024/1689 devraient être soumis aux procédures d’évaluation de la conformité prévues par le présent règlement en ce qui concerne les exigences essentielles de cybersécurité énoncées dans celui-ci. Dans ce cas, pour tous les autres aspects couverts par le règlement (UE) 2024/1689, les dispositions pertinentes relatives à l’évaluation de la conformité fondée sur le contrôle interne énoncées à l’annexe VI de ce règlement devraient s’appliquer.

(52)

Afin d’améliorer la sécurité des produits comportant des éléments numériques mis sur le marché intérieur, il est nécessaire d’établir des exigences essentielles de cybersécurité applicables à ces produits. Ces exigences essentielles de cybersécurité ne devraient pas porter atteinte aux évaluations coordonnées au niveau de l’Union des risques de sécurité portant sur les chaînes d’approvisionnement critiques et prévues à l’article 22 de la directive (UE) 2022/2555, qui tiennent compte à la fois des facteurs de risque techniques et, le cas échéant, non techniques, tels que l’influence indue d’un pays tiers sur les fournisseurs. En outre, elles devraient s’exercer sans préjudice des prérogatives des États membres d’établir des exigences supplémentaires qui tiennent compte de facteurs non techniques afin de garantir un niveau élevé de résilience, y compris celles définies dans la recommandation (UE) 2019/534 de la Commission (23), dans l’évaluation coordonnée par l’Union de la cybersécurité des réseaux 5G et dans la boîte à outils de l’Union sur la cybersécurité 5G convenue par le groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555.

(53)

Les fabricants de produits relevant du champ d’application du règlement (UE) 2023/1230 du Parlement européen et du Conseil (24) qui sont également des produits comportant des éléments numériques au sens du présent règlement devraient satisfaire à la fois aux exigences essentielles de cybersécurité énoncées dans le présent règlement et aux exigences essentielles de santé et de sécurité énoncées dans le règlement (UE) 2023/1230. Les exigences essentielles de cybersécurité énoncées dans le présent règlement et certaines exigences essentielles énoncées dans le règlement (UE) 2023/1230 pourraient porter sur des risques similaires en matière de cybersécurité. Par conséquent, le respect des exigences essentielles de cybersécurité énoncées dans le présent règlement pourrait faciliter le respect des exigences essentielles qui s’appliquent également à certains risques de cybersécurité énoncés dans le règlement (UE) 2023/1230, et en particulier celles concernant la protection contre la corruption et la sécurité et la fiabilité des systèmes de contrôle énoncées aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. Ces synergies doivent être démontrées par le fabricant, qui doit par exemple appliquer, le cas échéant, des normes harmonisées ou d’autres spécifications techniques répondant aux exigences essentielles de cybersécurité pertinentes, à la suite d’une évaluation des risques liés à la cybersécurité. Le fabricant doit également suivre les procédures d’évaluation de la conformité applicables définies dans le présent règlement et dans le règlement (UE) 2023/1230. La Commission et les organisations européennes de normalisation, dans le cadre des travaux préparatoires soutenant la mise en œuvre du présent règlement et du règlement (UE) 2023/1230, ainsi que des processus de normalisation connexes, devraient promouvoir la cohérence dans la manière d’évaluer les risques liés à la cybersécurité et dans la manière de couvrir ces risques par des normes harmonisées en ce qui concerne les exigences essentielles pertinentes. En particulier, la Commission et les organisations européennes de normalisation devraient tenir compte du présent règlement dans la préparation et l’élaboration de normes harmonisées visant à faciliter la mise en œuvre du règlement (UE) 2023/1230 en ce qui concerne notamment les aspects de la cybersécurité liés à la protection contre la corruption ainsi que la sécurité et la fiabilité des systèmes de contrôle énoncés aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. La Commission devrait fournir des orientations pour aider les fabricants relevant du présent règlement mais aussi du règlement (UE) 2023/1230, en particulier pour leur permettre de démontrer plus facilement qu’ils respectent les exigences essentielles pertinentes énoncées dans le présent règlement et dans le règlement (UE) 2023/1230.

(54)

Afin de garantir la sécurité des produits comportant des éléments numériques au moment de leur mise sur le marché et pendant la période d’utilisation prévue du produit comportant des éléments numériques, il est nécessaire de définir des exigences essentielles de cybersécurité relatives à la gestion de la vulnérabilité et des exigences essentielles de cybersécurité concernant les propriétés des produits comportant des éléments numériques. Les fabricants devraient se conformer à toutes les exigences essentielles de cybersécurité relatives à la gestion des vulnérabilités tout au long de la période d’assistance, mais ils devraient en outre déterminer les autres exigences essentielles liées aux propriétés du produit pertinentes pour le type de produit comportant des éléments numériques concerné. À cette fin, les fabricants devraient entreprendre une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques afin de recenser les risques pertinents et les exigences essentielles de cybersécurité pertinentes, de mettre à disposition leurs produits comportant des éléments numériques sans vulnérabilité exploitable connue susceptible d’avoir des répercussions sur la sécurité de ces produits et d’appliquer de manière appropriée des normes harmonisées, des spécifications communes ou des normes européennes ou internationales appropriées.

(55)

Lorsque certaines exigences essentielles de cybersécurité ne sont pas applicables à un produit comportant des éléments numériques, le fabricant doit faire figurer une justification claire dans l’évaluation des risques de cybersécurité figurant dans la documentation technique. Cela pourrait être le cas lorsqu’une exigence essentielle de cybersécurité est incompatible avec la nature d’un produit comportant des éléments numériques. Par exemple, la destination d’un produit comportant des éléments numériques peut exiger du fabricant qu’il respecte des normes d’interopérabilité largement reconnues, même si ses dispositifs de sécurité ne sont plus considérés comme étant à la pointe de la technologie. De même, d’autres législations de l’Union exigent des fabricants qu’ils appliquent des exigences spécifiques en matière d’interopérabilité. Lorsqu’une exigence essentielle de cybersécurité ne s’applique pas à un produit comportant des éléments numériques, mais que le fabricant a détecté des risques de cybersécurité en rapport avec ladite exigence essentielle de cybersécurité, il doit prendre des mesures pour faire face à ces risques par d’autres moyens, par exemple en limitant la destination du produit à des environnements de confiance ou en informant les utilisateurs de ces risques.

(56)

L’une des mesures les plus importantes que les utilisateurs doivent prendre pour protéger leurs produits comportant des éléments numériques contre les cyberattaques est d’installer les dernières mises à jour de sécurité disponibles dès que possible. Les fabricants doivent donc concevoir leurs produits et mettre en place des procédures de sorte que les produits comportant des éléments numériques comprennent des fonctions automatiques de notification, de distribution, de téléchargement et d’installation des mises à jour de sécurité, en particulier dans le cas des produits de consommation. Ils devraient également offrir la possibilité d’approuver le téléchargement et l’installation des mises à jour de sécurité en tant qu’étape finale. Les utilisateurs doivent garder la possibilité de désactiver les mises à jour automatiques, grâce à un dispositif clair et facile à utiliser, accompagné d’instructions claires sur la manière dont les utilisateurs peuvent renoncer à ces mises à jour. Les exigences relatives aux mises à jour automatiques énoncées dans une annexe du présent règlement ne s’appliquent pas aux produits dont les éléments numériques sont principalement destinés à être intégrés en tant que composants dans d’autres produits. Elles ne s’appliquent pas non plus aux produits comportant des éléments numériques pour lesquels les utilisateurs ne s’attendent pas raisonnablement à des mises à jour automatiques, y compris les produits comportant des éléments numériques destinés à être utilisés dans des réseaux TIC professionnels, et en particulier dans des environnements critiques et industriels où une mise à jour automatique pourrait perturber les opérations. Qu’un produit comportant des éléments numériques soit conçu pour recevoir des mises à jour automatiques ou non, son fabricant doit informer les utilisateurs des vulnérabilités et mettre à disposition des mises à jour de sécurité sans retard. Lorsqu’un produit comportant des éléments numériques est doté d’une interface utilisateur ou de moyens techniques similaires permettant une interaction directe avec ses utilisateurs, le fabricant doit utiliser ces caractéristiques pour informer les utilisateurs que leur produit comportant des éléments numériques est arrivé au terme de la période d’assistance. Les notifications doivent être limitées à ce qui est nécessaire pour garantir la réception effective de ces informations et ne doivent pas avoir de répercussions négatives sur l’expérience de l’utilisateur du produit comportant des éléments numériques.

(57)

Afin d’améliorer la transparence des processus de traitement des vulnérabilités et de garantir que les utilisateurs ne sont pas obligés d’installer de nouvelles mises à jour de fonctionnalités dans le seul but de recevoir les dernières mises à jour de sécurité, les fabricants doivent veiller, lorsque cela est techniquement possible, à ce que les nouvelles mises à jour de sécurité soient fournies séparément des mises à jour de fonctionnalités.

(58)

La communication conjointe de la Commission et du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité du 20 juin 2023 intitulée «Stratégie européenne de sécurité économique» indique que l’Union doit optimiser les avantages de son ouverture économique tout en réduisant à leur minimum les risques liés aux dépendances économiques à l’égard des fournisseurs à haut risque, grâce à un cadre stratégique commun pour la sécurité économique de l’Union. Les dépendances à l’égard de fournisseurs à haut risque de produits comportant des éléments numériques peuvent représenter un risque stratégique auquel il faut s’attaquer au niveau de l’Union, en particulier lorsque les produits comportant des éléments numériques sont destinés à être utilisés par des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. Ces risques peuvent être liés, sans pour autant s’y limiter, à la juridiction dont relève le fabricant, aux caractéristiques de son actionnariat et aux liens de contrôle qui le rattachent au gouvernement d’un pays tiers où il est établi, en particulier si le pays tiers se livre à des activités d’espionnage économique ou à un comportement irresponsable de l’État dans le cyberespace et que sa législation autorise un accès arbitraire aux opérations ou aux données de l’entreprise de quelque nature qu’elles soient, y compris les données commercialement sensibles, et peut imposer des obligations à des fins de renseignement sans garde-fous démocratiques ni mécanisme de contrôle ni procédure régulière ni droit de recours auprès d’une cour ou d’un tribunal indépendant. Lorsqu’elles déterminent l’importance d’un risque de cybersécurité au sens du présent règlement, la Commission et les autorités de surveillance du marché, conformément aux responsabilités qui leur incombent en vertu du présent règlement, devraient également tenir compte des facteurs de risque non techniques, en particulier ceux établis à la suite des évaluations coordonnées au niveau de l’Union des risques de sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555.

(59)

Afin de garantir la sécurité des produits comportant des éléments numériques après leur mise sur le marché, les fabricants doivent déterminer une période d’assistance qui doit correspondre à la durée d’utilisation prévue du produit comportant des éléments numériques. Pour déterminer la période d’assistance, le fabricant devrait notamment tenir compte des attentes raisonnables de l’utilisateur, de la nature du produit, ainsi que du droit de l’Union applicable à la durée de vie des produits comportant des éléments numériques. Les fabricants devraient également être en mesure de prendre en compte d’autres facteurs pertinents. Les critères doivent être appliqués de manière à garantir la proportionnalité de la durée de la période d’assistance. Sur demande, un fabricant doit fournir aux autorités de surveillance du marché les informations prises en compte pour déterminer la durée de la période d’assistance d’un produit comportant des éléments numériques.

(60)

La période d’assistance pendant laquelle le fabricant garantit le traitement efficace des vulnérabilités ne doit pas être inférieure à cinq ans, sauf si la durée de vie du produit comportant des éléments numériques est inférieure à cinq ans, auquel cas le fabricant doit assurer le traitement des vulnérabilités pendant ladite durée. Dans les cas des produits comportant des éléments numériques dont on peut raisonnablement s’attendre à ce qu’ils soient utilisés pendant plus de cinq ans, comme c’est souvent le cas pour les composants matériels tels que les cartes mères ou les microprocesseurs, les dispositifs de réseau tels que les routeurs, les modems ou les commutateurs, ainsi que les logiciels tels que les systèmes d’exploitation ou les outils d’édition vidéo, les fabricants devraient en conséquence prévoir des périodes d’assistance plus longues. En particulier, les produits comportant des éléments numériques destinés à être utilisés dans des environnements industriels, tels que les systèmes de contrôle industriels, sont souvent utilisés pendant des périodes beaucoup plus longues. Un fabricant ne devrait pouvoir définir une période d’assistance inférieure à cinq ans que si cela est justifié par la nature du produit comportant des éléments numériques concerné et s’il est prévu que ce produit soit utilisé pendant moins de cinq ans, auquel cas la période d’assistance devrait correspondre à la durée d’utilisation prévue. Par exemple, la durée de vie d’une application de recherche des contacts destinée à être utilisée pendant une pandémie pourrait être limitée à la durée de la pandémie. En outre, certaines applications logicielles ne peuvent par nature être mises à disposition que sous la forme d’un abonnement, en particulier lorsque l’application devient indisponible pour l’utilisateur et n’est donc plus utilisable à l’expiration de l’abonnement.

(61)

Lorsque les produits comportant des éléments numériques arrivent au terme de leur période d’assistance, afin de garantir que les vulnérabilités peuvent être traitées après la fin de la période d’assistance, les fabricants devraient envisager de divulguer le code source de ces produits comportant des éléments numériques soit à d’autres entreprises qui s’engagent à étendre la fourniture de services de traitement des vulnérabilités, soit au public. Lorsque les fabricants communiquent le code source à d’autres entreprises, ils doivent pouvoir protéger la propriété du produit comportant des éléments numériques et empêcher la diffusion du code source au public, par exemple au moyen d’accords contractuels.

(62)

Afin de garantir que les fabricants de l’Union déterminent des périodes d’assistance similaires pour des produits comparables comportant des éléments numériques, l’ADCO devrait publier des statistiques sur les périodes d’assistance moyennes déterminées par les fabricants pour des catégories de produits comportant des éléments numériques et publier des orientations indiquant les périodes d’assistance appropriées pour ces catégories. En outre, afin de garantir une approche harmonisée dans l’ensemble du marché intérieur, la Commission devrait pouvoir adopter des actes délégués pour spécifier des périodes d’assistance minimales pour des catégories de produits spécifiques lorsque les données fournies par les autorités de surveillance du marché semblent indiquer que les périodes d’assistance déterminées par les fabricants ne sont pas systématiquement conformes aux critères de détermination des périodes d’assistance établis dans le présent règlement ou que les fabricants de différents États membres déterminent de manière injustifiée des périodes d’assistance différentes.

(63)

Les fabricants doivent mettre en place un point de contact unique permettant aux utilisateurs d’entrer facilement en contact avec eux, notamment pour communiquer et recevoir des informations sur les vulnérabilités du produit comportant un élément numérique. Ils doivent faire en sorte que le point de contact unique soit facilement joignable par les utilisateurs et indiquer clairement sa disponibilité, en tenant ces informations à jour. Lorsque les fabricants optent pour des outils automatisés, par exemple des boîtes de dialogue, ils doivent également proposer un numéro de téléphone ou d’autres moyens de contact numériques, tels qu’une adresse électronique ou un formulaire de contact. Le point de contact unique ne doit pas dépendre uniquement d’outils automatisés.

(64)

Les fabricants devraient mettre à disposition sur le marché leurs produits comportant des éléments numériques dans une configuration sécurisée par défaut et fournir gratuitement des mises à jour de sécurité aux utilisateurs. Les fabricants ne devraient pouvoir s’écarter des exigences essentielles de cybersécurité qu’en ce qui concerne les produits sur mesure adaptés à un usage particulier et destinés à un utilisateur professionnel particulier, et lorsque le fabricant et l’utilisateur sont explicitement convenus d’un autre éventail de conditions contractuelles.

(65)

Les fabricants doivent notifier simultanément, via la plateforme unique de signalement, au centre de réponse aux incidents de sécurité informatique (CSIRT) désigné comme coordinateur et à l’ENISA les vulnérabilités activement exploitées contenues dans les produits comportant des éléments numériques, ainsi que les incidents graves ayant des répercussions sur la sécurité de ces produits. Les notifications doivent être transmises au moyen du point terminal de notification électronique d’un CSIRT désigné comme coordinateur et doivent être simultanément mises à la disposition de l’ENISA.

(66)

Il convient que les fabricants notifient les vulnérabilités activement exploitées afin que les CSIRT désignés comme coordinateurs, et l’ENISA, aient une bonne vue d’ensemble de ces vulnérabilités et reçoivent les informations nécessaires à l’accomplissement des tâches qui leur incombent en vertu de la directive (UE) 2022/2555 et à l’élévation du niveau global de cybersécurité des entités essentielles et importantes visées à l’article 3 de ladite directive, ainsi qu’afin de garantir le fonctionnement efficace des autorités de surveillance du marché. Étant donné que la plupart des produits comportant des éléments numériques sont commercialisés sur l’ensemble du marché intérieur, toute vulnérabilité exploitée dans un de ces produits devrait être considérée comme une menace pour le fonctionnement du marché intérieur. L’ENISA devrait, en accord avec le fabricant, divulguer les vulnérabilités fixes à la base de données européenne sur les vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555. La base de données européenne sur les vulnérabilités aidera les fabricants à détecter les vulnérabilités exploitables constatées dans leurs produits afin de garantir que les produits mis sur le marché sont sûrs.

(67)

Les fabricants devraient également notifier au CSIRT désigné comme coordinateur et à l’ENISA tout incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques. Afin de garantir que les utilisateurs puissent réagir rapidement aux graves incidents ayant des répercussions sur la sécurité de leurs produits comportant des éléments numériques, les fabricants devraient également informer leurs utilisateurs de tout incident de ce type et, le cas échéant, de toute mesure corrective que les utilisateurs peuvent mettre en œuvre pour atténuer les répercussions de l’incident, par exemple en publiant des informations pertinentes sur leur site internet ou, lorsque le fabricant est en mesure de contacter les utilisateurs et lorsque les risques de cybersécurité le justifient, en contactant directement les utilisateurs.

(68)

Les vulnérabilités activement exploitées concernent les cas où un fabricant établit qu’une faille de sécurité touchant ses utilisateurs ou toute autre personne physique ou morale résulte de l’utilisation par une personne malveillante d’une faille dans l’un des produits comportant des éléments numériques mis à disposition sur le marché par le fabricant. Il peut s’agir par exemple de vulnérabilités dans les fonctions d’identification et d’authentification d’un produit. Les vulnérabilités qui sont découvertes sans intention malveillante pour les besoins d’essais, d’enquêtes, de correction ou de divulgation de bonne foi afin de renforcer la sécurité ou la sûreté du propriétaire du système et de ses utilisateurs ne devraient pas faire l’objet de notifications obligatoires. Les incidents graves ayant des répercussions sur la sécurité du produit comportant des éléments numériques sont, quant à eux, des situations dans lesquelles un incident de cybersécurité perturbe les processus de développement, de production ou de maintenance du fabricant d’une manière telle qu’il pourrait en résulter un risque accru de cybersécurité pour les utilisateurs ou d’autres personnes. Un tel incident grave pourrait notamment désigner la situation dans laquelle un pirate aurait réussi à introduire un code malveillant dans le canal de diffusion par lequel le fabricant publie ses mises à jour de sécurité à l’intention des utilisateurs.

(69)

Pour garantir que les notifications peuvent être diffusées rapidement à tous les CSIRT désignés comme coordinateurs et pour permettre aux fabricants de soumettre une seule notification à chaque étape du processus de notification, l’ENISA doit créer une plateforme unique de signalement avec des points finaux de notification électronique nationaux. Les opérations quotidiennes de la plateforme unique de signalement doivent être administrées par l’ENISA qui en assurera le fonctionnement. Les CSIRT désignés comme coordinateurs doivent informer leurs autorités de surveillance du marché respectives des vulnérabilités ou incidents qui ont été notifiés. La plateforme unique de signalement devrait être conçue de manière à garantir la confidentialité des notifications, en particulier en ce qui concerne les vulnérabilités pour lesquelles une mise à jour de sécurité n’est pas encore disponible. En outre, l’ENISA devrait mettre en place des procédures pour traiter les informations de manière sûre et confidentielle. Sur la base des informations qu’elle recueille, l’ENISA devrait préparer un rapport technique bisannuel sur les tendances émergentes concernant les risques de cybersécurité dans les produits comportant des éléments numériques et le soumettre au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555.

(70)

Dans des circonstances exceptionnelles et en particulier à la demande du fabricant, le CSIRT désigné comme coordinateur qui reçoit le premier une notification devrait pouvoir décider de retarder sa diffusion aux autres CSIRT concernés désignés comme coordinateurs via la plateforme unique de signalement, lorsque cela peut être justifié par des motifs ayant trait à la cybersécurité et pour la durée strictement nécessaire. Le CSIRT désigné comme coordinateur doit immédiatement informer l’ENISA de la décision de retarder la diffusion et des raisons de ce retard, ainsi que de la date à laquelle il prévoit de procéder à cette diffusion. La Commission devrait élaborer, par voie d’un acte délégué, des spécifications sur les modalités et conditions d’application des motifs ayant trait à la cybersécurité et devrait coopérer avec le réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555 et l’ENISA pour préparer le projet d’acte délégué. Parmi les exemples de motifs ayant trait à la cybersécurité, figurent une procédure coordonnée de divulgation des vulnérabilités ou bien des situations dans lesquelles un fabricant est censé fournir une mesure d’atténuation à brève échéance et où les risques pour la cybersécurité d’une diffusion immédiate via la plateforme unique de signalement l’emportent sur les avantages qu’elle apporterait. Si le CSIRT désigné comme coordinateur le demande, l’ENISA doit être en mesure de l’aider à faire valoir les motifs liés à la cybersécurité pour retarder la diffusion de la notification sur la base des informations que l’ENISA a reçues de ce CSIRT sur la décision de ne pas diffuser une notification pour lesdits motifs. De plus, dans des circonstances tout à fait exceptionnelles, il y a lieu que l’ENISA ne reçoive pas simultanément tous les détails d’une notification de vulnérabilité activement exploitée. Ce serait le cas lorsque le fabricant indique dans sa notification que la vulnérabilité notifiée a été activement exploitée par une personne malveillante et que, selon les informations disponibles, elle n’a été exploitée dans aucun autre État membre que celui du CSIRT désigné comme coordinateur auquel le fabricant a notifié la vulnérabilité, lorsque toute nouvelle diffusion immédiate de la vulnérabilité notifiée entraînerait probablement la transmission d’informations dont la divulgation serait contraire aux intérêts essentiels de cet État membre, ou lorsque la vulnérabilité notifiée présente un risque élevé et imminent de cybersécurité du fait de sa diffusion ultérieure. Dans de tels cas, l’ENISA ne recevra simultanément que l’information qu’une notification a été effectuée par le fabricant, des informations générales sur le produit comportant des éléments numériques concerné, l’information sur la nature générale de l’exploitation et l’information sur le fait que ces motifs de sécurité ont été soulevés par le fabricant et que le contenu complet de la notification n’est donc pas divulgué. La notification complète doit alors être mise à la disposition de l’ENISA et d’autres CSIRT désignés comme coordinateurs lorsque le CSIRT désigné comme coordinateur qui reçoit le premier la notification constate que ces motifs de sécurité, en raison de circonstances particulièrement exceptionnelles telles qu’établies dans le présent règlement, ont disparu. Lorsque, sur la base des informations disponibles, l’ENISA considère qu’il existe un risque systémique compromettant la sécurité du marché intérieur, elle doit recommander au CSIRT destinataire de diffuser la notification complète aux autres CSIRT désignés comme coordinateurs et à l’ENISA elle-même.

(71)

Lorsque les fabricants notifient une vulnérabilité activement exploitée ou un incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques, ils doivent indiquer la nature sensible qu’ils estiment devoir attribuer à l’information notifiée. Le CSIRT désigné comme coordinateur qui reçoit le premier la notification doit tenir compte de ces informations lorsqu’il évalue si la notification donne lieu à des circonstances exceptionnelles qui justifient de retarder la diffusion de la notification aux autres CSIRT concernés désignés comme coordinateurs, pour des motifs justifiés ayant trait à la cybersécurité. Il doit également tenir compte de ces informations lorsqu’il évalue si la notification d’une vulnérabilité activement exploitée donne lieu à des circonstances particulièrement exceptionnelles qui justifient que la notification complète ne soit pas mise à la disposition de l’ENISA au même moment. Enfin, les CSIRT désignés comme coordinateurs devraient être en mesure de prendre en considération ces informations lorsqu’ils définissent les mesures appropriées pour atténuer les risques découlant de ces vulnérabilités et incidents.

(72)

Afin de simplifier la communication des informations requises au titre du présent règlement, compte tenu des autres exigences complémentaires en matière de communication prévues par le droit de l’Union, telles que le règlement (UE) 2016/679, le règlement (UE) 2022/2554 du Parlement européen et du Conseil (25), la directive 2002/58/CE du Parlement européen et du Conseil (26) et la directive (UE) 2022/2555, et afin de réduire la charge administrative pesant sur les entités, les États membres sont incités à étudier la possibilité de mettre en place, au niveau national, des points d’entrée uniques pour lesdites exigences en matière de communication d’informations. L’utilisation de ces points d’entrée uniques nationaux pour la notification des incidents de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. Lors de la mise en place de la plateforme unique de signalement visée dans le présent règlement, l’ENISA doit prendre en compte la possibilité pour les points finaux nationaux de notification électronique visés dans le présent règlement d’être intégrés dans des points d’entrée uniques nationaux qui peuvent également regrouper d’autres notifications requises par le droit de l’Union.

(73)

Lors de la mise en place de la plateforme unique de signalement visée dans le présent règlement et afin de mettre à profit l’expérience acquise, l’ENISA devrait consulter d’autres institutions ou agences de l’Union qui gèrent des plateformes ou des bases de données soumises à de strictes exigences de sécurité, telles que l’Agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice (eu-LISA). L’ENISA devrait également analyser les possibilités de complémentarité avec la base de données européenne sur les vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555.

(74)

Les fabricants et autres personnes physiques et morales devraient pouvoir notifier à un CSIRT désigné comme coordinateur ou à l’ENISA, à titre volontaire, toute vulnérabilité contenue dans un produit comportant des éléments numériques, les cybermenaces qui pourraient influer sur le profil de risque d’un produit comportant des éléments numériques, tout incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques ainsi que les incidents évités de justesse qui auraient pu déboucher sur un tel incident.

(75)

Les États membres devraient s’efforcer de traiter, dans la mesure du possible, les difficultés auxquelles sont confrontés les experts qui recherchent les vulnérabilités, y compris le risque lié à la responsabilité pénale potentielle, conformément au droit national. Étant donné que les personnes morales et physiques qui recherchent les vulnérabilités pourraient, dans certains États membres, être exposées à une responsabilité pénale et civile, les États membres sont encouragés à adopter des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour leurs activités.

(76)

Les fabricants de produits comportant des éléments numériques devraient mettre en place des politiques de divulgation coordonnée des vulnérabilités afin de faciliter le signalement desdites vulnérabilités par des personnes ou des entités soit directement au fabricant soit indirectement et, sur demande, de manière anonyme, par l’intermédiaire des CSIRT désignés comme coordinateurs aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. Toute politique de divulgation coordonnée des vulnérabilités par les fabricants devrait définir un processus structuré dans lequel les vulnérabilités sont signalées à un fabricant de manière à lui donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. En outre, les fabricants devraient également étudier la possibilité de publier leurs politiques de sécurité dans un format lisible par machine. Étant donné que les informations sur les vulnérabilités exploitables dans les produits comportant des éléments numériques largement utilisés peuvent être vendues à des prix élevés sur le marché noir, les fabricants de ces produits devraient pouvoir utiliser, dans le cadre de leurs politiques de divulgation coordonnée des vulnérabilités, des programmes visant à encourager le signalement des vulnérabilités en veillant à ce que les personnes ou les entités soient reconnues et récompensées pour leurs efforts. Il s’agit de ce que l’on appelle les programmes dits de «prime aux bogues».

(77)

Afin de faciliter l’analyse de la vulnérabilité, les fabricants devraient répertorier et documenter les composants contenus dans les produits comportant des éléments numériques, notamment en établissant une nomenclature des logiciels. Une telle nomenclature peut fournir à ceux qui fabriquent, achètent et exploitent des logiciels des informations de nature à améliorer leur compréhension de la chaîne d’approvisionnement, ce qui présente de multiples avantages. Elle peut en particulier aider les fabricants et les utilisateurs à suivre les vulnérabilités et les risques émergents nouvellement apparus en matière de cybersécurité. Il est particulièrement important pour les fabricants de s’assurer que leurs produits comportant des éléments numériques ne contiennent pas de composants vulnérables développés par des tiers. Les fabricants ne devraient pas être tenus de rendre publique la nomenclature des logiciels.

(78)

Dans le cadre des nouveaux modèles commerciaux complexes liés aux ventes en ligne, une entreprise exerçant ses activités en ligne peut fournir toute une série de services. Selon la nature des services fournis en rapport avec un produit donné comportant des éléments numériques, la même entité peut relever de différentes catégories de modèles d’entreprise ou d’opérateurs économiques. Lorsqu’une entité fournit uniquement des services d’intermédiation en ligne pour un produit donné comportant des éléments numériques et n’est qu’un fournisseur d’une place de marché en ligne au sens de l’article 3, point 14), du règlement (UE) 2023/988, elle ne peut être considérée comme l’un des types d’opérateurs économiques définis dans le présent règlement. Lorsque la même entité est un fournisseur d’une place de marché en ligne et agit également comme opérateur économique au sens du présent règlement, pour la vente de produits particuliers comportant des éléments numériques, elle devrait être soumise aux obligations prévues par le présent règlement pour ce type d’opérateur économique. Par exemple, si le fournisseur d’une place de marché en ligne distribue également un produit comportant des éléments numériques, il sera alors considéré, en ce qui concerne la vente de ce produit, comme un distributeur. De même, si l’entité en question vend des produits de sa propre marque qui comportent des éléments numériques, elle serait considérée comme un fabricant et devrait donc se conformer aux exigences applicables aux fabricants. En outre, certaines entités peuvent être considérées comme des prestataires de services d’exécution des commandes au sens de l’article 3, point 11), du règlement (UE) 2019/1020 du Parlement européen et du Conseil (27) si elles proposent de tels services. Ces situations devraient être appréciées au cas par cas. Les places de marché en ligne jouant un rôle de premier plan dans le commerce électronique, elles devraient s’efforcer de coopérer avec les autorités de surveillance du marché des États membres pour contribuer à veiller à ce que les produits comportant des éléments numériques qui sont achetés par leur intermédiaire respectent les exigences de cybersécurité prévues par le présent règlement.

(79)

Afin de faciliter l’évaluation de la conformité aux exigences prévues par le présent règlement, il convient de prévoir une présomption de conformité pour les produits dont les éléments numériques sont conformes à des normes harmonisées, qui traduisent les exigences essentielles de cybersécurité énoncées dans le présent règlement en spécifications techniques détaillées et sont adoptées conformément au règlement (UE) no 1025/2012 du Parlement européen et du Conseil (28). Ledit règlement prévoit une procédure pour la formulation d’objections à l’encontre de normes harmonisées lorsque celles-ci ne satisfont pas pleinement aux exigences énoncées dans le présent règlement. Le processus de normalisation devrait garantir une représentation équilibrée des intérêts et la participation effective des parties prenantes de la société civile, y compris des organisations de consommateurs. Les normes internationales qui sont conformes au niveau de protection en matière de cybersécurité visé par les exigences essentielles de cybersécurité prévues par le présent règlement devraient également être prises en compte, afin de faciliter l’élaboration de normes harmonisées et la mise en œuvre du présent règlement, ainsi que la mise en conformité des entreprises, en particulier des microentreprises et des petites et moyennes entreprises, et de celles qui exercent leurs activités à l’échelle mondiale.

(80)

L’élaboration en temps utile de normes harmonisées au cours de la période transitoire pour l’application du présent règlement et leur disponibilité avant la date d’application du présent règlement seront particulièrement importantes pour sa mise en œuvre effective. C’est notamment le cas des produits importants comportant des éléments numériques qui relèvent de la classe I. La disponibilité de normes harmonisées permettra aux fabricants de ces produits d’effectuer les évaluations de la conformité selon la procédure de contrôle interne et peut ainsi éviter les goulets d’étranglement et les retards dans les activités des organismes d’évaluation de la conformité.

(81)

Le règlement (UE) 2019/881 établit un cadre européen de certification volontaire de cybersécurité pour les produits TIC, les processus TIC et les services TIC. Les schémas européens de certification de cybersécurité offrent un cadre commun de confiance pour les utilisateurs des produits comportant des éléments numériques qui entrent dans le champ d’application du présent règlement. Le présent règlement devrait dès lors créer des synergies avec le règlement (UE) 2019/881. Afin de faciliter l’évaluation de la conformité aux exigences prévues par le présent règlement, les produits comportant des éléments numériques qui sont certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma européen de cybersécurité conformément au règlement (UE) 2019/881 qui a été désigné par la Commission dans un acte d’exécution, sont présumés conformes aux exigences essentielles de cybersécurité énoncées dans le présent règlement pour autant que le certificat européen de cybersécurité ou la déclaration de conformité ou des parties de ceux-ci couvrent ces exigences. La nécessité de nouveaux schémas européens de certification de cybersécurité pour les produits comportant des éléments numériques devrait être évaluée à la lumière du présent règlement, y compris lors de l’élaboration du programme de travail glissant de l’Union conformément au règlement (UE) 2019/881. Lorsqu’il est nécessaire d’établir un nouveau schéma régissant les produits comportant des éléments numériques, notamment pour faciliter la mise en conformité avec le présent règlement, la Commission peut demander à l’ENISA d’élaborer des schémas candidats conformément à l’article 48 du règlement (UE) 2019/881. Ces futurs schémas européens de certification de cybersécurité, destinés à couvrir les produits comportant des éléments numériques, devraient tenir compte des exigences essentielles de cybersécurité et des procédures d’évaluation de la conformité énoncées dans le présent règlement et faciliter le respect de celui-ci. Pour les schémas européens de certification de cybersécurité qui entrent en vigueur avant l’entrée en vigueur du présent règlement, des précisions peuvent être nécessaires sur les modalités selon lesquelles la présomption de conformité peut s’appliquer. Il convient d’habiliter, par voie d’actes délégués, la Commission à préciser dans quelles conditions les schémas européens de certification de cybersécurité peuvent être utilisés pour démontrer la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement. En outre, afin d’éviter une charge administrative excessive, il ne devrait y avoir aucune obligation pour les fabricants de faire procéder à une évaluation de conformité par un tiers comme le prévoit le présent règlement pour les exigences correspondantes lorsqu’un certificat européen de cybersécurité a été délivré au titre desdits schémas européens de certification de cybersécurité, au moins au niveau substantiel.

(82)

Dès l’entrée en vigueur du règlement d’exécution (UE) 2024/482 relatif aux produits relevant du champ d’application du présent règlement, tels que les modules de sécurité matériels et les microprocesseurs, la Commission devrait être en mesure de préciser, par voie d’un acte délégué, comment la certification EUCC crée une présomption de conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement ou à certaines de ses parties En outre, cet acte délégué peut définir comment un certificat délivré au titre de la EUCC élimine l’obligation pour les fabricants d’avoir recours à une évaluation par un tiers, comme l’exige le présent règlement, pour les exigences correspondantes.

(83)

Le cadre de normalisation européen en vigueur qui repose sur les principes de la nouvelle approche définie dans la résolution du Conseil du 7 mai 1985 concernant une nouvelle approche en matière d’harmonisation technique et de normalisation et sur le règlement (UE) no 1025/2012 constitue par défaut le cadre régissant l’élaboration des normes prévoyant la présomption de conformité aux exigences essentielles de cybersécurité pertinentes énoncées dans le présent règlement. Les normes européennes devraient être axées sur le marché et tenir compte de l’intérêt public, ainsi que des objectifs stratégiques clairement énoncés dans la demande que la Commission adresse à une ou plusieurs organisations européennes de normalisation pour qu’elles élaborent des normes harmonisées, dans un délai déterminé et sur la base d’un consensus. Toutefois, en l’absence de références pertinentes à des normes harmonisées, la Commission devrait pouvoir adopter des actes d’exécution établissant des spécifications communes pour les exigences essentielles de cybersécurité énoncées dans le présent règlement, à condition que, ce faisant, elle respecte dûment le rôle et les fonctions des organisations européennes de normalisation, en tant que solution de repli exceptionnelle pour faciliter l’obligation du fabricant de se conformer à ces exigences essentielles de cybersécurité, lorsque le processus de normalisation est bloqué ou lorsqu’il y a des retards dans l’établissement de normes harmonisées appropriées. Si un tel retard est dû à la complexité technique de la norme en question, la Commission devrait en tenir compte avant d’envisager l’établissement de spécifications communes.

(84)

Afin d’établir, avec la plus grande efficacité, des spécifications communes applicables aux exigences essentielles de cybersécurité énoncées dans le présent règlement, la Commission devrait associer au processus les parties prenantes concernées.

(85)

Par délai raisonnable, en lien avec la publication d’une référence à des normes harmonisées au Journal officiel de l’Union européenne conformément au règlement (UE) no 1025/2012, on entend la période pendant laquelle est attendue la publication au Journal officiel de l’Union européenne de la référence à la norme, de son rectificatif ou de sa modification, période qui ne doit pas être supérieure à une année après l’expiration du délai d’élaboration d’une norme européenne fixé conformément au règlement (UE) no 1025/2012.

(86)

Afin de faciliter l’évaluation de la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement, il convient d’établir une présomption de conformité pour les produits comportant des éléments numériques répondant aux spécifications communes adoptées par la Commission en vertu du présent règlement, aux fins de l’expression de spécifications techniques détaillées sur la base de ces exigences.

(87)

L’application de normes harmonisées, de spécifications communes ou de schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 et fournissant une présomption de conformité en ce qui concerne les exigences essentielles applicables aux produits comportant des éléments numériques facilitera l’évaluation de la conformité par les fabricants. Si le fabricant choisit de ne pas recourir à ces moyens pour certaines exigences, il doit indiquer dans sa documentation technique de quelle autre manière la conformité est respectée. En outre, l’application de normes harmonisées, de spécifications communes ou de schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 et fournissant une présomption de conformité par les fabricants faciliterait le contrôle, par les autorités de surveillance du marché, de la conformité des produits comportant des éléments numériques. Par conséquent, les fabricants de produits comportant des éléments numériques sont incités à appliquer ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité.

(88)

Il y a lieu que les fabricants établissent une déclaration UE de conformité afin de fournir les informations requises par le présent règlement concernant la conformité des produits comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées dans le présent règlement et, le cas échéant, par d’autres législations d’harmonisation de l’Union applicables dont relève le produit comportant des éléments numériques. Les fabricants peuvent également être tenus d’établir une déclaration UE de conformité en vertu d’autres actes juridiques de l’Union. Pour garantir un accès effectif aux informations à des fins de surveillance du marché, une déclaration UE de conformité unique attestant le respect de tous les actes juridiques de l’Union devrait être établie. Pour réduire la charge administrative pesant sur les opérateurs économiques, cette déclaration UE de conformité unique devrait pouvoir être un dossier composé des différentes déclarations de conformité pertinentes.

(89)

Le marquage CE, qui matérialise la conformité d’un produit, est le résultat visible de tout un processus englobant l’évaluation de conformité au sens large. Le règlement (CE) no 765/2008 du Parlement européen et du Conseil (29) établit les principes généraux régissant le marquage CE. Les règles régissant l’apposition du marquage CE sur les produits comportant des éléments numériques devraient être définies par le présent règlement. Le marquage CE devrait être le seul marquage garantissant la conformité d’un produit comportant des éléments numériques aux exigences énoncées dans le présent règlement.

(90)

Afin de permettre aux opérateurs économiques de démontrer qu’ils respectent les exigences essentielles de cybersécurité énoncées dans le présent règlement et aux autorités de surveillance du marché de s’assurer que les produits comportant des éléments numériques mis à disposition sur le marché sont conformes à ces exigences, il est nécessaire de prévoir des procédures d’évaluation de la conformité. La décision no 768/2008/CE du Parlement européen et du Conseil (30) établit des modules pour l’évaluation de la conformité, dont les procédures sont proportionnées au risque encouru et au niveau de sécurité requis. Afin d’assurer la cohérence entre les secteurs et d’éviter une multiplication de variantes ad hoc, des procédures adéquates devraient être fondées sur ces modules afin de vérifier la conformité des produits comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées dans le présent règlement. Les procédures d’évaluation de la conformité devraient examiner et vérifier les exigences relatives aux produits et aux processus couvrant l’ensemble du cycle de vie des produits comportant des éléments numériques, y compris la planification, la conception, le développement ou la production, les essais et l’entretien du produit comportant des éléments numériques.

(91)

L’évaluation de la conformité des produits comportant des éléments numériques qui ne sont pas répertoriés dans le présent règlement en tant que produits importants ou critiques comportant des éléments numériques peut être effectuée par le fabricant sous sa propre responsabilité, conformément à la procédure de contrôle interne fondée sur le module A de la décision 768/2008/CE, conformément au présent règlement. Cela s’applique également aux cas où un fabricant choisit de ne pas appliquer, en tout ou en partie, une norme harmonisée, une spécification commune ou un schéma européen de certification de cybersécurité applicable. Le fabricant conserve la possibilité de choisir une procédure d’évaluation de la conformité plus stricte faisant intervenir un tiers. Dans le cadre de la procédure d’évaluation de la conformité par contrôle interne, le fabricant assure et déclare sous sa seule responsabilité que le produit comportant des éléments numériques et les procédés du fabricant satisfont aux exigences essentielles de cybersécurité applicables définies dans le présent règlement. Si un produit important comportant des éléments numériques relève de la classe I, une assurance supplémentaire est requise pour démontrer la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement. Le fabricant devrait appliquer des normes harmonisées, des spécifications communes ou des schémas européens de certification de cybersécurité adoptés conformément au règlement (UE) 2019/881, répertoriés par la Commission dans un acte d’exécution, s’il souhaite effectuer l’évaluation de la conformité sous sa propre responsabilité (module A). Si le fabricant n’applique pas ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité, il devrait se soumettre à une évaluation de la conformité par un tiers (sur la base des modules B et C ou du module H). Compte tenu de la charge administrative pesant sur les fabricants et du fait que la cybersécurité joue un rôle important dans la phase de conception et de développement des produits matériels et immatériels comportant des éléments numériques, les procédures d’évaluation de la conformité fondées respectivement sur les modules B et C ou du module H de la décision 768/2008/CE ont été retenues comme étant les plus appropriées pour évaluer de manière proportionnée et efficace la conformité des produits importants comportant des éléments numériques. Le fabricant qui fait procéder à l’évaluation de conformité par un tiers peut choisir la procédure qui convient le mieux à son processus de conception et de production. Compte tenu du risque de cybersécurité encore plus grand lié à l’utilisation de produits importants comportant des éléments numériques qui relèvent de la classe II, l’évaluation de la conformité de ces produits devrait toujours prévoir l’intervention d’un tiers, même lorsque le produit est conforme, en tout ou en partie, à des normes harmonisées, à des spécifications communes ou à des schémas européens de certification de cybersécurité. Les fabricants de produits importants comportant des éléments numériques répondant aux critères de logiciels libres et ouverts devraient pouvoir suivre la procédure de contrôle interne basée sur le module A, à condition de mettre la documentation technique à la disposition du public.

(92)

Si la création de produits matériels comportant des éléments numériques nécessite généralement des efforts substantiels de la part des fabricants tout au long des phases de conception, de développement et de production, la création de produits comportant des éléments numériques sous la forme de logiciels se concentre presque exclusivement sur la conception et le développement, tandis que la phase de production joue un rôle mineur. Néanmoins, dans de nombreux cas, les produits logiciels doivent encore être compilés, construits, conditionnés, mis à disposition pour téléchargement ou copiés sur des supports physiques avant leur mise sur le marché. Ces activités devraient être assimilées à des activités de production lors de l’application des modules d’évaluation pertinents pour vérifier la conformité du produit aux exigences essentielles de cybersécurité énoncées dans le présent règlement au cours des phases de conception, de développement et de production.

(93)

En ce qui concerne les microentreprises et les petites entreprises, il convient, afin de garantir la proportionnalité, de réduire les frais administratifs sans pour autant que le niveau de cyberprotection des produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement non plus que l’équité des conditions de concurrence entre les fabricants en pâtissent. Il convient donc que la Commission établisse un formulaire de documentation technique simplifiée ciblant les besoins des microentreprises et des petites entreprises. Il convient que le formulaire de documentation technique simplifiée adopté par la Commission porte sur l’ensemble des éléments applicables relatifs à la documentation technique prévue dans le présent règlement et qu’il précise les modalités suivant lesquelles une microentreprise ou une petite entreprise peut fournir de manière concise les éléments demandés, tels que la description de la conception, du développement et de la fabrication du produit comportant des éléments numériques. Ainsi, le formulaire contribuerait à alléger la charge administrative de la conformité en apportant aux entreprises concernées une sécurité juridique quant au périmètre et au niveau de détail requis des informations à fournir. Il convient de permettre également aux microentreprises et aux petites entreprises de choisir de fournir sous forme développée les éléments applicables relatifs à la documentation technique et de ne pas recourir au formulaire de documentation technique simplifiée mis à leur disposition.

(94)

Il importe, pour encourager et protéger l’innovation, de prêter une attention particulière aux intérêts des fabricants qui sont des microentreprises ou des petites et moyennes entreprises, et en particulier des microentreprises et des petites entreprises, y compris les jeunes pousses. À cette fin, les États membres pourraient élaborer des initiatives ciblant les fabricants qui sont des microentreprises ou des petites entreprises, notamment en matière de formation, de sensibilisation, de communication des informations et d’activités d’essai et d’évaluation de la conformité par un tiers, ainsi que créer des sas réglementaires. Les coûts de traduction liés aux documents obligatoires, tels que la documentation technique et les informations et instructions destinées à l’utilisateur exigées en vertu du présent règlement, ainsi qu’à la communication avec les autorités, peuvent être importants pour les fabricants, en particulier s’ils sont de petite taille. Les États membres devraient donc pouvoir envisager qu’une des langues qu’ils choisissent et acceptent pour la documentation pertinente des fabricants et pour la communication avec les fabricants soit une langue largement comprise par le plus grand nombre possible d’utilisateurs.

(95)

Pour garantir une bonne application du présent règlement, les États membres devraient s’efforcer de garantir, avant la date d’application du présent règlement, la disponibilité en nombre suffisant d’organismes notifiés à même de réaliser des évaluations de la conformité par un tiers. La Commission devrait s’efforcer d’aider les États membres et les autres parties concernées dans cette démarche afin d’éviter aux fabricants les goulets d’étranglement et les obstacles à l’entrée sur le marché. Des activités de formation ciblées, menées par les États membres, y compris, le cas échéant, avec l’appui de la Commission, peuvent contribuer à la disponibilité de professionnels qualifiés, y compris pour aider les organismes notifiés dans leurs activités au titre du présent règlement. En outre, étant donné les coûts que peut engendrer l’évaluation de la conformité par un tiers, il convient d’envisager la mise en place d’initiatives de financement au niveau de l’Union et au niveau national afin de s’efforcer de réduire ces coûts pour les microentreprises et les petites entreprises.

(96)

Afin de garantir la proportionnalité, il convient que les organismes d’évaluation de la conformité, lorsqu’ils fixent les redevances imposées pour les procédures d’évaluation de la conformité, tiennent compte des intérêts et besoins spécifiques des microentreprises et des petites et moyennes entreprises, y compris les jeunes pousses. En particulier, il convient que les organismes d’évaluation de la conformité n’appliquent la procédure d’examen et les essais pertinents prévus dans le présent règlement que lorsqu’il y a lieu et suivant une approche fondée sur les risques.

(97)

Les sas réglementaires devraient avoir pour objectif de renforcer l’innovation et la compétitivité des entreprises en créant des environnements d’essai contrôlés avant la mise sur le marché de produits comportant des éléments numériques. Il convient que les sas réglementaires contribuent au renforcement de la sécurité juridique pour l’ensemble des acteurs qui relèvent du champ d’application du présent règlement et accélèrent l’accès au marché de l’Union des produits comportant des éléments numériques, en particulier s’ils sont fournis par des microentreprises et des petites entreprises, y compris des jeunes pousses.

(98)

Afin de permettre la réalisation d’une évaluation de la conformité par un tiers pour des produits comportant des éléments numériques, les autorités nationales notifiantes devraient notifier les organismes d’évaluation de la conformité à la Commission et aux autres États membres, pour autant qu’ils respectent un ensemble d’exigences, notamment en matière d’indépendance, de compétence et d’absence de conflits d’intérêts.

(99)

Afin d’assurer un niveau de qualité homogène des évaluations de la conformité de produits comportant des éléments numériques, il est également nécessaire de définir les exigences auxquelles doivent satisfaire les autorités notifiantes et les autres organismes qui participent à l’évaluation, à la notification et à la surveillance des organismes notifiés. Le système défini dans le présent règlement devrait être complété par le système d’accréditation prévu dans le règlement (CE) no 765/2008. Dans la mesure où l’accréditation constitue un moyen essentiel pour vérifier la compétence des organismes d’évaluation de la conformité, il y a lieu d’y avoir également recours aux fins de la notification.

(100)

Il convient d’évaluer et de notifier à nouveau conformément au présent règlement les organismes d’évaluation de la conformité qui ont été accrédités et notifiés conformément au droit de l’Union définissant des exigences similaires à celles prévues par le présent règlement, par exemple un organisme d’évaluation de la conformité qui a été notifié dans le cadre d’un schéma européen de certification de cybersécurité adopté conformément au règlement (UE) 2019/881 ou notifié conformément au règlement délégué (UE) 2022/30. Toutefois, les autorités concernées peuvent prévoir des synergies en cas de chevauchement d’exigences afin d’éviter toute charge financière et administrative inutile et de garantir le bon déroulement en temps utile du processus de notification.

(101)

L’accréditation organisée de manière transparente, ainsi que le prévoit le règlement (CE) no 765/2008, pour assurer le niveau nécessaire de confiance dans les certificats de conformité, devrait être considérée par les autorités publiques nationales dans l’ensemble de l’Union comme le moyen privilégié de démontrer la compétence technique des organismes d’évaluation de la conformité. Cependant, les autorités nationales peuvent estimer qu’elles disposent des moyens appropriés pour procéder elles-mêmes à cette évaluation. Dans ce cas, afin de garantir le niveau suffisant de crédibilité des évaluations réalisées par d’autres autorités nationales, elles devraient fournir à la Commission et aux autres États membres les preuves documentaires nécessaires démontrant que les organismes d’évaluation de la conformité qui font l’objet de ladite évaluation satisfont aux exigences réglementaires pertinentes.

(102)

Les organismes d’évaluation de la conformité sous-traitent fréquemment une partie de leurs activités liées à l’évaluation de la conformité, ou ont recours à une filiale. Afin de préserver le niveau de protection requis pour les produits comprenant des éléments numériques destinés à être mises sur le marché, il est primordial que les sous-traitants et les filiales qui réalisent l’évaluation de la conformité respectent les mêmes exigences que les organismes notifiés pour ce qui est de la réalisation des tâches d’évaluation de la conformité.

(103)

L’autorité notifiante devrait envoyer la notification d’un organisme d’évaluation de la conformité à la Commission et aux autres États membres par l’intermédiaire du système d’information NANDO (New Approach Notified and Designated Organisations). Le système d’information NANDO est l’outil de notification électronique développé et géré par la Commission, où une liste de tous les organismes notifiés peut être trouvée.

(104)

Étant donné que les organismes notifiés peuvent offrir leurs services dans l’ensemble de l’Union, il convient de donner aux autres États membres et à la Commission la possibilité de soulever des objections à l’égard d’un organisme notifié. Il est donc important de prévoir une période pendant laquelle d’éventuels doutes ou inquiétudes quant à la compétence d’organismes d’évaluation de la conformité peuvent être levés, avant que ceux-ci ne débutent leurs activités en tant qu’organismes notifiés.

(105)

Pour des raisons de compétitivité, il est essentiel que les organismes notifiés appliquent les procédures d’évaluation de la conformité sans imposer une charge inutile aux opérateurs économiques. Pour les mêmes raisons et afin de garantir l’égalité de traitement des opérateurs économiques, il y a lieu de veiller à une application technique cohérente desdites procédures. La meilleure manière d’atteindre cet objectif serait d’assurer une coordination et une coopération appropriées entre les organismes notifiés.

(106)

La surveillance du marché est un outil essentiel pour assurer l’application correcte et uniforme du droit de l’Union. Il convient dès lors de mettre en place le cadre juridique dans lequel la surveillance du marché pourra être effectuée de manière appropriée. Les règles relatives à la surveillance du marché de l’Union et au contrôle des produits entrant sur le marché de l’Union prévues par le règlement (UE) 2019/1020 s’appliquent aux produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement.

(107)

Conformément au règlement (UE) 2019/1020, une autorité de surveillance du marché est chargée de la surveillance du marché sur le territoire de l’État membre qui l’a désignée. Le présent règlement ne devrait pas empêcher les États membres de choisir les autorités compétentes pour l’accomplissement des tâches de surveillance du marché. Chaque État membre devrait désigner une ou plusieurs autorités de surveillance du marché sur son territoire. Les États membres devraient pouvoir choisir de désigner toute autorité existante ou nouvelle pour agir en qualité d’autorité de surveillance du marché, y compris les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555, les autorités nationales de certification de cybersécurité désignées en vertu de l’article 58 du règlement (UE) 2019/881 ou les autorités de surveillance du marché désignées aux fins de la directive 2014/53/UE. Les opérateurs économiques devraient coopérer pleinement avec les autorités de surveillance du marché et les autres autorités compétentes. Chaque État membre devrait communiquer à la Commission ainsi qu’aux autres États membres le nom de ses autorités de surveillance du marché et les domaines de compétence de chacune de ces autorités et veiller à ce qu’elles disposent des ressources et compétences nécessaires pour effectuer les tâches de surveillance du marché qui leur incombent en vertu du présent règlement. En vertu de l’article 10, paragraphes 2 et 3, du règlement (UE) 2019/1020, chaque État membre devrait désigner un bureau de liaison unique chargé, entre autres, de représenter la position coordonnée des autorités de surveillance du marché et de contribuer à la coopération entre les autorités de surveillance du marché des différents États membres.

(108)

Il convient de créer un ADCO chargé spécifiquement de la cyberrésilience des produits comportant des éléments numériques aux fins de l’application uniforme du présent règlement, conformément à l’article 30, paragraphe 2, du règlement (UE) 2019/1020. L’ADCO devrait être composé de représentants des autorités de surveillance du marché désignées et, si nécessaire, de représentants des bureaux de liaison uniques. La Commission devrait soutenir et encourager la coopération entre les autorités de surveillance du marché par l’intermédiaire du réseau de l’Union pour la conformité des produits, institué en vertu de l’article 29 du règlement (UE) 2019/1020 et composé de représentants de chaque État membre, y compris un représentant de chaque bureau de liaison unique visé à l’article 10 dudit règlement et un expert national facultatif, des présidents des ADCO et de représentants de la Commission. La Commission devrait participer aux réunions du réseau de l’Union pour la conformité des produits, de ses sous-groupes et de l’ADCO. Elle devrait également assister l’ADCO au moyen d’un secrétariat exécutif qui lui fournirait une assistance technique et logistique. L’ADCO pourrait également inviter des experts indépendants et nouer des liens avec d’autres ADCO, tels que ceux établis conformément à la directive 2014/53/UE.

(109)

Les autorités de surveillance du marché, par l’intermédiaire de l’ADCO établi en vertu du présent règlement, devraient coopérer étroitement entre elles et être en mesure d’élaborer des documents d’orientation afin de faciliter les activités de surveillance du marché au niveau national, par exemple en indiquant des bonnes pratiques et en élaborant des indicateurs qui permettent de vérifier efficacement la conformité des produits comportant des éléments numériques au présent règlement.

(110)

Afin de garantir des mesures opportunes, proportionnées et efficaces en ce qui concerne les produits comportant des éléments numériques présentant un risque de cybersécurité important, il convient de prévoir une procédure de sauvegarde de l’Union en vertu de laquelle les parties intéressées sont informées des mesures qu’il est prévu de prendre à l’égard de ces produits. Cette procédure de sauvegarde devrait également permettre aux autorités de surveillance du marché, en coopération avec les opérateurs économiques concernés, d’agir, le cas échéant, à un stade plus précoce. Lorsqu’il y a accord entre les États membres et la Commission quant au bien-fondé d’une mesure prise par un État membre, une intervention de la Commission ne devrait plus être nécessaire, sauf dans les cas où la non-conformité peut être attribuée aux insuffisances d’une norme harmonisée.

(111)

Dans certains cas, un produit comportant des éléments numériques conforme au présent règlement peut néanmoins présenter un risque de cybersécurité important ou présenter un risque pour la santé ou la sécurité des personnes, pour le respect des obligations découlant du droit de l’Union ou du droit national visant à protéger les droits fondamentaux, la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services offerts au moyen d’un système d’information électronique par des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555 ou pour d’autres aspects de la protection de l’intérêt public. Il est donc nécessaire d’établir des règles permettant d’atténuer ces risques. En conséquence, les autorités de surveillance du marché devraient prendre des mesures pour demander à l’opérateur économique de veiller à ce que le produit ne présente plus ce risque, de le rappeler ou de le retirer, en fonction du risque. Dès qu’une autorité de surveillance du marché restreint ou interdit ainsi la libre circulation d’un produit comportant des éléments numériques, l’État membre devrait informer la Commission et les autres États membres sans retard des mesures provisoires prises, en justifiant sa décision. Lorsqu’une autorité de surveillance du marché adopte de telles mesures à l’encontre de produits comportant des éléments numériques qui présentent un risque, la Commission devrait entamer sans retard des consultations avec les États membres et le ou les opérateurs économiques concernés et évaluer la mesure nationale. En fonction des résultats de cette évaluation, la Commission devrait décider si la mesure nationale est justifiée ou non. La Commission devrait adresser sa décision à tous les États membres et la communiquer immédiatement à ceux-ci ainsi qu’à l’opérateur ou aux opérateurs économiques concernés. Si la mesure est jugée justifiée, la Commission devrait également envisager l’adoption de propositions de révision de la législation de l’Union pertinente.

(112)

Pour les produits comportant des éléments numériques présentant un risque de cybersécurité important, et lorsqu’il y a lieu de croire que ces produits ne sont pas conformes au présent règlement, ou pour les produits qui sont conformes au présent règlement, mais présentent d’autres risques importants, tels que des risques pour la santé ou la sécurité des personnes, pour le respect d’obligations prévues par le droit de l’Union ou le droit national à des fins de protection des droits fondamentaux ou pour la disponibilité, l’authenticité, l’intégrité ou la confidentialité des services offerts au moyen d’un système d’information électronique par des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555, la Commission devrait pouvoir demander à l’ENISA de procéder à une évaluation. Sur la base de cette évaluation, la Commission devrait pouvoir adopter, par voie d’actes d’exécution, des mesures correctives ou restrictives au niveau de l’Union, y compris en exigeant le retrait du marché ou le rappel des produits comportant des éléments numériques concernés, dans un délai raisonnable, proportionné à la nature du risque. La Commission ne devrait pouvoir recourir à une telle intervention que dans des circonstances exceptionnelles qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur, et uniquement lorsque aucune mesure efficace n’a été prise par les autorités de surveillance du marché pour remédier à la situation. De telles circonstances exceptionnelles peuvent être des situations d’urgence dans lesquelles, par exemple, un produit comportant des éléments numériques non conforme est largement mis à disposition par le fabricant dans plusieurs États membres, utilisé également dans des secteurs clés par des entités relevant du champ d’application de la directive (UE) 2022/2555, alors qu’il contient des vulnérabilités connues qui sont exploitées par des acteurs malveillants et pour lesquelles le fabricant ne met pas de correctifs à disposition. La Commission ne devrait pouvoir intervenir dans de telles situations d’urgence que pour la durée des circonstances exceptionnelles et si le non-respect du présent règlement ou les risques importants présentés persistent.

(113)

Lorsqu’il existe des indices de non-respect du présent règlement dans plusieurs États membres, les autorités de surveillance du marché devraient pouvoir mener des activités conjointes avec d’autres autorités, en vue de vérifier la conformité et d’identifier les risques de cybersécurité des produits comportant des éléments numériques.

(114)

Les actions de contrôle coordonnées simultanées (opérations «coup de balai») sont des mesures d’application spécifiques prises par les autorités de surveillance du marché qui peuvent renforcer davantage la sécurité des produits. Ces «coups de balai» devraient avoir lieu, en particulier, lorsque les tendances du marché, les plaintes des consommateurs ou d’autres indices suggèrent que certaines catégories de produits comportant des éléments numériques présentent souvent des risques de cybersécurité. En outre, lors de la sélection des catégories de produits devant faire l’objet d’opérations «coup de balai», il convient que les autorités de surveillance du marché tiennent également compte de circonstances relatives à des facteurs de risque non techniques. Pour ce faire, il convient que les autorités de surveillance du marché puissent tenir compte des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555, y compris les circonstances relatives à des facteurs de risque non techniques. L’ENISA devrait soumettre aux autorités de surveillance du marché des propositions concernant des catégories de produits comportant des éléments numériques pour lesquelles des opérations simultanées pourraient être organisées, sur la base, entre autres, des notifications de vulnérabilités et d’incidents qu’elle reçoit.

(115)

Eu égard à son expertise et à son mandat, l’ENISA devrait être en mesure de soutenir le processus de mise en œuvre du présent règlement. L’ENISA devrait notamment pouvoir proposer des activités conjointes à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations concernant un non-respect potentiel du présent règlement, dans plusieurs États membres, de produits comportant des éléments numériques ou recenser les catégories de produits pour lesquelles des opérations «coup de balai» devraient être organisées. Dans des circonstances exceptionnelles, l’ENISA devrait, à la demande de la Commission, être en mesure de procéder à des évaluations portant sur des produits comportant des éléments numériques spécifiques qui présentent un risque de cybersécurité important, lorsqu’une intervention immédiate est nécessaire pour préserver le bon fonctionnement du marché intérieur.

(116)

Le présent règlement attribue à l’ENISA certaines tâches qui exigent des ressources adaptées, tant en termes de savoir-faire que de ressources humaines, pour être menées à bien de manière efficace. La Commission proposera les ressources budgétaires nécessaires pour le tableau des effectifs de l’ENISA, conformément à la procédure prévue à l’article 29 du règlement (UE) 2019/881, lorsqu’elle élaborera le projet de budget général de l’Union. Au cours de ce processus, la Commission examinera l’ensemble des ressources dont dispose l’ENISA pour mener à bien ses missions, y compris celles qui lui sont conférées en vertu du présent règlement.

(117)

Afin de garantir que le cadre réglementaire puisse être adapté si nécessaire, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne l’établissement et la mise à jour de la liste figurant en annexe du présent règlement des produits importants comportant des éléments numériques. Il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article pour lui permettre de répertorier les produits comportant des éléments numériques couverts par d’autres règles de l’Union qui atteignent un niveau de protection identique à celui du présent règlement, en précisant si une limitation ou une exclusion du champ d’application du présent règlement serait nécessaire ainsi que la portée de cette limitation, le cas échéant. Il convient également de déléguer à la Commission le pouvoir d’adopter des actes conformément audit article en ce qui concerne la possibilité de rendre obligatoire la certification au titre d’un schéma européen de certification de cybersécurité des produits critiques comportant des éléments numériques énoncés en annexe du présent règlement, en ce qui concerne la mise à jour de la liste des produits critiques comportant des éléments numériques sur la base des critères de criticité énoncés dans le présent règlement, et en ce qui concerne la désignation des schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 qui peuvent être utilisés pour démontrer le respect des exigences essentielles de cybersécurité ou de parties de celles-ci énoncées en annexe au présent règlement. Il convient également de déléguer à la Commission le pouvoir d’adopter des actes pour préciser la période d’assistance minimale pour des catégories spécifiques de produits lorsque les données de surveillance du marché tendent à indiquer des périodes d’assistance insuffisantes, ainsi que pour préciser les conditions d’application des motifs ayant trait à la cybersécurité en lien avec des retards de diffusion de notifications de vulnérabilités activement exploitées. En outre, il convient de déléguer à la Commission le pouvoir d’adopter des actes pour créer des programmes volontaires d’attestation de sécurité afin d’évaluer la conformité des produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts à l’ensemble ou à certaines des exigences essentielles de cybersécurité ou d’autres obligations prévues par le présent règlement, ainsi que pour préciser le contenu minimal de la déclaration UE de conformité et pour compléter les éléments à inclure dans la documentation technique. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (31). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués. Le pouvoir d’adopter des actes délégués en vertu du présent règlement devrait être conféré à la Commission pour une période de cinq ans à compter du 10 décembre 2024. La Commission devrait élaborer un rapport relatif à la délégation de pouvoir au plus tard neuf mois avant la fin de la période de cinq ans. La délégation de pouvoir devrait être tacitement prorogée pour des périodes d’une durée identique, sauf si le Parlement européen ou le Conseil s’oppose à cette prorogation trois mois au plus tard avant la fin de chaque période.

(118)

Afin de garantir des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission, afin qu’elle spécifie la description technique des catégories de produits importants comportant des éléments numériques qui figurent en annexe du présent règlement, qu’elle spécifie le format et les éléments de la nomenclature des logiciels, qu’elle précise davantage le format et la procédure des notifications de vulnérabilités activement exploitées et d’incidents graves ayant des répercussions sur la sécurité de produits comportant des éléments numériques soumises par les fabricants, qu’elle établisse des spécifications communes couvrant les exigences techniques qui offrent un moyen de se conformer aux exigences essentielles de cybersécurité énoncées en annexe du présent règlement, qu’elle établisse des spécifications techniques pour les étiquettes, pictogrammes ou toute autre marque liée à la sécurité des produits comportant des éléments numériques, leur période d’assistance ainsi que les mécanismes visant à promouvoir leur utilisation et à sensibiliser le public à la sécurité des produits comportant des éléments numériques, qu’elle définisse le formulaire de documentation technique simplifiée ciblant les besoins des microentreprises et des petites entreprises et qu’elle décide de mesures correctives ou restrictives au niveau de l’Union dans des circonstances exceptionnelles qui justifient une intervention immédiate afin de préserver le bon fonctionnement du marché intérieur. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (32).

(119)

Afin de garantir une coopération constructive et de confiance entre les autorités de surveillance du marché au niveau de l’Union et au niveau national, toutes les parties intervenant dans l’application du présent règlement devraient respecter la confidentialité des informations et des données obtenues dans le cadre de l’exécution de leurs tâches.

(120)

Afin de garantir une application efficace des obligations prévues par le présent règlement, chaque autorité de surveillance du marché devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives. Il convient donc d’établir des niveaux maximaux pour les amendes administratives à prévoir dans la législation nationale en cas de non-respect des obligations prévues par le présent règlement. Pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas devraient être prises en considération et, au minimum, celles explicitement établies dans le présent règlement, y compris la question de savoir si le fabricant est une microentreprise ou une petite ou moyenne entreprise, y compris une jeune pousse, et si des amendes administratives ont déjà été imposées par la même ou par d’autres autorités de surveillance du marché au même opérateur économique pour une infraction similaire. De telles caractéristiques seraient susceptibles d’être soit aggravantes, dans des situations où l’infraction commise par le même opérateur économique persiste sur le territoire d’autres États membres que celui où une amende administrative a déjà été infligée, soit atténuantes, en veillant à ce que toute autre amende administrative envisagée par une autre autorité de surveillance du marché pour le même opérateur économique ou le même type d’infraction tienne déjà compte, avec d’autres caractéristiques spécifiques pertinentes, d’une sanction imposée dans d’autres États membres et de son montant. Dans tous ces cas, l’amende administrative cumulative que les autorités de surveillance du marché de plusieurs États membres pourraient infliger au même opérateur économique pour le même type d’infraction devrait être conforme au principe de proportionnalité. Étant donné qu’une amende administrative ne peut être infligée à une microentreprise ou une petite entreprise pour non-respect du délai de vingt-quatre heures fixé pour notifier une alerte précoce de vulnérabilités activement exploitées ou d’incidents graves ayant des répercussions sur la sécurité du produit comportant des éléments numériques, ni à un intendant de logiciels ouverts pour quelque infraction au présent règlement que ce soit, et compte tenu du principe qui prévoit que les sanctions soient efficaces, proportionnées et dissuasives, il convient que les États membres n’imposent auxdites entités aucun autre type de sanction de nature pécuniaire.

(121)

Lorsque des amendes administratives sont imposées à une personne qui n’est pas une entreprise, l’autorité compétente devrait tenir compte, lorsqu’elle examine le montant approprié pour l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives.

(122)

Il convient que les États membres, compte tenu de leurs situations nationales, examinent la possibilité d’utiliser les recettes générées par les sanctions prévues par le présent règlement, ou leur équivalent financier, pour soutenir les politiques de cybersécurité et améliorer le niveau de cybersécurité dans l’Union, notamment en augmentant le nombre de professionnels qualifiés dans le domaine de la cybersécurité, en renforçant les capacités des microentreprises et des petites et moyennes entreprises et en améliorant la sensibilisation du public aux cybermenaces.

(123)

Dans ses rapports avec les pays tiers, l’Union s’efforce de favoriser le commerce international des produits réglementés. Un large éventail de mesures peut être appliqué afin de faciliter le commerce, dont plusieurs instruments juridiques tels que les accords de reconnaissance mutuelle (ARM) bilatéraux (intergouvernementaux) sur l’évaluation de la conformité et le marquage des produits réglementés. Les ARM sont conclus entre l’Union et les pays tiers bénéficiant d’un niveau de développement technique comparable et poursuivant une approche compatible en matière d’évaluation de la conformité. Ces accords se fondent sur l’acceptation mutuelle des certificats, des marques de conformité et des rapports d’essai délivrés par les organismes d’évaluation de la conformité de l’une des deux parties conformément à la législation de l’autre partie. Actuellement, des ARM sont en place avec plusieurs pays tiers. Ces ARM sont conclus dans un certain nombre de secteurs spécifiques pouvant varier selon les pays tiers. Afin de faciliter davantage le commerce et compte tenu du fait que les chaînes d’approvisionnement de produits comportant des éléments numériques sont mondiales, des ARM concernant l’évaluation de la conformité peuvent être conclus par l’Union, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne, pour les produits régis par le présent règlement. La coopération avec les pays tiers partenaires est également importante pour renforcer la cyberrésilience à l’échelle mondiale, car à long terme, celle-ci contribuera à renforcer le cadre de cybersécurité tant à l’intérieur qu’à l’extérieur de l’Union.

(124)

Les consommateurs devraient être en droit de faire valoir leurs droits relatifs aux obligations imposées aux opérateurs économiques dans le cadre du présent règlement, au moyen d’actions représentatives en vertu de la directive (UE) 2020/1828 du Parlement européen et du Conseil (33). À cette fin, le présent règlement devrait prévoir que la directive (UE) 2020/1828 s’applique aux actions représentatives concernant des infractions au présent règlement qui portent atteinte ou peuvent porter atteinte aux intérêts collectifs des consommateurs. Il convient donc de modifier l’annexe I de ladite directive en conséquence. Il appartient aux États membres de veiller à ce que ces modifications soient prises en compte dans les mesures de transposition adoptées en vertu de ladite directive, bien que l’adoption de mesures de transposition nationales à cet égard ne soit pas une condition de l’applicabilité de ladite directive à ces actions représentatives. L’applicabilité de ladite directive aux actions représentatives intentées contre les infractions aux dispositions du présent règlement commises par des opérateurs économiques qui portent atteinte ou pourraient porter atteinte aux intérêts collectifs des consommateurs devrait débuter au 11 décembre 2027.

(125)

Le présent règlement devrait être évalué et réexaminé périodiquement par la Commission, en consultation avec les parties intéressées, notamment en vue de déterminer s’il est nécessaire de le modifier pour tenir compte de l’évolution de la société, de la situation politique, des technologies ou de la situation des marchés. Le présent règlement facilitera le respect des obligations relatives à la sécurité de la chaîne d’approvisionnement incombant aux entités relevant du champ d’application du règlement (UE) 2022/2554 et de la directive (UE) 2022/2555 qui utilisent des produits comportant des éléments numériques. Il convient que la Commission évalue, dans le cadre de ce réexamen périodique, les effets combinés du cadre de cybersécurité de l’Union.

(126)

Il convient d’accorder un délai suffisant aux opérateurs économiques afin qu’ils s’adaptent aux exigences énoncées dans le présent règlement. Le présent règlement devrait s’appliquer à partir du 11 décembre 2027, à l’exception des obligations de signalement concernant les vulnérabilités activement exploitées et les incidents graves ayant des répercussions sur la sécurité des produits comportant des éléments numériques, qui devraient s’appliquer à partir du 11 septembre 2026, et des dispositions relatives à la notification des organismes d’évaluation de la conformité, qui devraient s’appliquer à partir du 11 juin 2026.

(127)

Il importe de soutenir les microentreprises et les petites et moyennes entreprises, y compris les jeunes pousses, dans l’exécution du présent règlement et de réduire au minimum les risques relatifs à l’exécution résultant d’un manque de connaissances et de savoir-faire sur le marché, y compris dans le but de faciliter le respect par les fabricants des obligations qui leur incombent en vertu du présent règlement. Le programme pour une Europe numérique et d’autres programmes pertinents de l’Union fournissent un soutien financier et technique qui permet à ces entreprises de contribuer à la croissance de l’économie de l’Union et au rehaussement du niveau commun de cybersécurité au sein de l’Union. Le Centre de compétences européen en matière de cybersécurité et les centres nationaux de coordination ainsi que les pôles européens d’innovation numérique établis par la Commission et par les États membres au niveau de l’Union ou au niveau national pourraient également soutenir les entreprises et les organisations du secteur public et pourraient contribuer à l’exécution du présent règlement. Dans le cadre de leurs missions et domaines de compétence respectifs, ils pourraient apporter un soutien technique et scientifique aux microentreprises et aux petites et moyennes entreprises, par exemple pour les activités d’essai et les évaluations de la conformité par un tiers. Ils pourraient également encourager le déploiement d’outils pour faciliter l’application du présent règlement.

(128)

En outre, les États membres devraient envisager des mesures complémentaires destinées à fournir des orientations et un soutien aux microentreprises et aux petites et moyennes entreprises, y compris la mise en place de sas réglementaires et de canaux de communication spécifiques. Pour rehausser le niveau de cybersécurité au sein de l’Union, les États membres peuvent également envisager de fournir une aide au développement des capacités et des compétences en matière de cybersécurité des produits comportant des éléments numériques, d’améliorer la cyberrésilience des opérateurs économiques, en particulier des microentreprises et des petites et moyennes entreprises, et de renforcer la sensibilisation du public à la cybersécurité des produits comportant des éléments numériques.

(129)

Étant donné que l’objectif du présent règlement ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

(130)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (34) et a rendu un avis le 9 novembre 2022 (35),