Article 13

1. Lorsqu’ils mettent sur le marché un produit comportant des éléments numériques, les fabricants s’assurent que ce produit a été conçu, développé et fabriqué conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I.

2. Aux fins du respect du paragraphe 1, les fabricants procèdent à une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques et tiennent compte des résultats de cette évaluation au cours des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit comportant des éléments numériques, en vue de réduire au minimum les risques de cybersécurité, de prévenir les incidents et d’en réduire au minimum leurs répercussions, y compris en ce qui concerne la santé et la sécurité des utilisateurs.

3. L’évaluation des risques de cybersécurité est documentée et mise à jour selon les besoins au cours d’une période d’assistance à déterminer conformément au paragraphe 8 du présent article. Cette évaluation des risques de cybersécurité comprend au moins une analyse des risques de cybersécurité fondée sur l’utilisation prévue et l’utilisation raisonnablement prévisible, ainsi que sur les conditions d’utilisation du produit comportant des éléments numériques, tels que l’environnement opérationnel ou les actifs à protéger, compte tenu de la durée prévue d’utilisation du produit. L’évaluation des risques de cybersécurité indique si et, dans l’affirmative, de quelle manière, les exigences de sécurité énoncées à l’annexe I, partie I, point 2), sont applicables au produit comportant des éléments numériques concerné et comment ces exigences sont mises en œuvre sur la base de l’évaluation du risque de cybersécurité. Elle indique également de quelle manière le fabricant doit appliquer l’annexe I, partie I, point 1), ainsi que les exigences relatives à la gestion des vulnérabilités énoncées à l’annexe I, partie II.

4. Lorsqu’il met sur le marché un produit comportant des éléments numériques, le fabricant inclut l’évaluation des risques de cybersécurité visée au paragraphe 3 du présent article dans la documentation technique requise conformément à l’article 31 et à l’annexe VII. Pour les produits comportant des éléments numériques mentionnés à l’article 12, qui relèvent aussi d’autres actes juridiques de l’Union, l’évaluation des risques de cybersécurité peut faire partie de l’évaluation des risques prévue par ces actes juridiques de l’Union. Lorsque certaines exigences essentielles de cybersécurité ne sont pas applicables au produit comportant des éléments numériques, le fabricant fait figurer une justification claire dans cette documentation technique.

5. Aux fins du respect de l’obligation énoncée au paragraphe 1, les fabricants font preuve de diligence raisonnable lorsqu’ils intègrent dans des produits comportant des éléments numériques des composants obtenus auprès de tiers, de sorte que ces composants ne compromettent pas la cybersécurité du produit comportant des éléments numériques, y compris lors de l’intégration de composants de logiciels libres et ouverts qui n’ont pas été mis à disposition sur le marché dans le cadre d’une activité commerciale.

6. Lorsqu’ils identifient une vulnérabilité dans un composant, y compris un composant logiciel ouvert, qui est intégré au produit comportant des éléments numériques, les fabricants signalent la vulnérabilité à la personne ou à l’entité qui assure la maintenance du composant, et s’attaquent et remédient à la vulnérabilité conformément aux exigences relatives à la gestion des vulnérabilités énoncées à l’annexe I, partie II. Lorsque les fabricants ont mis au point une modification logicielle ou matérielle pour remédier à la vulnérabilité de ce composant, ils partagent le code ou la documentation correspondants avec la personne ou l’entité qui fabrique le composant ou en assure la maintenance, dans un format lisible par machine s’il y a lieu.

7. Les fabricants documentent systématiquement, d’une manière proportionnée à la nature et à l’ampleur des risques de cybersécurité, les aspects pertinents pour la cybersécurité concernant le produit comportant des éléments numériques, y compris les vulnérabilités dont ils prennent connaissance et toute information pertinente fournie par des tiers, et, le cas échéant, mettent à jour l’évaluation des risques de cybersécurité du produit.

8. Lorsqu’ils mettent sur le marché un produit comportant des éléments numériques, et pendant la période d’assistance, les fabricants veillent à ce que les vulnérabilités de ce produit, y compris de ses composants, soient gérées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II.

Les fabricants fixent la période d’assistance de sorte qu’elle reflète la durée pendant laquelle le produit est censé pouvoir être utilisé, en tenant compte, en particulier, des attentes raisonnables des utilisateurs, de la nature du produit, y compris de son utilisation prévue, ainsi que du droit de l’Union applicable déterminant la durée de vie des produits comportant des éléments numériques. Lorsqu’ils déterminent la période d’assistance, les fabricants peuvent également tenir compte des périodes d’assistance des produits comportant des éléments numériques offrant une fonctionnalité similaire mis sur le marché par d’autres fabricants, de la disponibilité de l’environnement opérationnel, des périodes d’assistance des composants intégrés qui assurent des fonctions essentielles et proviennent de tiers, ainsi que des orientations pertinentes fournies par le groupe de coopération administrative (ADCO) institué en vertu de l’article 52, paragraphe 15, et par la Commission. Les éléments à prendre en compte pour définir la période d’assistance sont pris en compte de manière à garantir la proportionnalité.

Sans préjudice du deuxième alinéa, la période d’assistance est d’au moins cinq ans. Lorsque le produit comportant des éléments numériques est censé pouvoir être utilisé pendant moins de cinq ans, la période d’assistance correspond à la durée d’utilisation prévue.

Compte tenu des recommandations ADCO visées à l’article 52, paragraphe 16, la Commission peut adopter des actes délégués conformément à l’article 61 afin de compléter le présent règlement en précisant la période d’assistance minimale pour des catégories de produits spécifiques lorsque les données de surveillance du marché indiquent que les périodes d’assistance fixées sont insuffisantes.

Les fabricants font figurer dans la documentation technique visée à l’annexe VII les informations qui ont été prises en compte pour déterminer la période d’assistance du produit comportant des éléments numériques.

Les fabricants disposent de politiques et de procédures appropriées, notamment les politiques de divulgation coordonnée des vulnérabilités mentionnées à l’annexe I, partie II, point 5), pour traiter et corriger les vulnérabilités potentielles du produit comportant des éléments numériques signalées par des sources internes ou externes.

9. Les fabricants veillent à ce que chaque mise à jour de sécurité, visée à l’annexe I, partie II, point 8), qui a été mise à la disposition des utilisateurs au cours de la période d’assistance, reste disponible après son émission pendant dix ans au minimum ou pendant le reste de la période d’assistance, la période la plus longue étant retenue.

10. Lorsqu’un fabricant met sur le marché des versions ultérieures substantiellement modifiées d’un logiciel, il peut garantir la conformité avec l’exigence essentielle de cybersécurité énoncée à l’annexe I, partie II, point 2), uniquement pour la dernière version mise sur le marché, à condition que les utilisateurs des versions précédemment mises sur le marché aient accès gratuitement aux dernières versions mises sur le marché et ne doivent pas supporter des coûts supplémentaires pour adapter l’environnement matériel et logiciel dans lequel ils utilisent la version originale de ce produit.

11. Les fabricants peuvent conserver des archives logicielles publiques améliorant l’accès des utilisateurs aux versions antérieures. Dans ces cas, les utilisateurs sont clairement informés, d’une manière aisément accessible, des risques associés à l’utilisation de logiciels non pris en charge.

12. Avant de mettre sur le marché un produit comportant des éléments numériques, les fabricants établissent la documentation technique visée à l’article 31.

Ils appliquent ou font appliquer les procédures d’évaluation de la conformité choisies visées à l’article 32.

Lorsqu’il a été démontré, au moyen de cette procédure d’évaluation de la conformité, que le produit comportant des éléments numériques est conforme aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et que les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II, les fabricants établissent la déclaration UE de conformité conformément à l’article 28 et appose le marquage CE conformément à l’article 30.

13. Les fabricants tiennent la documentation technique et la déclaration UE de conformité à la disposition des autorités de surveillance du marché pendant une durée d’au moins dix ans après la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue.

14. Les fabricants veillent à ce que des procédures soient en place pour que la conformité avec le présent règlement des produits comportant des éléments numériques produits en série reste assurée. Les fabricants tiennent dûment compte des modifications du processus de développement et de production ou de la conception ou des caractéristiques du produit comportant des éléments numériques, ainsi que des modifications des normes harmonisées, des schémas européens de certification de cybersécurité ou des spécifications techniques visées à l’article 27 au regard desquelles la conformité du produit comportant des éléments numériques est déclarée ou en application desquelles sa conformité est vérifiée.

15. Les fabricants veillent à ce que leurs produits comportant des éléments numériques portent un numéro de type, de lot ou de série ou tout autre élément permettant leur identification ou, lorsque cela n’est pas possible, à ce que cette information soit fournie sur l’emballage ou dans un document accompagnant le produit comportant des éléments numériques.

16. Le fabricant indique son nom, sa raison sociale ou sa marque déposée et ses adresses postale, électronique ou autre moyen numérique, ainsi que, le cas échéant, l’adresse du site internet, auxquelles il peut être contacté sur le produit comportant des éléments numériques, sur son emballage ou dans un document l’accompagnant. Ces informations figurent également dans les informations et instructions destinées à l’utilisateur énoncées à l’annexe II. Les coordonnées sont indiquées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché.

17. Aux fins du présent règlement, les fabricants désignent un point de contact unique pour permettre aux utilisateurs de communiquer directement et rapidement avec lui, y compris afin de faciliter le signalement des vulnérabilités des produits comportant des éléments numériques.

Les fabricants veillent à ce que le point de contact unique soit facilement identifiable par les utilisateurs. Ils font également figurer le point de contact unique dans les informations et instructions destinées à l’utilisateur énoncées à l’annexe II.

Le point de contact unique permet aux utilisateurs de choisir leurs moyens de communication préférés, ces moyens n’étant pas limités aux outils automatisés.

18. Les fabricants veillent à ce que les produits comportant des éléments numériques soient accompagnés des informations et des instructions destinées à l’utilisateur énoncées à l’annexe II, sous forme papier ou électronique. Ces informations et instructions sont fournies dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché. Elles sont claires, compréhensibles, intelligibles et lisibles. Elles permettent une installation, un fonctionnement et une utilisation sécurisés des produits comportant des éléments numériques. Les fabricants tiennent les informations et instructions destinées à l’utilisateur énoncées à l’annexe II à la disposition des utilisateurs et des autorités de surveillance du marché pendant une durée d’au moins dix ans après la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue. Lorsque ces informations et instructions sont fournies en ligne, les fabricants veillent à ce qu’elles soient accessibles, faciles d’utilisation et disponibles en ligne pendant une durée d’au moins dix ans après la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue.

19. Les fabricants veillent à ce que la date de fin de la période d’assistance visée au paragraphe 8, y compris au moins le mois et l’année, soit précisée au moment de l’achat, d’une manière claire, compréhensible et aisément accessible et, le cas échéant, sur le produit comportant des éléments numériques, son emballage ou par des moyens numériques.

Lorsque cela est techniquement possible compte tenu de la nature du produit comportant des éléments numériques, les fabricants prévoient l’affichage d’une notification aux utilisateurs les informant que leur produit comportant des éléments numériques a atteint la fin de sa période d’assistance.

20. Les fabricants fournissent soit une copie de la déclaration UE de conformité, soit une déclaration UE de conformité simplifiée avec le produit comportant des éléments numériques. Dans le cas où une déclaration UE de conformité simplifiée est jointe, celle-ci contient l’adresse internet exacte à laquelle le texte complet de la déclaration UE de conformité est accessible.

21. Dès la mise sur le marché et pendant la période d’assistance, les fabricants qui considèrent ou ont des raisons de croire que le produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I prennent immédiatement les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus du fabricant en conformité, ou pour procéder à leur retrait ou à leur rappel, selon le cas.

22. Sur requête motivée d’une autorité de surveillance du marché, les fabricants communiquent à cette dernière, dans une langue aisément compréhensible par cette autorité, toutes les informations et tous les documents, sur support papier ou par voie électronique, nécessaires pour démontrer la conformité du produit comportant des éléments numériques et des processus mis en place par le fabricant aux exigences essentielles de cybersécurité énoncées à l’annexe I. Les fabricants coopèrent avec ladite autorité, à la demande de cette dernière, concernant toute mesure prise pour éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’ils ont mis sur le marché.

23. Un fabricant qui cesse ses activités et qui, de ce fait, n’est pas en mesure de se conformer au présent règlement informe, avant que cette cessation ne prenne effet, les autorités de surveillance du marché concernées, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits comportant des éléments numériques mis sur le marché concernés de la cessation imminente de ses activités.

24. La Commission peut, par voie d’actes d’exécution tenant compte des normes et bonnes pratiques européennes et internationales, préciser le format et les éléments de la nomenclature des logiciels visée à l’annexe I, partie II, point 1). Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.

25. Afin d’évaluer la dépendance des États membres et de l’Union dans son ensemble à l’égard des composants logiciels, et en particulier des composants qui répondent aux critères de logiciels libres et ouverts, l’ADCO peut décider de procéder à une évaluation de la dépendance à l’échelle de l’Union pour des catégories spécifiques de produits comportant des éléments numériques. À cette fin, les autorités de surveillance du marché peuvent demander aux fabricants de ces catégories de produits comportant des éléments numériques de fournir les nomenclatures des logiciels pertinentes du matériel visées à l’annexe I, partie II, point 1). Sur la base de ces informations, les autorités de surveillance du marché peuvent fournir à l’ADCO des informations anonymisées et agrégées sur les dépendances logicielles. L’ADCO soumet un rapport sur les résultats de l’évaluation de la dépendance au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555.