Article 27

Présomption de conformité

1. Les produits comportant des éléments numériques et les processus mis en place par le fabricant qui sont conformes à des normes harmonisées ou à des parties de normes harmonisées dont les références ont été publiées au Journal officiel de l’Union européenne sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I qui sont couvertes par ces normes ou parties de ces normes.

Conformément à l’article 10, paragraphe 1, du règlement (UE) no 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d’élaborer des normes harmonisées relatives aux exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement. Lorsqu’elle prépare des demandes de normalisation aux fins du présent règlement, la Commission s’efforce de tenir compte des normes européennes et internationales existantes en matière de cybersécurité qui sont en place ou en cours d’élaboration afin de simplifier l’élaboration de normes harmonisées, conformément au règlement (UE) no 1025/2012.

2. La Commission peut adopter des actes d’exécution qui établissent des spécifications communes couvrant les exigences techniques qui offrent un moyen de se conformer aux exigences essentielles de cybersécurité énoncées à l’annexe I en ce qui concerne les produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement.

Ces actes d’exécution ne sont adoptés que lorsque les conditions suivantes sont remplies:

  • a) la Commission, conformément à l’article 10, paragraphe 1, du règlement (UE) no 1025/2012, a demandé à une ou plusieurs organisations européennes de normalisation d’élaborer une norme harmonisée relative aux exigences essentielles de cybersécurité énoncées à l’annexe I et:
    • i) la demande n’a pas été acceptée;
    • ii) les normes harmonisées répondant à cette demande ne sont pas présentées dans le délai fixé conformément à l’article 10, paragraphe 1, du règlement (UE) no 1025/2012; ou
    • iii) les normes harmonisées ne sont pas conformes à la demande; et
  • b) aucune référence à des normes harmonisées couvrant les exigences essentielles pertinentes de cybersécurité énoncées à l’annexe I du présent règlement n’a été publiée au Journal officiel de l’Union européenne conformément au règlement (UE) no 1025/2012 et il n’est pas prévu que la publication d’une telle référence soit publiée dans un délai raisonnable.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.

3. Avant d’élaborer le projet d’acte d’exécution visé au paragraphe 2 du présent article, la Commission informe le comité visé à l’article 22 du règlement (UE) no 1025/2012 qu’elle considère que les conditions énoncées au paragraphe 2 du présent article sont remplies.

4. Lorsqu’elle élabore le projet d’acte d’exécution visé au paragraphe 2, la Commission tient compte de l’avis des organismes compétents et consulte dûment toutes les parties prenantes concernées.

5. Les produits comportant des éléments numériques et les processus mis en place par le fabricant qui sont conformes aux spécifications communes établies par des actes d’exécution visés au paragraphe 2 du présent article, ou à des parties de ces spécifications communes, sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I couvertes par ces spécifications communes ou parties de spécifications communes.

6. Lorsqu’une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission aux fins de la publication de sa référence au Journal officiel de l’Union européenne, la Commission évalue la norme harmonisée conformément au règlement (UE) no 1025/2012. Lorsque la référence d’une norme harmonisée est publiée au Journal officiel de l’Union européenne, la Commission abroge les actes d’exécution visés au paragraphe 2 du présent article, ou les parties de ces actes qui couvrent les mêmes exigences essentielles de cybersécurité que celles couvertes par cette norme harmonisée.

7. Lorsqu’un État membre estime qu’une spécification commune ne satisfait pas entièrement aux exigences essentielles de cybersécurité énoncées à l’annexe I, il en informe la Commission en lui fournissant une explication détaillée. La Commission examine cette explication détaillée et peut, s’il y a lieu, modifier l’acte d’exécution établissant la spécification commune en question.

8. Les produits comportant des éléments numériques et les processus mis en place par le fabricant pour lesquels une déclaration de conformité de l’Union ou un certificat de cybersécurité européen ont été délivrés dans le cadre d’un schéma européen de certification de cybersécurité adopté conformément au règlement (UE) 2019/881 sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, dans la mesure où celles-ci sont couvertes par la déclaration de conformité de l’Union ou le certificat de cybersécurité européen, ou des parties de ceux-ci.

9. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 du présent règlement pour compléter le présent règlement en précisant les schémas européens de certification de cybersécurité adoptés en vertu du règlement (UE) 2019/881 qui peuvent être utilisés afin de démontrer la conformité de produits comportant des éléments numériques avec les exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement, ou avec des parties de ces exigences. En outre, la délivrance d’un certificat de cybersécurité européen au titre de tels schémas, au minimum au niveau d’assurance dit «substantiel», supprime l’obligation d’un fabricant de procéder à une évaluation de la conformité par un tiers pour les exigences correspondantes, comme indiqué à l’article 32, paragraphe 2, points a) et b), et à l’article 32, paragraphe 3, points a) et b), du présent règlement.