Article 32

Procédures d’évaluation de la conformité pour les produits comportant des éléments numériques

1. Le fabricant effectue une évaluation de la conformité du produit comportant des éléments numériques et des processus mis en place par le fabricant pour déterminer si les exigences essentielles de cybersécurité énoncées à l’annexe I sont respectées. Le fabricant démontre la conformité avec les exigences essentielles de cybersécurité en suivant l’une des procédures suivantes:

  • a) la procédure de contrôle interne (module A) visée à l’annexe VIII;
  • b) la procédure d’examen UE de type (module B) prévue à l’annexe VIII, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VIII;
  • c) l’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VIII; ou
  • d) lorsqu’il est disponible et s’il y a lieu, un schéma européen de certification de cybersécurité en vertu de l’article 27, paragraphe 9.

2. Lorsque, lors de l’évaluation de la conformité d’un produit important comportant des éléments numériques qui relève de la classe I figurant à l’annexe III et des processus mis en place par son fabricant avec les exigences essentielles de cybersécurité énoncées à l’annexe I, le fabricant n’a pas appliqué ou n’a appliqué qu’en partie des normes harmonisées, des spécifications communes ou des schémas européens de certification de cybersécurité au minimum au niveau d’assurance dit «substantiel» visés à l’article 27, ou lorsque ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité n’existent pas, le produit comportant des éléments numériques concerné et les processus mis en place par le fabricant sont soumis, pour ce qui a trait à ces exigences essentielles de cybersécurité, à l’une des procédures suivantes:

  • a) la procédure d’examen UE de type (module B) prévue à l’annexe VIII, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VIII; ou
  • b) une évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VIII.

3. Lorsque le produit est un produit important comportant des éléments numériques qui relève de la classe II figurant à l’annexe III, le fabricant démontre la conformité avec les exigences essentielles de cybersécurité énoncées à l’annexe I en suivant l’une des procédures suivantes:

  • a) la procédure d’examen UE de type (module B) prévue à l’annexe VIII, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VIII;
  • b) une évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VIII; ou
  • c) lorsqu’il est disponible et s’il y a lieu, un schéma européen de certification de cybersécurité conformément à l’article 27, paragraphe 9, du présent règlement au minimum au niveau d’assurance dit «substantiel» en vertu du règlement (UE) 2019/881.

4. Les produits critiques comportant des éléments numériques répertoriés à l’annexe IV démontrent la conformité avec les exigences essentielles de cybersécurité énoncées à l’annexe I au moyen de l’une des procédures suivantes:

  • a) un schéma européen de certification de cybersécurité, conformément à l’article 8, paragraphe 1; ou
  • b) lorsque les conditions énoncées à l’article 8, paragraphe 1, ne sont pas remplies, l’une des procédures visées au paragraphe 3 du présent article.

5. Les fabricants de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et relèvent des catégories énoncées à l’annexe III ont la faculté de démontrer la conformité avec les exigences essentielles de cybersécurité énoncées à l’annexe I en utilisant l’une des procédures visées au paragraphe 1 du présent article, à condition que la documentation technique visée à l’article 31 soit mise à la disposition du public au moment de la mise sur le marché de ces produits.

6. Les intérêts et besoins spécifiques des microentreprises et des petites et moyennes entreprises, y compris les jeunes pousses, sont pris en compte lors de la fixation des redevances imposées pour les procédures d’évaluation de la conformité, et ces redevances sont réduites proportionnellement auxdits intérêts et besoins spécifiques.