Article 54

1. Lorsque l’autorité de surveillance du marché d’un État membre a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques, y compris son traitement des vulnérabilités, présente un risque de cybersécurité important, elle procède sans retard injustifié et, le cas échéant, en coopération avec le CSIRT concerné, à une évaluation de la conformité de ce produit avec l’ensemble des exigences prévues par le présent règlement. Les opérateurs économiques concernés coopèrent avec l’autorité de surveillance du marché en tant que de besoin.

Si, au cours de cette évaluation, l’autorité de surveillance du marché constate que le produit comportant des éléments numériques ne respecte pas les exigences prévues par le présent règlement, elle invite sans retard l’opérateur économique en cause à prendre toutes les mesures correctives appropriées pour mettre le produit comportant des éléments numériques en conformité avec ces exigences, le retirer du marché ou le rappeler dans un délai raisonnable, proportionné à la nature du risque de cybersécurité, que l’autorité de surveillance du marché prescrit.

L’autorité de surveillance du marché informe l’organisme notifié concerné en conséquence. L’article 18 du règlement (UE) 2019/1020 s’applique aux mesures correctives.

2. Lorsqu’elles déterminent l’importance d’un risque de cybersécurité visé au paragraphe 1 du présent article, les autorités de surveillance du marché tiennent également compte des facteurs de risque non techniques, en particulier de ceux établis à la suite des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555. Lorsqu’une autorité de surveillance du marché a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques présente un risque de cybersécurité important à la lumière de facteurs de risque non techniques, elle en informe les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555 et coopère avec ces autorités en tant que de besoin.

3. Lorsque l’autorité de surveillance du marché considère que la non-conformité n’est pas limitée à son territoire national, elle informe la Commission et les autres États membres des résultats de l’évaluation et des mesures qu’elle a prescrites à l’opérateur économique.

4. L’opérateur économique s’assure que toutes les mesures correctives appropriées sont prises pour tous les produits comportant des éléments numériques concernés qu’il a mis à disposition sur le marché dans toute l’Union.

5. Lorsque l’opérateur économique ne prend pas les mesures correctives adéquates dans le délai visé au paragraphe 1, deuxième alinéa, l’autorité de surveillance du marché adopte toutes les mesures provisoires appropriées pour interdire ou restreindre la mise à disposition du produit comportant des éléments numériques sur son marché national ou pour procéder à son retrait de ce marché ou à son rappel.

L’autorité notifie sans retard ces mesures à la Commission et aux autres États membres.

6. Les informations visées au paragraphe 5 contiennent toutes les précisions disponibles, notamment en ce qui concerne les données nécessaires pour identifier le produit comportant des éléments numériques non conforme, l’origine de ce produit comportant des éléments numériques, la nature de la non-conformité alléguée et du risque encouru, ainsi que la nature et la durée des mesures nationales adoptées et les arguments avancés par l’opérateur économique concerné. En particulier, l’autorité de surveillance du marché indique si la non-conformité découle d’une ou plusieurs des causes suivantes:

• a) la non-conformité du produit comportant des éléments numériques ou des processus mis en place par le fabricant avec les exigences essentielles de cybersécurité énoncées à l’annexe I;
• b) des lacunes dans les normes harmonisées, les schémas européens de certification de cybersécurité ou les spécifications communes visés à l’article 27.

7. Les autorités de surveillance du marché des États membres autres que l’autorité de surveillance du marché de l’État membre qui a entamé la procédure informent sans retard la Commission et les autres États membres de toute mesure adoptée et de toute information supplémentaire dont elles disposent à propos de la non-conformité du produit comportant des éléments numériques concerné et, en cas de désaccord avec la mesure nationale notifiée, de leurs objections.

8. Lorsque, dans les trois mois suivant la réception de la notification visée au paragraphe 5 du présent article, aucune objection n’a été émise par un État membre ou par la Commission à l’encontre d’une mesure provisoire prise par un État membre, cette mesure est réputée justifiée. Cette disposition est sans préjudice des droits procéduraux de l’opérateur économique concerné conformément à l’article 18 du règlement (UE) 2019/1020.

9. Les autorités de surveillance du marché de tous les États membres veillent à ce que les mesures restrictives appropriées, comme le retrait de leur marché, soient prises sans retard à l’égard du produit comportant des éléments numériques concerné.