Article 56

1. Lorsque la Commission a des raisons suffisantes de considérer, y compris sur la base des informations fournies par l’ENISA, qu’un produit comportant des éléments numériques présentant un risque de cybersécurité important n’est pas conforme aux exigences prévues par le présent règlement, elle en informe les autorités de surveillance du marché concernées. Lorsque les autorités de surveillance du marché procèdent à une évaluation de ce produit comportant des éléments numériques susceptible de présenter un risque de cybersécurité important en ce qui concerne sa conformité avec les exigences prévues par le présent règlement, les procédures visées aux articles 54 et 55 s’appliquent.

2. Lorsque la Commission a des raisons suffisantes de considérer qu’un produit comportant des éléments numériques présente un risque de cybersécurité important à la lumière de facteurs de risque non techniques, elle en informe les autorités de surveillance du marché concernées et, le cas échéant, les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555 et coopère avec ces autorités en tant que de besoin. La Commission examine également la pertinence des risques recensés pour ce produit comportant des éléments numériques au regard de ses tâches en ce qui concerne les évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques prévues à l’article 22 de la directive (UE) 2022/2555, et consulte, le cas échéant, le groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555 et l’ENISA.

3. Dans des circonstances qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur et lorsque la Commission a des raisons suffisantes de considérer que le produit comportant des éléments numériques visé au paragraphe 1 demeure non conforme aux exigences prévues par le présent règlement et qu’aucune mesure effective n’a été prise par les autorités de surveillance du marché concernées, la Commission procède à une évaluation de la conformité et peut demander à l’ENISA de fournir une analyse afin d’étayer cette évaluation. La Commission en informe les autorités de surveillance du marché concernées. Les opérateurs économiques concernés coopèrent avec l’ENISA en tant que de besoin.

4. Se fondant sur l’évaluation visée au paragraphe 3, la Commission peut décider qu’une mesure corrective ou restrictive est nécessaire au niveau de l’Union. À cette fin, elle consulte sans retard les États membres concernés et le ou les opérateurs économiques concernés.

5. Sur la base de la consultation visée au paragraphe 4 du présent article, la Commission peut adopter des actes d’exécution afin de fournir des mesures correctives ou restrictives au niveau de l’Union, y compris en exigeant le retrait du marché ou le rappel des produits comportant des éléments numériques concernés, dans un délai raisonnable, proportionné à la nature du risque. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.

6. La Commission communique immédiatement à l’opérateur ou aux opérateurs économiques concernés les actes d’exécution visés au paragraphe 5. Les États membres exécutent ces actes d’exécution sans retard et en informent la Commission.

7. Les paragraphes 3 à 6 sont applicables pendant la durée de la situation exceptionnelle qui a justifié l’intervention de la Commission, pour autant que le produit comportant des éléments numériques concerné ne soit pas mis en conformité avec le présent règlement.