Article 7

1. Les produits comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produit énoncée à l’annexe III sont considérés comme des produits importants comportant des éléments numériques et sont soumis aux procédures d’évaluation de la conformité visées à l’article 32, paragraphes 2 et 3. L’intégration dans un produit d’un produit comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produits énoncée à l’annexe III n’amène pas en tant que telle le produit dans lequel ledit produit comportant des éléments numériques a été intégré à être soumis aux procédures d’évaluation de la conformité visées à l’article 32, paragraphes 2 et 3.

2. Les catégories de produits comportant des éléments numériques visées au paragraphe 1 du présent article, réparties entre les classes I et II figurant à l’annexe III, remplissent au moins l’un des critères suivants:

• a) le produit comportant des éléments numériques exécute des fonctions essentielles pour la cybersécurité d’autres produits, réseaux ou services, y compris la sécurisation des authentifications et des accès, la prévention et la détection des intrusions, la sécurité des points terminaux ou la protection des réseaux;
• b) le produit comportant des éléments numériques exécute une fonction qui comporte un risque important d’effets néfastes du fait de son intensité et de sa capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de ses utilisateurs par une manipulation directe, par exemple une fonction du système central, y compris la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel.

3. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour modifier l’annexe III en ajoutant une nouvelle catégorie dans chaque classe de la liste des catégories de produits comportant des éléments numériques et en précisant la définition de celle-ci, en déplaçant une catégorie de produits d’une classe à l’autre ou en retirant une catégorie existante de cette liste. Lorsqu’elle évalue la nécessité de modifier la liste figurant à l’annexe III, la Commission tient compte des fonctionnalités liées à la cybersécurité ou de la fonction et du niveau de risque de cybersécurité que présentent les produits comportant des éléments numériques qui répondent aux critères visés au paragraphe 2 du présent article.

Les actes délégués visés au premier alinéa du présent paragraphe prévoient, le cas échéant, une période transitoire d’au moins 12 mois, en particulier lorsqu’une nouvelle catégorie de produits importants comportant des éléments numériques est ajoutée à la classe I ou à la classe II ou est déplacée de la classe I à la classe II, figurant à l’annexe III, avant que les procédures d’évaluation de la conformité pertinentes visées à l’article 32, paragraphes 2 et 3, ne deviennent d’application, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.

4. Au plus tard le 11 décembre 2025, la Commission adopte un acte d’exécution précisant la description technique des catégories de produits comportant des éléments numériques qui relèvent des classes I et II figurant à l’annexe III, ainsi que la description technique des catégories de produits comportant des éléments numériques qui figurent à l’annexe IV. Cet acte d’exécution est adopté en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.