Article 8

1. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour compléter le présent règlement afin de déterminer quels produits comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produits qui figure à l’annexe IV du présent règlement doivent être tenus d’obtenir un certificat de cybersécurité européen au minimum au niveau d’assurance dit «substantiel» dans le cadre d’un schéma européen de certification de cybersécurité adopté en vertu du règlement (UE) 2019/881, afin de démontrer leur conformité aux exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement, ou à des parties de ces exigences, à condition qu’un schéma européen de certification de cybersécurité qui couvre ces catégories de produits comportant des éléments numériques ait été adopté en vertu du règlement (UE) 2019/881 et soit à la disposition des fabricants. Ces actes délégués précisent le niveau d’assurance nécessaire qui est proportionné au niveau de risque de cybersécurité associé aux produits comportant des éléments numériques et ils tiennent compte de l’utilisation prévue de ces produits, y compris la dépendance critique à leur égard d’entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555.

Avant d’adopter ces actes délégués, la Commission procède à une évaluation des effets potentiels sur le marché des mesures envisagées, ainsi qu’à des consultations des parties intéressées, y compris le groupe européen de certification de cybersécurité institué au titre du règlement (UE) 2019/881. L’évaluation prend en considération l’état de préparation et le niveau des capacités des États membres pour la mise en œuvre du schéma européen de certification de cybersécurité pertinent. Lorsque aucun acte délégué tel que visé au premier alinéa du présent paragraphe n’a été adopté, les produits comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produits qui figure à l’annexe IV sont soumis aux procédures d’évaluation de la conformité visées à l’article 32, paragraphe 3.

Les actes délégués visés au premier alinéa prévoient une période transitoire d’au moins six mois, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.

2. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour modifier l’annexe IV en ajoutant ou en retirant des catégories de produits critiques comportant des éléments numériques. Lorsqu’elle fixe ces catégories de produits critiques comportant des éléments numériques et le niveau d’assurance requis, conformément au paragraphe 1 du présent article, la Commission tient compte des critères visés à l’article 7, paragraphe 2, et veille à ce que les catégories de produits critiques comportant des éléments numériques remplissent au moins l’un des critères suivants:

• a) il existe une dépendance critique d’entités essentielles visées à l’article 3 de la directive (UE) 2022/2555 à l’égard de la catégorie de produits comportant des éléments numériques;
• b) des incidents et des vulnérabilités exploitées concernant la catégorie de produits comportant des éléments numériques pourrait entraîner de graves perturbations de chaînes d’approvisionnement critiques du marché intérieur.

Avant d’adopter ces actes délégués, la Commission procède à une évaluation du même type que celle visée au paragraphe 1.

Les actes délégués visés au premier alinéa prévoient une période transitoire d’au moins six mois, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.