Articolo 54

1. Qualora l’autorità di vigilanza del mercato di uno Stato membro abbia motivi sufficienti per ritenere che un prodotto con elementi digitali, compresa la relativa gestione delle vulnerabilità, presenti un rischio di cibersicurezza significativo, essa effettua, senza indebito ritardo e, se del caso, in cooperazione con il pertinente CSIRT, una valutazione del prodotto con elementi digitali interessato per quanto riguarda la sua conformità a tutti i requisiti di cui al presente regolamento. Gli operatori economici interessati cooperano con l’autorità di vigilanza del mercato se necessario.

Se, nel corso di tale valutazione, l’autorità di vigilanza del mercato conclude che il prodotto con elementi digitali non rispetta i requisiti di cui al presente regolamento, essa chiede senza indugio all’operatore economico interessato di adottare tutte le opportune misure correttive al fine di rendere il prodotto con elementi digitali conforme ai suddetti requisiti oppure di ritirarlo o di richiamarlo dal mercato entro un termine ragionevole e proporzionato alla natura del rischio di cibersicurezza, a seconda di quanto prescritto dall’autorità di vigilanza del mercato.

L’autorità di vigilanza del mercato informa di conseguenza l’organismo notificato pertinente. L’articolo 18 del regolamento (UE) 2019/1020 si applica alle misure correttive.

2. Nel determinare la rilevanza di un rischio di cibersicurezza di cui al paragrafo 1 del presente articolo, le autorità di vigilanza del mercato tengono conto anche dei fattori di rischio non tecnici, in particolare quelli stabiliti a seguito di valutazioni coordinate a livello dell’Unione del rischio per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell’articolo 22 della direttiva (UE) 2022/2555. Se l’autorità di vigilanza del mercato ha motivi sufficienti per ritenere che un prodotto con elementi digitali presenti un rischio di cibersicurezza significativo alla luce di fattori di rischio non tecnici, essa informa le autorità competenti designate o istituite a norma dell’articolo 8 della direttiva (UE) 2022/2555 e coopera con tali autorità se necessario.

3. Qualora ritenga che la non conformità non sia limitata al territorio nazionale, l’autorità di vigilanza del mercato informa la Commissione e gli altri Stati membri dei risultati della valutazione e delle azioni che ha chiesto all’operatore economico di intraprendere.

4. L’operatore economico garantisce che siano adottate tutte le opportune misure correttive nei confronti di tutti i prodotti con elementi digitali interessati che ha messo a disposizione sul mercato in tutta l’Unione.

5. Qualora l’operatore economico non adotti misure correttive adeguate entro il termine di cui al paragrafo 1, secondo comma, l’autorità di vigilanza del mercato adotta tutte le opportune misure provvisorie per vietare o limitare la messa a disposizione del prodotto con elementi digitali sul suo mercato nazionale, per ritirarlo da tale mercato o per richiamarlo.

Tale autorità notifica senza indugio alla Commissione e agli altri Stati membri tali misure.

6. Le informazioni di cui al paragrafo 5 includono tutti i dettagli disponibili, soprattutto i dati necessari all’identificazione del prodotto con elementi digitali non conforme, la sua origine, la natura della presunta non conformità e i rischi connessi, la natura e la durata delle misure nazionali adottate, nonché gli argomenti espressi dall’operatore economico interessato. L’autorità di vigilanza del mercato indica in particolare se la non conformità sia dovuta a una o più delle cause seguenti:

• a) mancato rispetto dei requisiti essenziali di cibersicurezza di cui all’allegato I da parte del prodotto con elementi digitali o dei processi messi in atto dal fabbricante;
• b) carenze nelle norme armonizzate, nei sistemi europei di certificazione della cibersicurezza o nelle specifiche comuni di cui all’articolo 27.

7. Le autorità di vigilanza del mercato degli Stati membri diverse dall’autorità di vigilanza del mercato dello Stato membro che ha avviato la procedura comunicano senza indugio alla Commissione e agli altri Stati membri tutte le misure adottate, tutte le altre informazioni a loro disposizione sulla non conformità del prodotto con elementi digitali interessato e, in caso di disaccordo con la misura nazionale notificata, le loro obiezioni.

8. Qualora, entro tre mesi dal ricevimento della notifica di cui al paragrafo 5 del presente articolo, uno Stato membro o la Commissione non sollevino obiezioni contro la misura provvisoria adottata da uno Stato membro, tale misura è considerata giustificata. Ciò non pregiudica i diritti procedurali dell’operatore economico interessato in conformità dell’articolo 18 del regolamento (UE) 2019/1020.

9. Le autorità di vigilanza del mercato di tutti gli Stati membri garantiscono che siano adottate senza indugio adeguate misure restrittive in relazione al prodotto con elementi digitali interessato, come il ritiro di tale prodotto dal loro mercato.