Articolo 56

1. Se la Commissione ha motivi sufficienti per ritenere, anche sulla base delle informazioni fornite dall’ENISA, che un prodotto con elementi digitali che presenta un rischio di cibersicurezza significativo non sia conforme ai requisiti stabiliti nel presente regolamento, ne informa le autorità di vigilanza del mercato. Se le autorità di vigilanza del mercato effettuano una valutazione di tale prodotto con elementi digitali che può presentare un rischio di cibersicurezza significativo per quanto riguarda la sua conformità ai requisiti di cui al presente regolamento, si applicano le procedure di cui agli articoli 54 e 55.

2. Se la Commissione ha motivi sufficienti per ritenere che un prodotto con elementi digitali presenti un rischio di cibersicurezza significativo alla luce di fattori di rischio non tecnici, essa informa le autorità di vigilanza del mercato competenti e, se del caso, le autorità competenti designate o istituite ai sensi dell’articolo 8 della direttiva (UE) 2022/2555 e coopera con tali autorità se necessario. La Commissione valuta inoltre la pertinenza dei rischi individuati per tale prodotto con elementi digitali alla luce dei suoi compiti per quanto riguarda le valutazioni coordinate a livello dell’Unione del rischio per la sicurezza delle catene di approvvigionamento critiche di cui all’articolo 22 della direttiva (UE) 2022/2555 e consulta, se necessario, il gruppo di cooperazione istituito a norma dell’articolo 14 della direttiva (UE) 2022/2555 e l’ENISA.

3. In circostanze che giustifichino un intervento immediato per preservare il corretto funzionamento del mercato interno e qualora la Commissione abbia motivi sufficienti per ritenere che il prodotto con elementi digitali di cui al paragrafo 1 continui a non essere conforme ai requisiti stabiliti dal presente regolamento e che non siano state adottate misure efficaci dalle autorità di vigilanza del mercato competenti, la Commissione effettua una valutazione della conformità e può chiedere all’ENISA di fornire un’analisi a sostegno di tale valutazione. La Commissione ne informa le autorità di vigilanza del mercato pertinenti. Gli operatori economici interessati cooperano con l’ENISA se necessario.

4. Sulla base della valutazione di cui al paragrafo 3, la Commissione può decidere che è necessaria una misura correttiva o restrittiva a livello dell’Unione. A tal fine essa consulta senza indugio gli Stati membri interessati e l’operatore o gli operatori economici interessati.

5. Sulla base della consultazione di cui al paragrafo 4 del presente articolo, la Commissione può adottare atti di esecuzione per prevedere misure correttive o restrittive a livello dell’Unione, tra cui imporre di ritirare dal mercato i prodotti con elementi digitali interessati o di richiamarli, entro un termine ragionevole, proporzionato alla natura del rischio. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

6. La Commissione comunica immediatamente gli atti di esecuzione di cui al paragrafo 5 all’operatore o agli operatori economici interessati. Gli Stati membri attuano senza indugio tali atti di esecuzione e ne informano la Commissione.

7. I paragrafi da 3 a 6 si applicano per la durata della situazione eccezionale che ha giustificato l’intervento della Commissione, purché il prodotto con elementi digitali in questione non sia reso conforme al presente regolamento.