Articolo 57

1. L’autorità di vigilanza del mercato di uno Stato membro chiede a un operatore economico di adottare tutte le misure del caso qualora, dopo aver effettuato una valutazione ai sensi dell’articolo 54, ritenga che, sebbene conformi al presente regolamento, il prodotto con elementi digitali e i processi messi in atto dal fabbricante presentino un rischio di cibersicurezza significativo e comportino inoltre un rischio per:

• a) la salute o la sicurezza delle persone;
• b) la conformità agli obblighi previsti dal diritto dell’Unione o nazionale a tutela dei diritti fondamentali;
• c) la disponibilità, l’autenticità, l’integrità o la riservatezza dei servizi offerti utilizzando un sistema di informazione elettronico da parte di soggetti essenziali del tipo di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555; o
• d) altri aspetti della tutela dell’interesse pubblico.

Le misure di cui al primo comma possono includere misure appropriate a far sì che il prodotto con elementi digitali e i processi messi in atto dal fabbricante non presentino più i rischi in questione all’atto della messa a disposizione sul mercato oppure che il prodotto con elementi digitali in questione sia ritirato dal mercato o richiamato, e sono commisurate alla natura di tali rischi.

2. Il fabbricante o altri operatori economici pertinenti garantiscono l’adozione di misure correttive nei confronti dei prodotti con elementi digitali interessati che hanno messo a disposizione sul mercato in tutta l’Unione entro il termine stabilito dall’autorità di vigilanza del mercato dello Stato membro di cui al paragrafo 1.

3. Lo Stato membro informa immediatamente la Commissione e gli altri Stati membri in merito alle misure adottate a norma del paragrafo 1. Tali informazioni comprendono tutti i dettagli disponibili, segnatamente i dati necessari all’identificazione dei prodotti con elementi digitali interessati, l’origine e la catena di approvvigionamento di tali prodotti, la natura dei rischi connessi, nonché la natura e la durata delle misure nazionali adottate.

4. La Commissione avvia senza indugio consultazioni con gli Stati membri e l’operatore economico interessato e valuta le misure nazionali adottate. In base ai risultati della valutazione, la Commissione decide se la misura sia giustificata o no e propone, all’occorrenza, misure appropriate.

5. La Commissione trasmette la decisione di cui al paragrafo 4 agli Stati membri.

6. Se ha motivi sufficienti per ritenere, anche sulla base delle informazioni fornite dall’ENISA, che un prodotto con elementi digitali, sebbene conforme al presente regolamento, presenti i rischi di cui al paragrafo 1 del presente articolo, la Commissione ne dà informazione e può chiedere all’autorità o alle autorità di vigilanza del mercato competenti di effettuare una valutazione e di seguire le procedure di cui all’articolo 54 e ai paragrafi 1, 2 e 3 del presente articolo.

7. In circostanze che giustifichino un intervento immediato per preservare il corretto funzionamento del mercato interno e qualora la Commissione abbia motivi sufficienti per ritenere che il prodotto con elementi digitali di cui al paragrafo 6 continui a presentare i rischi di cui al paragrafo 1 e che le autorità nazionali di vigilanza del mercato competenti non abbiano adottato misure efficaci, la Commissione effettua una valutazione dei rischi presentati da tale prodotto con elementi digitali e può chiedere all’ENISA di fornire un’analisi a sostegno di tale valutazione e ne informa le autorità di vigilanza del mercato competenti. Gli operatori economici interessati cooperano con l’ENISA se necessario.

8. Sulla base della valutazione di cui al paragrafo 7, la Commissione può stabilire che è necessaria una misura correttiva o restrittiva a livello dell’Unione. A tal fine essa consulta senza indugio gli Stati membri interessati e l’operatore o gli operatori economici interessati.

9. Sulla base della consultazione di cui al paragrafo 8 del presente articolo, la Commissione può adottare atti di esecuzione per decidere in merito alle misure correttive o restrittive a livello dell’Unione, tra cui imporre di ritirare dal mercato o di richiamare i prodotti con elementi digitali interessati, entro un termine ragionevole, proporzionato alla natura del rischio. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

10. La Commissione comunica immediatamente gli atti di esecuzione di cui al paragrafo 9 all’operatore o agli operatori economici interessati. Gli Stati membri attuano tali atti di esecuzione senza indugio e ne informano la Commissione.

11. I paragrafi da 6 a 10 si applicano per la durata della situazione eccezionale che ha giustificato l’intervento della Commissione e per tutto il tempo in cui il prodotto con elementi digitali in questione continua a presentare i rischi di cui al paragrafo 1.