Artikel 20

1. Distributeurs die een product met digitale elementen op de markt aanbieden, betrachten de nodige zorgvuldigheid in verband met de vereisten van deze verordening.

2. Alvorens een product met digitale elementen op de markt aan te bieden, gaan distributeurs na of:

• a) het product met digitale elementen is voorzien van de CE-markering;
• b) de fabrikant en de importeur hebben voldaan aan de verplichtingen van artikel 13, leden 15, 16, 18, 19 en 20, en artikel 19, lid 4, en alle nodige documenten hebben verstrekt aan de distributeur.

3. Wanneer een distributeur, op grond van informatie in zijn bezit, van mening is of redenen heeft om aan te nemen dat een product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming zijn met de essentiële cyberbeveiligingsvereisten van bijlage I, mag de distributeur het product met digitale elementen niet op de markt aanbieden voordat dat product of de door de fabrikant ingestelde processen in overeenstemming zijn gebracht met deze verordening. Bovendien brengt de distributeur, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de fabrikant en de markttoezichtautoriteiten daarvan zonder onnodige vertraging op de hoogte.

4. Distributeurs die, op grond van informatie in hun bezit, weten of redenen hebben om aan te nemen dat een door hen op de markt aangeboden product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming is/zijn met deze verordening, zorgen ervoor dat de nodige corrigerende maatregelen worden genomen om het product met digitale elementen of de door de fabrikant ingestelde processen in overeenstemming te brengen, of om het product zo nodig uit de handel te nemen of terug te roepen.

Wanneer distributeurs kennis krijgen van een kwetsbaarheid in het product met digitale elementen, stellen zij de fabrikant zonder onnodige vertraging in kennis van die kwetsbaarheid. Bovendien brengen distributeurs, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de markttoezichtautoriteiten van de lidstaten waar zij het product met digitale elementen op de markt hebben aangeboden daarvan onmiddellijk op de hoogte, waarbij zij in het bijzonder de non-conformiteit en alle genomen corrigerende maatregelen uitvoerig beschrijven.

5. Distributeurs verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit aan die autoriteit alle benodigde informatie en documentatie, schriftelijk of in elektronische vorm, om de conformiteit van het product met digitale elementen en van de processen die de fabrikant heeft ingesteld met deze verordening aan te tonen, in een voor die autoriteit gemakkelijk te begrijpen taal. Op verzoek van die autoriteit verlenen zij medewerking aan alle maatregelen die zijn genomen om de cyberbeveiligingsrisico’s van een product met digitale elementen dat zij op de markt hebben aangeboden, weg te nemen.

6. Wanneer de distributeur van een product met digitale elementen, op grond van informatie in zijn bezit, er kennis van neemt dat de fabrikant van dat product zijn activiteiten heeft stopgezet en daardoor niet in staat is aan de verplichtingen van deze verordening te voldoen, stelt de distributeur de betrokken markttoezichtautoriteiten zonder onnodige vertraging in kennis van die situatie, alsook, met alle beschikbare middelen en voor zover mogelijk, de gebruikers van de producten met digitale elementen die in de handel zijn gebracht.