Artikel 54

1. Indien de markttoezichtautoriteit van een lidstaat voldoende redenen heeft om aan te nemen dat een product met digitale elementen, met inbegrip van de respons op de kwetsbaarheden ervan, een significant cyberbeveiligingsrisico inhoudt, evalueert zij, zonder onnodige vertraging en, indien passend, in samenwerking met het desbetreffende CSIRT, of het betrokken product met digitale elementen voldoet aan alle vereisten van deze verordening. De desbetreffende marktdeelnemers werken zo nodig samen met de markttoezichtautoriteit.

Indien de markttoezichtautoriteit bij die evaluatie vaststelt dat het product met digitale elementen niet aan de vereisten van deze verordening voldoet, gelast zij de betrokken marktdeelnemer onverwijld alle passende corrigerende maatregelen te nemen om het product met digitale elementen binnen een door de markttoezichtautoriteit vast te stellen redelijke termijn, die evenredig is met de aard van het cyberbeveiligingsrisico, in overeenstemming te brengen met die vereisten, uit de handel te nemen of terug te roepen.

De markttoezichtautoriteit stelt de betrokken aangemelde instantie daarvan in kennis. Artikel 18 van Verordening (EU) 2019/1020 is van toepassing op de corrigerende maatregelen.

2. Bij het bepalen van de significantie van een cyberbeveiligingsrisico als bedoeld in lid 1 van dit artikel nemen de markttoezichtautoriteiten ook niet-technische risicofactoren in aanmerking, met name die welke zijn vastgesteld als gevolg van overeenkomstig artikel 22 van Richtlijn (EU) 2022/2555 uitgevoerde, op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens. Indien een markttoezichtautoriteit voldoende redenen heeft om aan te nemen dat een product met digitale elementen in het licht van niet-technische risicofactoren een significant cyberbeveiligingsrisico vormt, stelt zij de bevoegde autoriteiten die zijn aangewezen of opgericht op grond van artikel 8 van Richtlijn (EU) 2022/2555, daarvan op de hoogte en werkt zij zo nodig met die autoriteiten samen.

3. Indien de markttoezichtautoriteit van mening is dat de non-conformiteit niet beperkt blijft tot haar nationale grondgebied, brengt zij de Commissie en de andere lidstaten op de hoogte van de resultaten van de evaluatie en van de maatregelen die zij de marktdeelnemer heeft opgelegd.

4. De marktdeelnemer zorgt ervoor dat alle passende corrigerende maatregelen worden toegepast op alle betrokken producten met digitale elementen die hij in de Unie op de markt heeft aangeboden.

5. Wanneer de marktdeelnemer niet binnen de in lid 1, tweede alinea, bedoelde termijn doeltreffende corrigerende maatregelen neemt, neemt de markttoezichtautoriteit alle passende voorlopige maatregelen om het op haar nationale markt aanbieden van dat product met digitale elementen te verbieden of te beperken, dan wel het product in de betrokken lidstaat uit de handel te nemen of terug te roepen.

Die autoriteit stelt de Commissie en de andere lidstaten onverwijld in kennis van die maatregelen.

6. De in lid 5 bedoelde informatie omvat alle bekende bijzonderheden, met name de gegevens die nodig zijn om het non-conforme product met digitale elementen te identificeren en om de oorsprong van dat product met digitale elementen, de aard van de beweerde non-conformiteit en van het risico, en de aard en de duur van de nationale maatregelen vast te stellen, evenals de argumenten die worden aangevoerd door de desbetreffende marktdeelnemer. De markttoezichtautoriteit vermeldt met name of de non-conformiteit een of meer van de volgende redenen heeft:

• a) het product met digitale elementen of de door de fabrikant ingestelde processen voldoen niet aan de essentiële cyberbeveiligingsvereisten van bijlage I;
• b) tekortkomingen in de in artikel 27 bedoelde geharmoniseerde normen, Europese cyberbeveiligingscertificeringsregelingen of gemeenschappelijke specificaties.

7. De markttoezichtautoriteiten van de andere lidstaten dan die welke de procedure in gang heeft gezet, brengen de Commissie en de andere lidstaten onverwijld op de hoogte van door hen genomen maatregelen en van aanvullende informatie over de non-conformiteit van het product met digitale elementen waarover zij beschikken, en van hun bezwaren indien zij het niet eens zijn met de aangemelde nationale maatregel.

8. Indien binnen drie maanden na ontvangst van de in lid 5 van dit artikel bedoelde kennisgeving door een lidstaat of de Commissie geen bezwaar tegen een voorlopige maatregel van een lidstaat is aangetekend, wordt die maatregel geacht gerechtvaardigd te zijn. Dat doet geen afbreuk aan de procedurele rechten van de betrokken marktdeelnemer overeenkomstig artikel 18 van Verordening (EU) 2019/1020.

9. De markttoezichtautoriteiten van alle lidstaten zorgen ervoor dat ten aanzien van het betrokken product met digitale elementen onverwijld de passende beperkende maatregelen worden genomen, zoals het uit de handel nemen van dat product op hun markt.