Artykuł 54

1. Jeżeli organ nadzoru rynku państwa członkowskiego ma wystarczający powód sądzić, że produkt z elementami cyfrowymi, w tym dotyczące go postępowanie w przypadku wykrycia podatności, stwarza istotne ryzyko w cyberprzestrzeni, organ przeprowadza, bez zbędnej zwłoki i w stosownych przypadkach we współpracy z odpowiednim CSIRT-em, ocenę tego produktu z elementami cyfrowymi pod kątem zgodności produktu ze wszystkimi wymogami określonymi w niniejszym rozporządzeniu. W razie potrzeby odpowiednie podmioty gospodarcze współpracują z danym organem nadzoru rynku.

Jeżeli w trakcie tej oceny organ nadzoru rynku stwierdzi, że produkt z elementami cyfrowymi nie jest zgodny z wymogami określonymi w niniejszym rozporządzeniu, niezwłocznie zobowiązuje właściwy podmiot gospodarczy do podjęcia wszelkich odpowiednich działań naprawczych w celu zapewnienia zgodności produktu z elementami cyfrowymi z tymi wymogami, wycofania go z obrotu lub odzyskania go w wyznaczonym przez organ rozsądnym terminie, stosownym do charakteru ryzyka w cyberprzestrzeni, zgodnie z zaleceniami organu nadzoru rynku.

Organ nadzoru rynku informuje o tym odpowiednią jednostkę notyfikowaną. Art. 18 rozporządzenia (UE) 2019/1020 stosuje się do działań naprawczych.

2. Określając znaczenie ryzyka w cyberprzestrzeni, o którym mowa w ust. 1 niniejszego artykułu, organy nadzoru rynku uwzględniają również pozatechniczne czynniki ryzyka, w szczególności te ustalone w wyniku skoordynowanych na poziomie Unii ocen ryzyka w zakresie bezpieczeństwa krytycznych łańcuchów dostaw przeprowadzonych zgodnie z art. 22 dyrektywy (UE) 2022/2555. W przypadku gdy organ nadzoru rynku ma wystarczający powód sądzić, że produkt z elementami cyfrowymi stwarza istotne ryzyko w cyberprzestrzeni w świetle pozatechnicznych czynników ryzyka, informuje o tym właściwe organy wyznaczone lub ustanowione na podstawie art. 8 dyrektywy (UE) 2022/2555 i w razie potrzeby współpracuje z tymi organami.

3. W przypadku gdy organ nadzoru rynku uzna, że niezgodność z wymogami nie ogranicza się do jego terytorium krajowego, informuje Komisję oraz pozostałe państwa członkowskie o wynikach oceny oraz o działaniach, których podjęcia zażądał od danego podmiotu gospodarczego.

4. Podmiot gospodarczy zapewnia podjęcie wszelkich odpowiednich działań naprawczych w odniesieniu do wszystkich określonych produktów z elementami cyfrowymi, które udostępnił na rynku w całej Unii.

5. W przypadku niepodjęcia przez podmiot gospodarczy produktu z elementami cyfrowymi odpowiednich działań naprawczych w terminie, o którym mowa w ust. 1 akapit drugi, organ nadzoru rynku wprowadza wszelkie odpowiednie środki tymczasowe w celu zakazania lub ograniczenia udostępniania tego produktu z elementami cyfrowymi na rynku krajowym, wycofania produktu z obrotu lub odzyskania go.

Organ ten niezwłocznie notyfikuje te środki Komisji i pozostałym państwom członkowskim.

6. Informacje, o których mowa w ust. 5, obejmują wszelkie dostępne informacje szczegółowe, w szczególności dane niezbędne do identyfikacji niezgodnego z przepisami produktu z elementami cyfrowymi, pochodzenie tego produktu z elementami cyfrowymi, charakter domniemanej niezgodności i związanego z nią ryzyka, charakter i okres obowiązywania wprowadzonych środków krajowych oraz argumenty przedstawione przez właściwy podmiot gospodarczy. W szczególności organ nadzoru rynku wskazuje, czy niezgodność wynika z co najmniej jednej z następujących przyczyn:

• a) niespełnienia przez produkt z elementami cyfrowymi lub procedury wprowadzone przez producenta zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I;
• b) niedociągnięć w normach zharmonizowanych, europejskich programach certyfikacji cyberbezpieczeństwa lub wspólnych specyfikacjach, o których mowa w art. 27.

7. Organy nadzoru rynku państw członkowskich inne niż organ nadzoru rynku państwa członkowskiego wszczynającego procedurę niezwłocznie informują Komisję i pozostałe państwa członkowskie o wszelkich przyjętych środkach i przekazują wszelkie posiadane dodatkowe informacje dotyczące niezgodności danego produktu z elementami cyfrowymi z przepisami lub przedstawiają swoje zastrzeżenia, jeżeli nie zgadzają się ze zgłoszonym środkiem krajowym.

8. W przypadku gdy w terminie trzech miesięcy od dnia otrzymania notyfikacji, o której mowa w ust. 5 niniejszego artykułu, ani państwo członkowskie, ani Komisja nie zgłoszą sprzeciwu wobec środka tymczasowego przyjętego przez dane państwo członkowskie, środek ten uznaje się za uzasadniony. Pozostaje to bez uszczerbku dla praw procesowych danego podmiotu gospodarczego określonych w art. 18 rozporządzenia (UE) 2019/1020.

9. Organy nadzoru rynku we wszystkich państwach członkowskich zapewniają niezwłoczne wprowadzenie odpowiednich środków ograniczających w odniesieniu do danego produktu z elementami cyfrowymi, takich jak wycofanie tego produktu z obrotu.