Artículo 20 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

1. Al comercializar un producto con elementos digitales, los distribuidores actuarán con la diligencia debida en relación con los requisitos establecidos en el presente Reglamento.

2. Antes de comercializar un producto con elementos digitales, los distribuidores comprobarán que:

a) el producto con elementos digitales lleva el marcado CE;

b) el fabricante y el importador han cumplido las obligaciones establecidas, respectivamente, en el artículo 13, apartados 15, 16, 18, 19 y 20, y en el artículo 19, apartado 4, y han facilitado todos los documentos necesarios al distribuidor.

3. Si un distribuidor considera o tiene motivos para creer, con arreglo a la información que obre en su poder, que un producto con elementos digitales o los procesos establecidos por el fabricante no son conformes con los requisitos esenciales de ciberseguridad establecidos en el anexo I, el distribuidor no comercializará el producto con elementos digitales hasta que el producto o los procesos establecidos por el fabricante no se hayan puesto en conformidad con el presente Reglamento. Además, cuando el producto con elementos digitales presente un riesgo de ciberseguridad significativo, el distribuidor informará de ello sin demora indebida al fabricante y a las autoridades de vigilancia del mercado.

4. Los distribuidores que sepan o tengan motivos para creer, con arreglo a la información que obre en su poder, que un producto con elementos digitales que han comercializado o los procesos establecidos por su fabricante no son conformes con el presente Reglamento se asegurarán de que se adopten las medidas correctoras necesarias para poner en conformidad dicho producto con elementos digitales o los procesos establecidos por su fabricante, o bien para retirar el producto del mercado o recuperarlo, cuando proceda.

Cuando tengan conocimiento de una vulnerabilidad en el producto con elementos digitales, los distribuidores informarán al fabricante sobre dicha vulnerabilidad sin demora indebida. Además, cuando el producto con elementos digitales presente un riesgo de ciberseguridad significativo, los distribuidores informarán inmediatamente de ello a las autoridades de vigilancia del mercado de los Estados miembros en los que lo hayan comercializado y proporcionarán detalles, en particular, sobre la no conformidad y sobre cualquier medida correctora adoptada.

5. Previa solicitud motivada de una autoridad de vigilancia del mercado, los distribuidores facilitarán a esta, bien en papel o bien en formato electrónico y redactadas en una lengua fácilmente comprensible para dicha autoridad, toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales y de los procesos establecidos por el fabricante con el presente Reglamento. Cooperarán con dicha autoridad, a petición de esta, en cualquier medida adoptada para eliminar los riesgos de ciberseguridad planteadas por el producto con elementos digitales que han comercializado.

6. Cuando el distribuidor de un producto con elementos digitales tenga conocimiento, con arreglo a la información que obre en su poder, de que el fabricante ha cesado sus actividades y, en consecuencia, no puede cumplir las obligaciones establecidas en el presente Reglamento, el distribuidor informará sin demora de esa situación a las autoridades de vigilancia del mercado pertinentes, así como, por cualquier medio disponible y en la medida de lo posible, a los usuarios de los correspondientes productos con elementos digitales introducidos en el mercado.