Artículo 54 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

1. Cuando la autoridad de vigilancia del mercado de un Estado miembro tenga un motivo suficiente para considerar que un producto con elementos digitales, también en lo que respecta a la gestión de las vulnerabilidades, presenta un riesgo de ciberseguridad significativo, efectuará, sin demora indebida y en cooperación el CSIRT correspondiente, una evaluación del producto con elementos digitales de que se trate para verificar su cumplimiento de todos los requisitos establecidos en el presente Reglamento. Los operadores económicos pertinentes cooperarán con la autoridad de vigilancia del mercado en todo lo necesario.

Si, en el transcurso de dicha evaluación, la autoridad de vigilancia del mercado constata que el producto con elementos digitales no cumple los requisitos establecidos en el presente Reglamento, pedirá sin demora al operador económico pertinente que adopte las medidas correctoras oportunas para llevar el producto con elementos digitales a conformidad con los citados requisitos o bien retirarlo del mercado o recuperarlo en un plazo razonable, proporcional a la naturaleza del riesgo de ciberseguridad, que la autoridad de vigilancia del mercado prescriba.

La autoridad de vigilancia del mercado informará al organismo notificado correspondiente en consecuencia. El artículo 18 del Reglamento (UE) 2019/1020 será aplicable a las medidas correctoras.

2. Al determinar la importancia de un riesgo de ciberseguridad a que se refiere el apartado 1 del presente artículo, las autoridades de vigilancia del mercado también tendrán en cuenta los factores de riesgo no técnicos, en particular los establecidos como resultado de las evaluaciones coordinadas de riesgos para la seguridad de las cadenas de suministro críticas a escala de la Unión realizadas de conformidad con el artículo 22 de la Directiva (UE) 2022/2555. Cuando una autoridad de vigilancia del mercado posea motivos suficientes para considerar que un producto con elementos digitales presenta un riesgo de ciberseguridad significativo a la luz de factores de riesgo no técnicos, informará a las autoridades competentes designadas o establecidas en virtud del artículo 8 de la Directiva (UE) 2022/2555 y cooperará con esas autoridades cuando sea necesario.

3. Cuando la autoridad de vigilancia del mercado considere que el incumplimiento no se limita a su territorio nacional, informará a la Comisión y a los demás Estados miembros de los resultados de la evaluación y de las medidas que haya instado al operador económico a adoptar.

4. El operador económico se asegurará de que se adopten todas las medidas correctoras adecuadas en relación con todos los productos con elementos digitales afectados que haya comercializado en toda la Unión.

5. Si el operador económico no adopta las medidas correctoras adecuadas en el plazo a que hace referencia el apartado 1, párrafo segundo, la autoridad de vigilancia del mercado adoptará todas las medidas provisionales adecuadas para prohibir o restringir la comercialización del producto con elementos digitales en su mercado nacional, para retirarlo de ese mercado o para recuperarlo.

Dicha autoridad notificará sin demora a la Comisión y a los demás Estados miembros estas medidas.

6. La información mencionada en el apartado 5 incluirá todos los detalles disponibles, en particular los datos necesarios para la identificación del producto con elementos digitales no conformes, el origen de ese producto con elementos digitales, la naturaleza de la supuesta no conformidad y del riesgo planteado, la naturaleza y duración de las medidas nacionales adoptadas y los argumentos formulados por el operador económico en cuestión. En particular, la autoridad de vigilancia del mercado indicará si la no conformidad se debe a uno o varios de los motivos siguientes:

a) el incumplimiento de los requisitos esenciales de ciberseguridad establecidos en el anexo I por parte del producto con elementos digitales o de los procesos establecidos por el fabricante;

b) deficiencias en las normas armonizadas, esquemas europeos de certificación de la ciberseguridad o especificaciones comunes a que se refiere el artículo 27.

7. Las autoridades de vigilancia del mercado de los Estados miembros distintas de la autoridad de vigilancia del mercado del Estado miembro que haya iniciado el procedimiento comunicarán sin demora a la Comisión y a los demás Estados miembros toda medida que adopten y cualquier información adicional de que dispongan sobre la no conformidad del producto con elementos digitales en cuestión y, en caso de desacuerdo con la medida nacional notificada, sus objeciones al respecto.

8. Si, en el plazo de tres meses tras la recepción de la notificación indicada en el apartado 5 del presente artículo, ningún Estado miembro ni la Comisión presentan objeción alguna sobre una medida provisional adoptada por un Estado miembro, la medida se considerará justificada. Esto se entiende sin perjuicio de los derechos procedimentales del operador económico correspondiente de conformidad con el artículo 18 del Reglamento (UE) 2019/1020.

9. Las autoridades de vigilancia del mercado de todos los Estados miembros se asegurarán de que las medidas restrictivas adecuadas respecto del producto con elementos digitales de que se trate, tales como la retirada de ese producto del mercado, se adopten sin demora.