- 1. 輸入業者は、附属書I第I部に定める必須サイバーセキュリティ要件に適合し、かつ、製造業者によって整備されたプロセスが附属書I第II部に定める必須サイバーセキュリティ要件に適合しているデジタル要素を備える製品のみを上市するものとする。
- 2. 輸入業者は、デジタル要素を備える製品を上市する前に、次の事項を確保しなければならない。
- 第32条に規定する適切な適合性評価手続が製造業者によって実施されていること。
- 製造業者が技術文書を作成していること。
- デジタル要素を備える製品に、第30条に規定するCEマーキングが表示され、第13条(20)に規定するEU適合宣言並びに附属書IIに定める利用者向けの情報及び使用説明書が、利用者及び市場監視当局が容易に理解することのできる言語で添付されていること。
- 製造業者が第13条(15)、(16)及び(19)に定める要件を遵守していること。
この段落の適用上、輸入業者は、本条に定める要件が満たされていることを証明するために必要な文書を提出することができなければならない。 - 3. 輸入業者は、デジタル要素を備える製品又は製造業者が導入したプロセスが本規則に適合していないと判断する場合、又はそのように判断する理由がある場合には、当該製品又は製造業者が導入したプロセスが本規則に適合するよう是正されるまで、当該製品を上市してはならない。さらに、デジタル要素を備える製品が重大なサイバーセキュリティリスクをもたらす場合には、輸入業者は、その旨を製造業者及び市場監視当局に通知しなければならない.
輸入業者が、非技術的リスク要因に照らして、デジタル要素を備える製品が重大なサイバーセキュリティリスクをもたらすおそれがあると考える理由を有する場合には、輸入業者は、その旨を市場監視当局に通知しなければならない。当該情報を受領したときは、市場監視当局は、第54条(2)に規定する手続に従わなければならない。 - 4. 輸入業者は、その名称、登録商号又は登録商標、郵便上の住所、電子メールアドレスその他のデジタル連絡先、並びに該当する場合には連絡可能なウェブサイトを、デジタル要素を備える製品上、その包装上、又は当該製品に添付される文書に表示しなければならない。当該連絡先情報は、利用者及び市場監視当局が容易に理解することのできる言語によるものでなければならない。
- 5. 輸入業者は、自らが上市したデジタル要素を備える製品が本規則に適合していないことを知り、又はそのように考える理由を有する場合には、当該製品を本規則に適合させるため、又は必要に応じて当該製品を回収し、若しくはリコールするために必要な是正措置を直ちに講じなければならない。
輸入業者は、デジタル要素を備える製品における脆弱性を認識した場合には、不当な遅滞なく、その脆弱性について製造業者に通知しなければならない。さらに、デジタル要素を備える製品が重大なサイバーセキュリティリスクをもたらす場合には、輸入業者は、特に不適合の内容及び講じた是正措置の詳細を示して、当該デジタル要素を備える製品を市場において提供した加盟国の市場監視当局に対し、その旨を直ちに通知しなければならない。 - 6. 輸入業者は、デジタル要素を備える製品の上市後少なくとも10年間、又はサポート期間のいずれか長い期間、市場監視当局が利用できるようEU適合宣言の写しを保管し、また、要請があった場合には、技術文書を当該当局に提供できるよう確保しなければならない。
- 7. 輸入業者は、市場監視当局から理由を付した要請があった場合には、附属書I第I部に定めるサイバーセキュリティに関する本質的要求事項に対するデジタル要素を有する製品の適合性並びに附属書I第II部に定めるサイバーセキュリティに関する本質的要求事項に対する製造業者が導入した工程の適合性を証明するために必要なすべての情報及び文書を、当該当局が容易に理解することができる言語で、紙媒体又は電子媒体により提供しなければならない。輸入業者は、自己が上市したデジタル要素を有する製品によって生ずるサイバーセキュリティ・リスクを除去するために講じられるあらゆる措置について、当該当局の要請に応じて、これに協力しなければならない。
- 8. デジタル要素を有する製品の輸入業者は、当該製品の製造業者が事業を終了し、その結果として本規則に定める義務を遵守することができなくなったことを知った場合には、関係する市場監視当局に対し当該状況を通知しなければならず、また、利用可能なあらゆる手段により、かつ可能な限り、上市されたデジタル要素を有する製品の利用者にも当該状況を通知しなければならない。
サイバーレジリエンス法 規則 (EU) 2024/2847
第19条