- 1. 流通業者は、デジタル要素を有する製品を市場において提供するに当たり、本規則に定める要求事項に関して相当の注意をもって行動しなければならない。
- 2. 流通業者は、デジタル要素を有する製品を市場において提供する前に、次の事項を確認しなければならない。
- 3. 流通業者は、自己が保有する情報に基づき、デジタル要素を有する製品又は製造業者が導入した工程が附属書Iに定めるサイバーセキュリティに関する本質的要求事項に適合していないと判断する場合又はそのように信ずるに足る理由がある場合には、当該製品又は製造業者が導入した工程が本規則に適合するようにされるまで、当該デジタル要素を有する製品を市場において提供してはならない。さらに、当該デジタル要素を有する製品が重大なサイバーセキュリティ・リスクをもたらす場合には、流通業者は、その旨を、不当に遅滞することなく、製造業者及び市場監視当局に通知しなければならない。
- 4. 流通業者は、自己が保有する情報に基づき、自己が市場において提供したデジタル要素を有する製品又はその製造業者が導入した工程が本規則に適合していないことを知り、又はそのように信ずるに足る理由がある場合には、必要に応じて、当該デジタル要素を有する製品又はその製造業者が導入した工程を適合させるため、又は当該製品を回収若しくはリコールするために必要な是正措置が講じられることを確保しなければならない。
流通業者は、デジタル要素を有する製品に脆弱性が存在することを知ったときは、不当に遅滞することなく、その脆弱性について製造業者に通知しなければならない。さらに、デジタル要素を有する製品が重大なサイバーセキュリティ・リスクを呈する場合には、流通業者は、特に不適合の内容及び講じられた是正措置の詳細を示して、その旨を、当該デジタル要素を有する製品を市場において提供した加盟国の市場監視当局に対し、直ちに通知しなければならない。 - 5. 販売業者は、市場監視当局から理由を付した要請を受けた場合には、当該当局が容易に理解することができる言語で、デジタル要素を有する製品及びその製造業者が整備したプロセスのこの規則への適合性を証明するために必要なすべての情報及び文書を、紙媒体又は電子媒体により提供しなければならない。販売業者は、その要請に応じて、市場において提供したデジタル要素を有する製品がもたらすサイバーセキュリティリスクを除去するために講じられるあらゆる措置について、当該当局に協力しなければならない。
- 6. デジタル要素を有する製品の販売業者が、自ら保有する情報に基づき、当該製品の製造業者が事業を停止し、その結果としてこの規則に定める義務を履行することができなくなったことを知った場合には、販売業者は、不当な遅滞なく、この状況について関係する市場監視当局に通知しなければならず、あわせて、利用可能なあらゆる手段により、かつ可能な範囲で、市場に出されたデジタル要素を有する製品の利用者にも通知しなければならない。
サイバーレジリエンス法 規則 (EU) 2024/2847
第20条