- 1. 加盟国の市場監視当局は、脆弱性対応を含め、デジタル要素を有する製品が重大なサイバーセキュリティリスクを呈していると考えるに足る十分な理由がある場合には、不当な遅滞なく、かつ、必要に応じて関係するCSIRTと協力して、当該デジタル要素を有する製品について、本規則に定めるすべての要件への適合性に関する評価を実施するものとする。関係する経済事業者は、必要に応じて市場監視当局に協力しなければならない。
市場監視当局は、その評価の過程において、当該デジタル要素を有する製品が本規則に定める要件に適合していないことを認定した場合には、遅滞なく、関係する経済事業者に対し、市場監視当局が定めるところにより、サイバーセキュリティリスクの性質に見合った合理的な期間内に、当該デジタル要素を有する製品を当該要件に適合させるため、これを市場から撤去するため、又はこれを回収するために、あらゆる適切な是正措置を講ずるよう求めるものとする。市場監視当局は、これに応じて関係する通知機関に通知しなければならない。是正措置については、規則(EU)2019/1020第18条を適用するものとする。 - 2. 本条第1項にいうサイバーセキュリティ・リスクの重大性を判断するに当たり、市場監視当局は、非技術的なリスク要因、特に、指令(EU)2022/2555第22条に従って実施される重要サプライチェーンの連合レベルの協調的なセキュリティ・リスク評価の結果として確立された要因についても考慮しなければならない。市場監視当局が、非技術的なリスク要因に照らして、デジタル要素を備えた製品が重大なサイバーセキュリティ・リスクをもたらすと考えるに足りる十分な理由を有する場合には、同当局は、指令(EU)2022/2555第8条に基づき指定され、又は設置された権限ある当局に通知し、必要に応じて当該当局と協力しなければならない。
- 3. 市場監視当局が、不適合が自国の領域に限定されていないと判断する場合には、同当局は、評価の結果及び経済事業者に求めた措置について、欧州委員会及び他の加盟国に通知しなければならない。
- 4. 経済事業者は、自己が連合全域の市場において提供した、関係するすべてのデジタル要素を備えた製品について、すべての適切な是正措置が講じられることを確保しなければならない。
- 5. 経済事業者が、第1項第2サブパラグラフにいう期間内に適切な是正措置を講じない場合には、市場監視当局は、当該デジタル要素を備えた製品が自国市場において提供されることを禁止し若しくは制限し、当該市場から回収し、又はリコールするため、あらゆる適切な暫定措置を講じなければならない。 当該当局は、これらの措置について、遅滞なく、欧州委員会及び他の加盟国に通知しなければならない。
- 6. 第5項にいう情報には、入手可能なすべての詳細、特に、不適合なデジタル要素を備えた製品を特定するために必要なデータ、当該デジタル要素を備えた製品の出所、主張されている不適合の性質及び関連するリスク、講じられた国内措置の性質及び期間、並びに関係する経済事業者が提示した論拠を含めなければならない。特に、市場監視当局は、不適合が次の一又は複数の事由に起因するかどうかを示さなければならない。
- デジタル要素を備えた製品又は製造業者が導入した工程が、附属書Iに定める必須サイバーセキュリティ要件を満たしていないこと。
- 第27条にいう整合規格、欧州サイバーセキュリティ認証スキーム又は共通仕様に不備があること。
- 7. 手続を開始した加盟国の市場監視当局以外の加盟国の市場監視当局は、関係するデジタル要素を備えた製品の不適合に関して採択した措置及びその保有する追加情報、並びに通知された国内措置に不同意である場合にはその異議について、遅滞なく、欧州委員会及び他の加盟国に通知しなければならない。
- 8. 本条第5項にいう通知の受領後3か月以内に、加盟国又は欧州委員会のいずれからも、加盟国が講じた暫定措置に対する異議が提起されなかった場合には、当該措置は正当なものとみなされる。これは、規則(EU)2019/1020第18条に基づく関係する経済事業者の手続上の権利を害するものではない。
- 9. すべての加盟国の市場監視当局は、関係するデジタル要素を備えた製品について、当該製品の自国市場からの撤去などの適切な制限措置が、遅滞なく講じられることを確保しなければならない。
サイバーレジリエンス法 規則 (EU) 2024/2847
第54条