Artikel 56 Verfahren auf Unionsebene für Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen

Summary What does Article 56 of the CRA regulation say?

This article establishes the Commission's own powers of intervention when a product with digital elements presents a significant cybersecurity risk and national-level action has proven insufficient.

It sits alongside Articles 54 and 55, which govern market surveillance authority evaluations and national procedures, but goes further by giving the Commission a direct escalation path.

Where the Commission has sufficient reason to believe a product is non-compliant or poses risks — including non-technical risk factors — it can alert market surveillance authorities, engage ENISA for analysis, consult Member States and economic operators, and ultimately adopt implementing acts imposing corrective or restrictive measures at Union level, up to and including market withdrawal or recall.

This intervention power is explicitly time-limited, applying only for the duration of the exceptional situation that triggered it.

Important points:

The Commission is empowered to act at Union level — including ordering market withdrawal or recall — where national market surveillance authorities have not taken effective measures against a non-compliant product presenting a significant cybersecurity risk.
Non-technical risk factors can also trigger the Commission's intervention, in which case it must additionally inform relevant competent authorities under Directive (EU) 2022/2555 and consider the implications for Union-level critical supply chain risk assessments.
Economic operators are required to cooperate with ENISA when the Commission carries out its compliance evaluation, and Member States must implement any resulting implementing acts without delay.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Hat die Kommission — auch aufgrund von Informationen der ENISA — hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen, das ein erhebliches Cybersicherheitsrisiko birgt, den Anforderungen dieser Verordnung nicht genügt, so informiert sie die einschlägigen Marktüberwachungsbehörden. Führen die Marktüberwachungsbehörden eine Konformitätsbewertung dieses Produkts mit digitalen Elementen, das hinsichtlich seiner Konformität mit den Anforderungen dieser Verordnung ein erhebliches Cybersicherheitsrisiko bergen kann, durch, so finden die in den Artikeln 54 und 55 genannten Verfahren Anwendung.
1. Hat die Kommission hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen angesichts nichttechnischer Risikofaktoren ein erhebliches Cybersicherheitsrisiko birgt, unterrichtet sie die einschlägigen Marktüberwachungsbehörden und gegebenenfalls die gemäß Artikel 8 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden und arbeitet mit diesen Behörden bei Bedarf zusammen. Die Kommission prüft auch die Relevanz der ermittelten Risiken für dieses Produkt mit digitalen Elementen im Hinblick auf ihre Aufgaben im Zusammenhang mit den koordinierten Risikobewertungen in Bezug auf die Sicherheit der Lieferketten auf Unionsebene gemäß Artikel 22 der Richtlinie (EU) 2022/2555 und konsultiert erforderlichenfalls die gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingesetzte Kooperationsgruppe und die ENISA.
1. Unter Umständen, die ein sofortiges Eingreifen rechtfertigen, um das reibungslose Funktionieren des Binnenmarkts zu bewahren, und wenn die Kommission hinreichenden Grund zu der Annahme hat, dass das in Absatz 1 genannte Produkt mit digitalen Elementen weiterhin den Anforderungen dieser Verordnung nicht genügt und die einschlägigen Marktüberwachungsbehörden keine wirksamen Maßnahmen ergriffen haben, nimmt die Kommission eine Bewertung der Konformität vor und kann die ENISA um eine Analyse zur Untermauerung der Bewertung ersuchen. Die Kommission unterrichtet die einschlägigen Marktüberwachungsbehörden hierüber. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der ENISA zusammen.
1. Auf der Grundlage der Bewertung nach Absatz 3 kann die Kommission feststellen, dass eine Korrekturmaßnahme oder eine einschränkende Maßnahme auf Unionsebene erforderlich ist. Zu diesem Zweck konsultiert sie unverzüglich die betroffenen Mitgliedstaaten und den bzw. die betroffenen Wirtschaftsakteure.
1. Auf der Grundlage der in Absatz 4 dieses Artikels genannten Konsultation kann die Kommission Durchführungsrechtsakte über Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene erlassen, einschließlich der Forderung der Rücknahme vom Markt oder des Rückrufs der betreffenden Produkte mit digitalen Elementen innerhalb einer der Art des Risikos angemessenen Frist. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.
1. Die Kommission unterrichtet den bzw. die betroffenen Wirtschaftsakteure unverzüglich über die in Absatz 5 genannten Durchführungsrechtsakte. Die Mitgliedstaaten führen diese Durchführungsrechtsakte unverzüglich durch und unterrichten die Kommission hierüber.
1. Die Absätze 3 bis 6 gelten für die Dauer der außergewöhnlichen Umstände, die das Eingreifen der Kommission gerechtfertigt haben, solange die Konformität des betreffenden Produkts mit digitalen Elementen mit dieser Verordnung nicht hergestellt worden ist.

Relevant recitals

Erwägungsgrund 52 Security of 5G networks and supply chain assessments of NIS 2

Zur Erhöhung der Sicherheit von Produkten mit digitalen Elementen, die im Binnenmarkt in den Verkehr gebracht werden, ist es erforderlich, grundlegende Cybersicherheitsanforderungen festzulegen, die für solche Produkte gelten. Diese grundlegenden Cybersicherheitsanforderungen sollten die koordinierten Risikobewertungen in Bezug auf die Sicherheit kritischer Lieferketten auf Ebene der Union, die in Artikel 22 der der Richtlinie (EU) 2022/2555 vorgesehen sind, unberührt lassen, in denen sowohl technische als gegebenenfalls auch nichttechnische Risikofaktoren wie eine unzulässige Einflussnahme eines Drittlands auf Lieferanten berücksichtigt werden. Darüber hinaus sollten sie die Vorrechte der Mitgliedstaaten unberührt lassen, zusätzliche Anforderungen festzulegen, die nichttechnischen Faktoren Rechnung tragen, um ein hohes Maß an Resilienz sicherzustellen, einschließlich derer, die in der Empfehlung (EU) 2019/534 der Kommission(²³), in der EU-weit koordinierten Risikobewertung zur Cybersicherheit der 5G-Netze und in dem EU-Instrumentarium für die 5G-Cybersicherheit definiert worden sind, das die gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingerichtete NIS-Kooperationsgruppe beschlossen hat.

Erwägungsgrund 58 Strategic cybersecurity supply chain risks

In der gemeinsamen Mitteilung der Kommission und des Hohen Vertreters der Union für Außen- und Sicherheitspolitik vom 20. Juni 2023 über eine „Europäische Strategie für wirtschaftliche Sicherheit“ heißt es, dass die Union durch einen gemeinsamen strategischen Rahmen für die wirtschaftliche Sicherheit der Union die Vorteile ihrer wirtschaftlichen Offenheit maximieren und gleichzeitig die Risiken aus wirtschaftlichen Abhängigkeiten von Anbietern mit hohem Risiko minimieren muss. Abhängigkeiten von risikoreichen Anbietern von Produkten mit digitalen Elementen können ein strategisches Risiko darstellen, das auf Unionsebene angegangen werden muss, insbesondere wenn die Produkte mit digitalen Elementen für die Verwendung durch die in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen bestimmt sind. Diese Risiken können unter anderem mit der für den Hersteller geltenden Gerichtsbarkeit, den Merkmalen seines Unternehmenseigentums und den von Kontrolle bestimmten Beziehungen zu der Regierung eines Drittlands, in dem er niedergelassen ist, zusammenhängen, insbesondere wenn das Drittland Wirtschaftsspionage betreibt oder unverantwortliches staatliches Verhalten im Cyberspace an den Tag legt und seine Gesetze einen willkürlichen Zugang zu Geschäftsvorgängen oder Unternehmensdaten jeglicher Art, einschließlich wirtschaftlich sensibler Daten, ermöglichen und unter Umständen nachrichtendienstliche Verpflichtungen auferlegen, ohne dass es demokratische Schutzmechanismen, Kontrollmechanismen, ordnungsgemäße Verfahren oder das Recht auf Anrufung eines unabhängigen Gerichts gibt. Bei der Bestimmung der Erheblichkeit eines Cybersicherheitsrisikos im Sinne dieser Verordnung sollten die Kommission und die Marktüberwachungsbehörden im Rahmen ihrer in dieser Verordnung festgelegten Zuständigkeiten auch nichttechnische Risikofaktoren berücksichtigen, insbesondere solche, die als Ergebnis von koordinierten Risikobewertungen in Bezug auf die Sicherheit der Lieferketten auf Ebene der Union, die gemäß Artikel 22 der Richtlinie (EU) 2022/2555 durchgeführt werden, ermittelt wurden.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.