Artikel 57 Konforme Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen

Summary What does Article 57 of the CRA regulation say?

This article addresses a specific and important edge case that flows directly from the evaluation process established under Article 54: what happens when a product with digital elements is found to be fully compliant with the Cyber Resilience Act, yet still presents a significant cybersecurity risk alongside broader risks to public safety, fundamental rights, essential services, or the public interest.

In such scenarios, compliance alone is not a shield, and market surveillance authorities retain the power to demand corrective action.

The article also establishes a layered escalation mechanism, moving from national authorities to the Commission, and ultimately to Union-level implementing acts where national measures prove insufficient.

Important points:

Market surveillance authorities are required to act against compliant products that nonetheless present significant cybersecurity risks combined with risks to health, fundamental rights, essential entities, or public interest — corrective measures can include withdrawal or recall from the market.
Economic operators must apply corrective action across all Union markets within the timeline set by the national market surveillance authority, not just in the Member State that identified the risk.
The Commission has the power to step in directly — including by requesting ENISA analysis and adopting binding implementing acts — where national measures are absent or ineffective and the internal market requires immediate intervention.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Die Marktüberwachungsbehörde eines Mitgliedstaats fordert einen Wirtschaftsakteur auf, alle geeigneten Maßnahmen zu ergreifen, wenn sie nach einer Bewertung gemäß Artikel 54 feststellt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren zwar dieser Verordnung entsprechen, jedoch ein erhebliches Cybersicherheitsrisiko sowie folgende Risiken bergen:
  1. Risiko für die Gesundheit oder Sicherheit von Personen,
  2. Risiko für die Erfüllung der Pflichten aus dem Unionsrecht oder dem nationalen Recht zum Schutz der Grundrechte,
  3. Risiko für die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Diensten, die über ein elektronisches Informationssystem von in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen angeboten werden oder
  4. Risiko für andere Aspekte des Schutzes öffentlicher Interessen.
2. Die in Unterabsatz 1 genannten Maßnahmen können Maßnahmen umfassen, mit denen sichergestellt wird, dass das betreffende Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren die relevanten Risiken nicht mehr bergen, wenn das betreffende Produkt mit digitalen Elementen auf dem Markt bereitgestellt, vom Markt rückgenommen oder zurückgerufen wird, und müssen der Art dieser Risiken angemessen sein.
1. Der Hersteller oder andere betreffende Wirtschaftsakteure sorgen dafür, dass in Bezug auf alle betroffenen Produkte mit digitalen Elementen, die sie in der Union auf dem Markt bereitgestellt haben, innerhalb der von der Marktüberwachungsbehörde des in Absatz 1 genannten Mitgliedstaats gesetzten Frist Korrekturmaßnahmen ergriffen werden.
1. Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten unverzüglich über alle gemäß Absatz 1 ergriffenen Maßnahmen. Aus diesen Informationen gehen alle verfügbaren Einzelheiten hervor, insbesondere die Daten zur Identifizierung des betroffenen Produkts mit digitalen Elementen, dessen Herkunft und Lieferkette, die Art des damit verbundenen Risikos sowie die Art und Dauer der ergriffenen nationalen Maßnahmen.
1. Die Kommission konsultiert unverzüglich die Mitgliedstaaten und den betroffenen Wirtschaftsakteur und nimmt eine Prüfung der ergriffenen nationalen Maßnahmen vor. Anhand der Ergebnisse dieser Prüfung beschließt die Kommission, ob die Maßnahme gerechtfertigt ist oder nicht, und schlägt, falls erforderlich, geeignete Maßnahmen vor.
1. Die Kommission richtet den in Absatz 4 genannten Beschluss an die Mitgliedstaaten.
1. Hat die Kommission — auch aufgrund von Informationen der ENISA — hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen, obwohl es dieser Verordnung entspricht, die in Absatz 1 dieses Artikels genannten Risiken birgt, so unterrichtet sie die einschlägige(n) Marktüberwachungsbehörde(n) und kann sie auffordern, eine Bewertung durchzuführen und die in Artikel 54 und in den Absätzen 1, 2 und 3 dieses Artikels genannten Verfahren anzuwenden.
1. Unter Umständen, die ein sofortiges Eingreifen rechtfertigen, um das reibungslose Funktionieren des Binnenmarkts zu bewahren, und wenn die Kommission hinreichenden Grund zu der Annahme hat, dass das in Absatz 6 genannte Produkt mit digitalen Elementen weiterhin die in Absatz 1 genannten Risiken birgt und die einschlägigen Marktüberwachungsbehörden keine wirksamen Maßnahmen ergriffen haben, nimmt die Kommission eine Bewertung der Risiken, die dieses Produkt mit digitalen Elementen birgt, vor und kann die ENISA um eine Analyse zur Untermauerung dieser Bewertung ersuchen und unterrichtet die einschlägigen Marktüberwachungsbehörden hierüber. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der ENISA zusammen.
1. Auf der Grundlage der Bewertung nach Absatz 7 kann die Kommission feststellen, dass eine Korrekturmaßnahme oder eine einschränkende Maßnahme auf Unionsebene erforderlich ist. Zu diesem Zweck konsultiert sie unverzüglich die betroffenen Mitgliedstaaten und den bzw. die betroffenen Wirtschaftsakteure.
1. Auf der Grundlage der in Absatz 8 des vorliegenden Artikels genannten Konsultation kann die Kommission Durchführungsrechtsakte über Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene erlassen, einschließlich der Forderung der Rücknahme vom Markt oder des Rückrufs der betreffenden Produkte mit digitalen Elementen innerhalb einer der Art des Risikos angemessenen Frist. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.
1. Die Kommission unterrichtet den bzw. die betroffenen Wirtschaftsakteure unverzüglich über die in Absatz 9 genannten Durchführungsrechtsakte. Die Mitgliedstaaten führen diese Durchführungsrechtsakte unverzüglich durch und unterrichten die Kommission hierüber.
1. Die Absätze 6 bis 10 gelten für die Dauer der außergewöhnlichen Umstände, die das Eingreifen der Kommission gerechtfertigt haben, und solange das betroffene Produkt mit digitalen Elementen weiterhin die in Absatz 1 genannten Risiken birgt.

Relevant recitals

Erwägungsgrund 112 Commission's power in exceptional circumstances

Bei Produkten mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen und bei denen Grund zu der Annahme besteht, dass sie dieser Verordnung nicht entsprechen, oder bei Produkten, die zwar dieser Verordnung entsprechen, aber andere große Risiken bergen, wie Risiken für die Gesundheit oder Sicherheit von Personen, für die Erfüllung der Pflichten aus dem Unionsrecht oder dem nationalen Recht zum Schutz der Grundrechte oder für die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Diensten, die über ein elektronisches Informationssystem von wesentlichen Einrichtungen im Sinne von Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 angeboten werden, sollte die Kommission die ENISA ersuchen können, eine Bewertung vorzunehmen. Auf der Grundlage dieser Bewertung sollte die Kommission im Wege von Durchführungsrechtsakten Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene erlassen können, einschließlich der Anordnung der Rücknahme der betroffenen Produkte mit digitalen Elementen vom Markt oder ihres Rückrufs innerhalb einer der Art des Risikos angemessenen Frist. Ein solches Eingreifen der Kommission sollte nur unter außergewöhnlichen Umständen möglich sein, die ein sofortiges Eingreifen zur Bewahrung des reibungslosen Funktionierens des Binnenmarkts rechtfertigen, und nur dann, wenn die Marktüberwachungsbehörden keine wirksamen Maßnahmen ergriffen haben, um Abhilfe zu schaffen. Solche außergewöhnlichen Umstände können Notfälle sein, in denen beispielsweise ein nichtkonformes Produkt mit digitalen Elementen vom Hersteller in mehreren Mitgliedstaaten in großem Umfang auf dem Markt bereitgestellt und auch in Schlüsselsektoren von Einrichtungen verwendet wird, die in den Anwendungsbereich der Richtlinie (EU) 2022/2555 fallen, und es bekannte Schwachstellen aufweist, die von böswilligen Akteuren ausgenutzt werden und für die der Hersteller keine verfügbaren Patches bereitstellt. Die Kommission sollte in solchen Notfällen nur während der Dauer der außergewöhnlichen Umstände und nur solange eingreifen können, wie die Nichtkonformität mit dieser Verordnung oder die großen Risiken fortbestehen.

Erwägungsgrund 113 Joint activities of market surveillance authorities

Gibt es Hinweise auf eine Nichtkonformität mit dieser Verordnung in mehreren Mitgliedstaaten, so sollten die Marktüberwachungsbehörden in der Lage sein, gemeinsame Tätigkeiten mit anderen Behörden durchzuführen, um die Konformität zu überprüfen und Cybersicherheitsrisiken von Produkten mit digitalen Elementen zu ermitteln.

Erwägungsgrund 115 Role of ENISA

Angesichts ihrer Sachkenntnis und ihres Auftrags sollte die ENISA in der Lage sein, den Prozess der Durchführung dieser Verordnung zu unterstützen. Die ENISA sollte insbesondere in der Lage sein, gemeinsame Tätigkeiten vorzuschlagen, die von Marktüberwachungsbehörden auf der Grundlage von Hinweisen oder Informationen über eine mögliche Nichtkonformität von Produkten mit digitalen Elementen mit dieser Verordnung in mehreren Mitgliedstaaten durchgeführt werden sollen, oder Produktkategorien zu ermitteln, zu denen Sweeps organisiert werden sollten. Unter außergewöhnlichen Umständen sollte die ENISA auf Ersuchen der Kommission Bewertungen in Bezug auf bestimmte Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen, durchführen können, wenn ein sofortiges Eingreifen erforderlich ist, um das reibungslose Funktionieren des Binnenmarkts zu bewahren.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.