Art. 47 Obligations opérationnelles des organismes notifiés | CRA regulation | CRA

This article governs how notified bodies must conduct conformity assessments under the Cyber Resilience Act.

It sets out both the procedural framework — referencing Article 32 and Annex VIII — and the behavioural standards expected of these bodies.

The article strikes a balance between flexibility and rigour: assessments must be tailored to the realities of the businesses being assessed, but this cannot come at the expense of the protection standards the regulation demands.

The article also addresses what notified bodies must do when non-compliance is detected, both before and after a certificate has been issued.

Important points:

Notified bodies are required to conduct conformity assessments in a proportionate manner, taking into account factors such as the size of the undertaking, its sector, and the cybersecurity risk level of the product — with particular consideration for microenterprises and SMEs.
Notified bodies must not issue a certificate of conformity where a manufacturer has failed to meet the essential cybersecurity requirements, and must instead require corrective measures.
Notified bodies retain ongoing monitoring obligations after issuing a certificate, and must suspend or withdraw it — and ultimately restrict or revoke it — if corrective measures are not taken or prove ineffective.

1. Les organismes notifiés réalisent les évaluations de la conformité dans le respect des procédures d’évaluation de la conformité prévues à l’article 32 et à l’annexe VIII.
1. Les évaluations de la conformité sont effectuées de manière proportionnée, en évitant d’imposer des charges inutiles aux opérateurs économiques. Les organismes d’évaluation de la conformité accomplissent leurs activités en tenant dûment compte de la taille des entreprises, en particulier en ce qui concerne les microentreprises et les petites et moyennes entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, de leur degré de complexité, du niveau du risque pour la cybersécurité des produits comportant des éléments numériques et de la technologie en question et de la nature en masse, ou série, du processus de production.
1. Les organismes notifiés respectent toutefois le degré de rigueur et le niveau de protection requis pour la conformité des produits comportant des éléments numériques avec le présent règlement.
1. Lorsqu’un organisme notifié constate que les exigences énoncées à l’annexe I ou dans les normes harmonisées correspondantes ou les spécifications communes telles que visées à l’article 27 n’ont pas été remplies par un fabricant, il invite celui-ci à prendre les mesures correctives appropriées et ne délivre pas de certificat de conformité.
1. Lorsque, au cours du contrôle de la conformité faisant suite à la délivrance d’un certificat de conformité, un organisme notifié constate qu’un produit comportant des éléments numériques ne respecte plus les exigences prévues par le présent règlement, il exige du fabricant qu’il prenne les mesures correctives appropriées et suspend ou retire le certificat si nécessaire.
1. Lorsque des mesures correctives ne sont pas prises ou n’ont pas l’effet requis, l’organisme notifié soumet le certificat à des restrictions, le suspend ou le retire, selon le cas.