Source: OJ L 2024/2847, 20.11.2024Current language: FR
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Article 5 Achats publics ou utilisation de produits comportant des éléments numériques
Summary What does Article 5 of the Cyber Resilience Act say?
This article addresses the relationship between the Regulation and the powers of Member States, making clear that the Regulation does not act as a ceiling on cybersecurity requirements.
Member States retain the freedom to impose additional cybersecurity conditions on products with digital elements when procuring or using them for specific purposes, such as national security or defence, as long as those additional requirements are consistent with Union law and are necessary and proportionate.
The article also touches on public procurement, directing Member States to factor in compliance with the essential cybersecurity requirements of the Regulation — including a manufacturer's ability to handle vulnerabilities — when procuring products with digital elements covered by the Regulation.
Important points:
- Member States may impose additional cybersecurity requirements beyond this Regulation for specific procurement or use purposes, including national security and defence, provided those requirements are consistent with Union law and are necessary and proportionate.
- Member States are required to ensure that compliance with the essential cybersecurity requirements of Annex I is taken into consideration during public procurement processes.
- The procurement obligation explicitly includes assessing manufacturers' ability to handle vulnerabilities effectively.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Le présent règlement n’empêche pas les États membres de soumettre les produits comportant des éléments numériques à des exigences supplémentaires de cybersécurité en cas d’achats publics ou d’utilisation de ces produits à des fins spécifiques, y compris lorsque ces produits sont achetés ou utilisés à des fins de sécurité nationale ou de défense, à condition que ces exigences soient conformes aux obligations des États membres prévues par le droit de l’Union et qu’elles soient nécessaires et proportionnées à la poursuite de ces fins.
Sans préjudice des directives 2014/24/UE et 2014/25/UE, lors des achats publics de produits comportant des éléments numériques relevant du champ d’application du présent règlement, les États membres veillent à la prise en compte, au cours du processus d’achat public, du respect des exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement, y compris la capacité du fabricant à traiter efficacement les vulnérabilités.
Relevant recitals
Considérant 13 Member states' ability to impose additional requirements
Conformément à l’objectif du présent règlement consistant à éliminer les obstacles à la libre circulation des produits comportant des éléments numériques, les États membres ne devraient pas empêcher, pour les aspects relevant du présent règlement, la mise à disposition sur le marché de produits comportant des éléments numériques conformes au présent règlement. Par conséquent, en ce qui concerne les questions harmonisées par le présent règlement, les États membres ne peuvent pas imposer d’exigences de cybersécurité supplémentaires pour la mise à disposition sur le marché de produits comportant des éléments numériques. Cependant, toute entité, qu’elle soit publique ou privée, peut imposer des exigences, en plus de celles prévues par le présent règlement, pour l’achat de produits comportant des éléments numériques ou leur utilisation à des fins qui lui sont propres, et peut donc choisir d’utiliser des produits comportant des éléments numériques répondant à des exigences de cybersécurité plus strictes ou plus spécifiques que celles qui s’appliquent à la mise à disposition sur le marché en vertu du présent règlement. Sans préjudice des directives 2014/24/UE(7) et 2014/25/UE(8) du Parlement européen et du Conseil, les États membres devraient veiller, lorsqu’ils achètent des produits comportant des éléments numériques qui doivent respecter les exigences essentielles de cybersécurité prévues par le présent règlement, y compris celles relatives à la gestion des vulnérabilités, à ce qu’il soit tenu compte de ces exigences, ainsi que de la capacité du fabricant à appliquer des mesures de cybersécurité et à gérer les cybermenaces de façon efficace, lors des procédures de passation de marchés. En outre, la directive (UE) 2022/2555 établit des mesures de gestion des risques en matière de cybersécurité applicables aux entités essentielles et importantes visées à l’article 3 de ladite directive. Ces mesures pourraient entraîner des mesures de sécurité de la chaîne d’approvisionnement nécessitant l’utilisation, par ces entités, de produits comportant des éléments numériques qui répondent à des exigences de cybersécurité plus strictes que celles prévues par le présent règlement. Conformément à la directive (UE) 2022/2555 et dans le respect de son principe d’harmonisation minimale, les États membres peuvent donc imposer des exigences de cybersécurité supplémentaires applicables à l’utilisation de produits des technologies de l’information et de la communication (TIC) par des entités essentielles ou importantes au titre de ladite directive afin d’assurer un niveau plus élevé de cybersécurité, à condition que ces exigences soient compatibles avec les obligations des États membres prévues par le droit de l’Union. Les facteurs non techniques liés aux produits comportant des éléments numériques et aux fabricants de ces derniers peuvent compter parmi les questions qui ne sont pas régies par le présent règlement. Les États membres peuvent donc adopter des mesures nationales, y compris des restrictions applicables aux produits comportant des éléments numériques ou aux fournisseurs de ces produits, qui tiennent compte de facteurs non techniques. Les mesures nationales liées à ces facteurs sont nécessaires pour respecter le droit de l’Union.
Considérant 14 Without prejudice to national security
Le présent règlement devrait être sans préjudice de la responsabilité des États membres de préserver la sécurité nationale, conformément au droit de l’Union. Les États membres devraient être en mesure de soumettre à des mesures supplémentaires les produits comportant des éléments numériques achetés ou utilisés à des fins de sécurité nationale ou de défense, à condition que ces mesures soient conformes aux obligations des États membres prévues par le droit de l’Union.
Considérant 26 Exemptions for national security
Les produits comportant des éléments numériques qui sont développés ou modifiés exclusivement à des fins de sécurité nationale ou de défense ou les produits spécifiquement conçus pour traiter des informations classifiées ne relèvent pas du champ d’application du présent règlement. Les États membres sont invités à veiller à ce que ces produits bénéficient d’un niveau de protection analogue, voire supérieur, à celui appliqué aux produits relevant du champ d’application du présent règlement.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybersécurité
(En. cybersecurity)
Definition
cybermenace
(En. cyber threat)
Definition
mise à disposition sur le marché
(En. making available on the market)
Definition
composant
(En. component)
Definition
logiciel
(En. software)
Definition
produit comportant des éléments numériques
(En. product with digital elements)
Definition
fabricant
(En. manufacturer)
Definition
système d’information électronique
(En. electronic information system)
Definition
traitement de données à distance
(En. remote data processing)
Footnote 7
Footnote 8