Source: OJ L 2024/2847, 20.11.2024Current language: FR
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Article 60 Opérations coup de balai
Summary What does Article 60 of the CRA regulation say?
This article establishes a coordinated enforcement mechanism known as "sweeps" — simultaneous control actions carried out by market surveillance authorities across Member States to check compliance with, or detect infringements of, the regulation.
It sets out how these sweeps are organised, who coordinates them, and what powers can be used during them.
Notably, sweeps can involve undercover purchases of products, and ENISA plays a feeding role by proposing sweep targets based on notifications it receives under Article 14.
Important points:
- Market surveillance authorities are required to conduct simultaneous coordinated sweeps of products with digital elements, which may include acquiring products under a cover identity.
- Sweeps are coordinated by the Commission unless the market surveillance authorities involved agree otherwise, and ENISA can propose categories of products for sweeps based on its monitoring activity.
- Market surveillance authorities may draw on the full range of investigation powers set out in Articles 52 to 58, as well as any additional powers available under national law, when conducting sweeps.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les autorités de surveillance du marché mènent des actions de contrôle coordonnées et simultanées (ci-après dénommées «opérations “coup de balai”») concernant certains produits ou catégories de produits comportant des éléments numériques afin de vérifier le respect du présent règlement ou de détecter des infractions à celui-ci. Ces opérations «coup de balai» peuvent comprendre des inspections des produits comportant des éléments numériques acquis sous une fausse identité.
Sauf accord contraire des autorités de surveillance du marché participantes, les opérations «coup de balai» sont coordonnées par la Commission. Le coordinateur de l’opération «coup de balai» met, s’il y a lieu, les résultats agrégés de l’opération à la disposition du public.
Lorsque, dans l’exécution de ses tâches, y compris sur la base des notifications reçues en vertu de l’article 14, paragraphes 1 et 3, l’ENISA identifie des catégories de produits comportant des éléments numériques pour lesquelles des opérations «coup de balai» peuvent être organisées, elle soumet une proposition d’opération «coup de balai» au coordinateur visé au paragraphe 2 du présent article pour examen par les autorités de surveillance du marché.
Lorsqu’elles mènent des opérations «coup de balai», les autorités de surveillance du marché participantes peuvent faire usage des pouvoirs d’enquête prévus aux articles 52 à 58, ainsi que des autres pouvoirs qui leur sont conférés par le droit national.
Les autorités de surveillance du marché peuvent inviter des fonctionnaires de la Commission et d’autres personnes les accompagnant habilitées par la Commission à participer aux opérations «coup de balai».
Relevant recitals
Considérant 114 Simultaneous coordinated control actions (sweeps)
Les actions de contrôle coordonnées simultanées (opérations «coup de balai») sont des mesures d’application spécifiques prises par les autorités de surveillance du marché qui peuvent renforcer davantage la sécurité des produits. Ces «coups de balai» devraient avoir lieu, en particulier, lorsque les tendances du marché, les plaintes des consommateurs ou d’autres indices suggèrent que certaines catégories de produits comportant des éléments numériques présentent souvent des risques de cybersécurité. En outre, lors de la sélection des catégories de produits devant faire l’objet d’opérations «coup de balai», il convient que les autorités de surveillance du marché tiennent également compte de circonstances relatives à des facteurs de risque non techniques. Pour ce faire, il convient que les autorités de surveillance du marché puissent tenir compte des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555, y compris les circonstances relatives à des facteurs de risque non techniques. L’ENISA devrait soumettre aux autorités de surveillance du marché des propositions concernant des catégories de produits comportant des éléments numériques pour lesquelles des opérations simultanées pourraient être organisées, sur la base, entre autres, des notifications de vulnérabilités et d’incidents qu’elle reçoit.
Considérant 115 Role of ENISA
Eu égard à son expertise et à son mandat, l’ENISA devrait être en mesure de soutenir le processus de mise en œuvre du présent règlement. L’ENISA devrait notamment pouvoir proposer des activités conjointes à mener par les autorités de surveillance du marché sur la base d’indications ou d’informations concernant un non-respect potentiel du présent règlement, dans plusieurs États membres, de produits comportant des éléments numériques ou recenser les catégories de produits pour lesquelles des opérations «coup de balai» devraient être organisées. Dans des circonstances exceptionnelles, l’ENISA devrait, à la demande de la Commission, être en mesure de procéder à des évaluations portant sur des produits comportant des éléments numériques spécifiques qui présentent un risque de cybersécurité important, lorsqu’une intervention immédiate est nécessaire pour préserver le bon fonctionnement du marché intérieur.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
consommateur
(En. consumer)
Definition
composant
(En. component)
Definition
logiciel
(En. software)
Definition
produit comportant des éléments numériques
(En. product with digital elements)
Definition
fabricant
(En. manufacturer)
Definition
système d’information électronique
(En. electronic information system)
Definition
incident
Definition
traitement de données à distance
(En. remote data processing)
Definition
risque de cybersécurité
(En. cybersecurity risk)
Definition
risque de cybersécurité important
(En. significant cybersecurity risk)