Art. 47 De anmälda organens operativa skyldigheter | CRA regulation | CRA

This article governs how notified bodies must conduct conformity assessments under the Cyber Resilience Act.

It sets out both the procedural framework — referencing Article 32 and Annex VIII — and the behavioural standards expected of these bodies.

The article strikes a balance between flexibility and rigour: assessments must be tailored to the realities of the businesses being assessed, but this cannot come at the expense of the protection standards the regulation demands.

The article also addresses what notified bodies must do when non-compliance is detected, both before and after a certificate has been issued.

Important points:

Notified bodies are required to conduct conformity assessments in a proportionate manner, taking into account factors such as the size of the undertaking, its sector, and the cybersecurity risk level of the product — with particular consideration for microenterprises and SMEs.
Notified bodies must not issue a certificate of conformity where a manufacturer has failed to meet the essential cybersecurity requirements, and must instead require corrective measures.
Notified bodies retain ongoing monitoring obligations after issuing a certificate, and must suspend or withdraw it — and ultimately restrict or revoke it — if corrective measures are not taken or prove ineffective.

1. Anmälda organ ska utföra bedömningar av överensstämmelse i enlighet med förfarandena för bedömning av överensstämmelse i artikel 32 och bilaga VIII.
1. Bedömningar av överensstämmelse ska utföras på ett proportionellt sätt så att de inte blir onödigt betungande för de ekonomiska aktörerna. Organ för bedömning av överensstämmelse ska utöva sin verksamhet med vederbörlig hänsyn till företags storlek, särskilt i fråga om mikroföretag och små och medelstora företag, bransch, struktur, komplexitet och cybersäkerhetsrisknivån hos produkterna med digitala element och den berörda tekniken och om produktionsprocessen karaktäriseras som mass- eller serietillverkning.
1. Anmälda organ ska dock iaktta den grad av noggrannhet och den skyddsnivå som krävs för att produkten med digitala element ska överensstämma med denna förordning.
1. Om ett anmält organ konstaterar att en tillverkare inte uppfyller de krav som anges i bilaga I eller motsvarande harmoniserade standarder eller gemensamma specifikationer som avses i artikel 27, ska det begära att tillverkaren vidtar lämpliga korrigerande åtgärder, och det ska inte utfärda ett intyg om överensstämmelse.
1. Om ett anmält organ vid övervakning av överensstämmelse efter det att ett intyg har utfärdats konstaterar att en produkt med digitala element inte längre uppfyller kraven i denna förordning, ska det kräva att tillverkaren vidtar lämpliga korrigerande åtgärder, och vid behov ska intyget tillfälligt eller slutgiltigt återkallas.
1. Om korrigerande åtgärder inte vidtas eller inte får önskad effekt ska det anmälda organet, beroende på vad som är lämpligt, begränsa eller tillfälligt, alternativt slutgiltigt, återkalla alla intyg.