Artikel 57 Produkter med digitala element som överensstämmer med kraven men utgör en betydande cybersäkerhetsrisk

Summary What does Article 57 of the CRA regulation say?

This article addresses a specific and important edge case that flows directly from the evaluation process established under Article 54: what happens when a product with digital elements is found to be fully compliant with the Cyber Resilience Act, yet still presents a significant cybersecurity risk alongside broader risks to public safety, fundamental rights, essential services, or the public interest.

In such scenarios, compliance alone is not a shield, and market surveillance authorities retain the power to demand corrective action.

The article also establishes a layered escalation mechanism, moving from national authorities to the Commission, and ultimately to Union-level implementing acts where national measures prove insufficient.

Important points:

Market surveillance authorities are required to act against compliant products that nonetheless present significant cybersecurity risks combined with risks to health, fundamental rights, essential entities, or public interest — corrective measures can include withdrawal or recall from the market.
Economic operators must apply corrective action across all Union markets within the timeline set by the national market surveillance authority, not just in the Member State that identified the risk.
The Commission has the power to step in directly — including by requesting ENISA analysis and adopting binding implementing acts — where national measures are absent or ineffective and the internal market requires immediate intervention.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Marknadskontrollmyndigheten i en medlemsstat ska kräva att en ekonomisk aktör vidtar alla lämpliga åtgärder om den, efter att ha gjort en utvärdering enligt artikel 54, konstaterar att en produkt med digitala element och de processer som införts av tillverkaren överensstämmer med denna förordning, men att de utgör en betydande cybersäkerhetsrisk och en risk för
  1. människors hälsa eller säkerhet,
  2. efterlevnad av skyldigheter enligt unionsrätt eller nationell rätt avsedda att skydda de grundläggande rättigheterna,
  3. tillgången till och autenticiteten, riktigheten eller konfidentialiteten för tjänster som de väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555 erbjuder med användning av ett elektroniskt informationssystem, eller
  4. andra aspekter av skyddet av allmänintresset.
2. De åtgärder som avses i första stycket får omfatta åtgärder för att säkerställa att den berörda produkten med digitala element och de processer som införts av tillverkaren inte längre utgör de berörda riskerna när den tillhandahålls på marknaden, tillbakadragande från marknaden av den berörda produkten med digitala element eller återkallande av den, och ska stå i proportion till typen av risker.
1. Tillverkaren eller andra berörda ekonomiska aktörer ska säkerställa att korrigerande åtgärder vidtas i fråga om berörda produkter med digitala element som de har tillhandahållit på marknaden i unionen inom den tidsfrist som fastställts av den marknadskontrollmyndighet i medlemsstaten som avses i punkt 1.
1. Medlemsstaten ska omedelbart underrätta kommissionen och de andra medlemsstaterna om de åtgärder som vidtagits enligt punkt 1. Informationen ska innehålla alla tillgängliga uppgifter, särskilt de uppgifter som krävs för att kunna identifiera den berörda produkten med digitala element, dess ursprung och leveranskedja, vilken typ av risk som produkten utgör samt vilken typ av nationella åtgärder som vidtagits och deras varaktighet.
1. Kommissionen ska utan dröjsmål inleda samråd med medlemsstaterna och den berörda ekonomiska aktören samt utvärdera de nationella åtgärder som vidtagits. På grundval av utvärderingsresultaten ska kommissionen besluta om åtgärden är berättigad eller inte, och vid behov föreslå lämpliga åtgärder.
1. Kommissionen ska rikta det beslut som avses i punkt 4 till medlemsstaterna.
1. Om kommissionen har tillräckliga skäl, däribland baserat på information från Enisa, att anse att en produkt med digitala element som uppfyller kraven i denna förordning ändå utgör de risker som avses i punkt 1 i denna artikel, ska den informera och begära att berörda marknadskontrollmyndigheter (en eller flera) gör en utvärdering och följer de förfaranden som avses i artikel 54 och i punkterna 1, 2 och 3 i denna artikel.
1. Vid omständigheter som motiverar ett omedelbart ingripande för att bevara en välfungerande inre marknad, och där kommissionen har tillräckliga skäl att anse att den produkt med digitala element som avses i punkt 6 fortsätter att utgöra de risker som avses i punkt 1 och att inga effektiva åtgärder har vidtagits av de berörda nationella marknadskontrollmyndigheterna, ska kommissionen göra en utvärdering av de risker som produkten med digitala element utgör och får begära att Enisa tillhandahåller en analys för att stödja denna utvärdering och ska underrätta de berörda marknadskontrollmyndigheterna om detta. De berörda ekonomiska aktörerna ska när så krävs samarbeta med Enisa.
1. Baserat på den utvärdering som avses i punkt 7 får kommissionen besluta att en korrigerande eller begränsande åtgärd krävs på unionsnivå. Därför ska kommissionen utan dröjsmål samråda med de berörda medlemsstaterna och berörda ekonomiska aktörer (en eller flera).
1. Baserat på det samråd som avses i punkt 8 i denna artikel får kommissionen anta genomförandeakter för att besluta om korrigerande eller begränsande åtgärder på unionsnivå, inbegripet krav på att de berörda produkterna med digitala element ska dras tillbaka från marknaden eller återkallas, inom en rimlig tid i förhållande till typen av risk. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 62.2.
1. Kommissionen ska omedelbart delge berörda ekonomiska aktörer de genomförandeakter som avses i punkt 9. Medlemsstaterna ska genomföra dessa genomförandeakter utan dröjsmål och underrätta kommissionen om detta.
1. Punkterna 6–10 ska tillämpas under den tid som den exceptionella situation som motiverade kommissionens ingripande varar och så länge som den berörda produkten med digitala element fortsätter att utgöra de risker som avses i punkt 1.

Relevant recitals

Skäl 112 Commission's power in exceptional circumstances

För produkter med digitala element som utgör en betydande cybersäkerhetsrisk, där det finns skäl att tro att de inte uppfyller kraven i denna förordning, eller för produkter som uppfyller kraven i denna förordning men som utgör andra viktiga risker, exempelvis risker för människors hälsa eller säkerhet, för uppfyllandet av skyldigheter enligt sådan unionsrätt eller nationell rätt som är avsedd att skydda grundläggande rättigheter eller för tillgången till och autenticiteten, riktigheten eller konfidentialiteten för tjänster som väsentliga entiteter som avses i artikel 3.1 i direktiv (EU) 2022/2555 erbjuder med användning av ett elektroniskt informationssystem, bör kommissionen kunna begära att Enisa gör en utvärdering. Baserat på denna utvärdering bör kommissionen genom genomförandeakter kunna vidta korrigerande eller begränsande åtgärder på unionsnivå, inbegripet kräva att de berörda produkterna med digitala element dras tillbaka eller återkallas från marknaden, inom en rimlig tid i förhållande till typen av risk. Kommissionen bör endast kunna tillgripa en sådan åtgärd under exceptionella omständigheter som motiverar ett omedelbart ingripande för att bevara en korrekt fungerande inre marknad och endast när inga verkningsfulla åtgärder har vidtagits av marknadskontrollmyndigheterna för att åtgärda situationen. Sådana exceptionella omständigheter kan vara akutsituationer där exempelvis en tillverkare gör en produkt med digitala element som inte uppfyller kraven allmänt tillgänglig i flera medlemsstater och den även används i nyckelsektorer av entiteter som omfattas av direktiv (EU) 2022/2555, och produkten samtidigt innehåller kända sårbarheter som utnyttjas av fientliga aktörer utan att tillverkaren tillhandahåller tillgängliga programfixar. Kommissionen bör vid sådana akutsituationer kunna ingripa endast under den tid som de exceptionella omständigheterna varar och om bristande överensstämmelse med denna förordning eller de betydande riskerna kvarstår.

Skäl 113 Joint activities of market surveillance authorities

Om det finns indikationer på bristande överensstämmelse med denna förordning i flera medlemsstater bör marknadskontrollmyndigheterna kunna genomföra gemensamma åtgärder med andra myndigheter för att kontrollera överensstämmelsen och identifiera cybersäkerhetsrisker för produkter med digitala element.

Skäl 115 Role of ENISA

Med tanke på Enisas sakkunskaper och uppdrag bör Enisa kunna stödja processen för genomförande av denna förordning. Enisa bör i synnerhet kunna föreslå gemensamma åtgärder som ska vidtas av marknadskontrollmyndigheter i flera medlemsstater på grundval av indikationer eller information om potentiell bristande överensstämmelse med denna förordning för produkter med digitala element eller identifiera produktkategorier där samtidiga sweeps bör organiseras. Under exceptionella omständigheter bör Enisa, på kommissionens begäran, kunna göra utvärderingar av specifika produkter med digitala element som utgör en betydande cybersäkerhetsrisk, när ett omedelbart ingripande krävs för att bevara en korrekt fungerande inre marknad.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.