Allegato VIII — Procedure di valutazione della conformità
Parte I Procedura di valutazione della conformità basata sul controllo interno (basata sul modulo A)¶
1) Il controllo interno è la procedura di valutazione della conformità con cui il fabbricante adempie agli obblighi stabiliti ai punti 2, 3 e 4 della presente parte e garantisce e dichiara, sotto la sua esclusiva responsabilità, che i prodotti con elementi digitali soddisfano tutti i requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e che il fabbricante soddisfa i requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.
2) Il fabbricante redige la documentazione tecnica di cui all’allegato VII.
3) Progettazione, sviluppo, produzione e gestione delle vulnerabilità dei prodotti con elementi digitali Il fabbricante adotta tutte le misure necessarie affinché i processi di progettazione, sviluppo, produzione e gestione delle vulnerabilità e il loro monitoraggio garantiscano la conformità dei prodotti con elementi digitali fabbricati o sviluppati e dei processi messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I, parti I e II.
4) Marcatura di conformità e dichiarazione di conformità
4.1) Il fabbricante appone la marcatura CE ad ogni singolo prodotto con elementi digitali che soddisfa i requisiti applicabili stabiliti nel presente regolamento.
4.2) Per ciascun prodotto con elementi digitali il fabbricante compila una dichiarazione di conformità UE scritta in conformità dell’articolo 28 che, insieme alla documentazione tecnica, lascia a disposizione delle autorità nazionali per dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore. La dichiarazione di conformità UE identifica il prodotto con elementi digitali per cui è stata compilata. Una copia della dichiarazione di conformità UE è messa a disposizione delle autorità competenti su richiesta.
5) Rappresentanti autorizzati Gli obblighi del fabbricante previsti al punto 4 possono essere adempiuti dal suo rappresentante autorizzato, a nome del fabbricante e sotto la sua responsabilità, purché gli obblighi pertinenti siano specificati nel mandato.
Parte II Esame UE del tipo (basato sul modulo B)¶
1) L’esame UE del tipo è la parte di una procedura di valutazione della conformità in cui un organismo notificato esamina la progettazione tecnica e lo sviluppo di un prodotto con elementi digitali e i processi di gestione delle vulnerabilità messi in atto dal fabbricante e attesta che un prodotto con elementi digitali soddisfa i requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e che il fabbricante soddisfa i requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.
2) L’esame UE del tipo è realizzato in base a una valutazione dell’adeguatezza della progettazione tecnica e dello sviluppo del prodotto con elementi digitali, effettuata esaminando la documentazione tecnica e di supporto di cui al punto 3 ed esaminando i campioni di una o più parti critiche del prodotto (combinazione tra tipo di produzione e tipo di progetto).
3) Il fabbricante presenta una domanda di esame UE del tipo a un unico organismo notificato di sua scelta. La domanda contiene:
3.1) il nome e l’indirizzo del fabbricante e, qualora la domanda sia presentata dal suo rappresentante autorizzato, il nome e l’indirizzo di quest’ultimo;
3.2) una dichiarazione scritta in cui si precisa che la stessa domanda non è stata presentata a nessun altro organismo notificato;
3.3) la documentazione tecnica, che consente di valutare la conformità del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza applicabili di cui all’allegato I, parte I, e dei processi di gestione delle vulnerabilità messi in atto dal fabbricante ai requisiti di cui all’allegato I, parte II, e che include un’analisi e una valutazione adeguate dei rischi. Essa precisa i requisiti applicabili e comprende, nella misura necessaria ai fini della valutazione, il progetto, la fabbricazione e il funzionamento del prodotto con elementi digitali. La documentazione tecnica contiene, laddove applicabile, almeno gli elementi di cui all’allegato VII;
3.4) la documentazione di supporto attestante l’adeguatezza delle soluzioni di progettazione tecnica e sviluppo e dei processi di gestione delle vulnerabilità. Tale documentazione di supporto elenca tutti i documenti che sono stati utilizzati, soprattutto nel caso in cui le norme armonizzate o le specifiche tecniche pertinenti non siano state applicate integralmente. La documentazione di supporto comprende, ove necessario, i risultati delle prove effettuate dall’apposito laboratorio del fabbricante o da un altro laboratorio di prova, per conto e sotto la responsabilità del fabbricante.
4) L’organismo notificato:
4.1) esamina la documentazione tecnica e di supporto per valutare l’adeguatezza della progettazione tecnica e dello sviluppo del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e dei processi di gestione delle vulnerabilità messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II;
4.2) verifica che i campioni siano stati sviluppati o fabbricati in conformità della documentazione tecnica e individua gli elementi progettati e sviluppati in conformità delle disposizioni applicabili delle norme armonizzate o delle specifiche tecniche pertinenti, nonché gli elementi progettati e sviluppati senza applicare le disposizioni pertinenti previste da tali norme;
4.3) effettua o fa effettuare esami e prove appropriati per controllare che, qualora il fabbricante abbia scelto di applicare le soluzioni di cui alle norme armonizzate o alle specifiche tecniche pertinenti per i requisiti di cui all’allegato I, tali soluzioni siano state applicate correttamente;
4.4) effettua o fa effettuare esami e prove appropriati per controllare che, laddove non siano state applicate le soluzioni di cui alle norme armonizzate o alle specifiche tecniche pertinenti per i requisiti di cui all’allegato I, le soluzioni adottate dal fabbricante soddisfino i requisiti essenziali di cibersicurezza corrispondenti;
4.5) concorda con il fabbricante il luogo in cui dovranno essere effettuati gli esami e le prove.
5) L’organismo notificato redige una relazione di valutazione che elenca le iniziative intraprese in conformità del punto 4 e i relativi risultati. Senza pregiudicare i propri obblighi di fronte alle autorità di notifica, l’organismo notificato rende pubblico l’intero contenuto della relazione, o parte di esso, solo con l’accordo del fabbricante.
6) Se il tipo e i processi di gestione delle vulnerabilità soddisfano i requisiti essenziali di cibersicurezza di cui all’allegato I, l’organismo notificato rilascia al fabbricante un certificato di esame UE del tipo. Il certificato indica nome e indirizzo del fabbricante, le conclusioni dell’esame, le eventuali condizioni di validità e i dati necessari per identificare il tipo omologato e i processi di gestione delle vulnerabilità. Il certificato può avere uno o più allegati. Il certificato e i suoi allegati contengono tutte le informazioni pertinenti per consentire la valutazione della conformità dei prodotti con elementi digitali fabbricati o sviluppati al tipo esaminato e dei processi di gestione delle vulnerabilità e permettere il controllo dei prodotti in funzione. Se il tipo e i processi di gestione delle vulnerabilità non soddisfano i requisiti essenziali di cibersicurezza applicabili di cui all’allegato I, l’organismo notificato rifiuta di rilasciare un certificato di esame UE del tipo e informa di tale decisione il richiedente, motivando dettagliatamente il suo rifiuto.
7) L’organismo notificato segue l’evoluzione del progresso tecnologico generalmente riconosciuto, in base al quale il tipo omologato e i processi di gestione delle vulnerabilità potrebbero non essere più conformi ai requisiti essenziali di cibersicurezza applicabili di cui all’allegato I, e decide se tale progresso richieda ulteriori indagini. In caso affermativo, l’organismo notificato ne informa il fabbricante. Il fabbricante informa l’organismo notificato che detiene la documentazione tecnica relativa al certificato di esame UE del tipo di tutte le modifiche al tipo omologato e ai processi di gestione delle vulnerabilità che possono influire sulla conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I o sulle condizioni di validità del certificato. Tali modifiche comportano una nuova approvazione, sotto forma di un supplemento al certificato originario di esame UE del tipo.
8) L’organismo notificato svolge audit periodici per garantire che i processi di gestione delle vulnerabilità di cui all’allegato I, parte II, siano attuati adeguatamente.
9) Ogni organismo notificato informa le proprie autorità di notifica dei certificati di esame UE del tipo o dei relativi supplementi da esso rilasciati o ritirati e mette a disposizione di tali autorità, periodicamente o su richiesta, l’elenco dei certificati o dei relativi supplementi respinti, sospesi o altrimenti sottoposti a restrizioni. Ogni organismo notificato informa gli altri organismi notificati in merito ai certificati di esame UE del tipo o agli eventuali supplementi da esso rifiutati, ritirati, sospesi o altrimenti sottoposti a restrizioni e, su richiesta, in merito ai certificati o agli eventuali supplementi da esso rilasciati. La Commissione, gli Stati membri e gli altri organismi notificati possono ottenere, su richiesta, copia dei certificati di esame UE del tipo e di qualsiasi loro supplemento. La Commissione e gli Stati membri possono ottenere, su richiesta, copia della documentazione tecnica e dei risultati degli esami effettuati dall’organismo notificato. L’organismo notificato conserva una copia del certificato di esame UE del tipo e dei relativi allegati e supplementi, nonché il fascicolo tecnico contenente la documentazione presentata dal fabbricante, fino alla scadenza della validità del certificato.
10) Il fabbricante tiene a disposizione delle autorità nazionali una copia del certificato di esame UE del tipo e dei relativi allegati e supplementi insieme alla documentazione tecnica per dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore.
11) Il rappresentante autorizzato del fabbricante può presentare la domanda di cui al punto 3 e ottemperare agli obblighi di cui ai punti 7 e 10, purché gli obblighi pertinenti siano specificati nel mandato.
Parte III Conformità al tipo basata sul controllo interno della produzione (basata sul modulo C)¶
1) La conformità al tipo basata sul controllo interno della produzione è la parte di una procedura di valutazione della conformità con cui il fabbricante ottempera agli obblighi stabiliti ai punti 2 e 3 della presente parte e si accerta e dichiara che i prodotti con elementi digitali interessati sono conformi al tipo descritto nel certificato di esame UE del tipo e soddisfano i requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e che il fabbricante soddisfa i requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.
2) Produzione Il fabbricante adotta tutte le misure necessarie affinché il processo di produzione e il suo controllo garantiscano la conformità dei prodotti con elementi digitali fabbricati al tipo omologato descritto nel certificato di esame UE del tipo e ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e si accerta che il fabbricante soddisfa i requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.
3) Marcatura di conformità e dichiarazione di conformità
3.1) Il fabbricante appone la marcatura CE a ogni singolo prodotto con elementi digitali conforme al tipo descritto nel certificato di esame UE del tipo e ai requisiti applicabili stabiliti nel presente regolamento.
3.2) Il fabbricante compila una dichiarazione scritta di conformità per un modello di prodotto e la tiene a disposizione delle autorità nazionali per dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore. La dichiarazione di conformità identifica il modello di prodotto per cui è stata compilata. Una copia di tale dichiarazione è messa a disposizione delle autorità competenti su richiesta.
4) Rappresentante autorizzato Gli obblighi del fabbricante di cui al punto 3 possono essere adempiuti dal suo rappresentante autorizzato, a nome del fabbricante e sotto la sua responsabilità, purché gli obblighi pertinenti siano specificati nel mandato.
Parte IV Conformità basata sulla garanzia della qualità totale (basata sul modulo H)¶
1) La conformità basata sulla garanzia della qualità totale è la procedura di valutazione della conformità con cui il fabbricante ottempera agli obblighi stabiliti ai punti 2 e 5 della presente parte e garantisce e dichiara, sotto la sua esclusiva responsabilità, che i prodotti con elementi digitali o le categorie di prodotti interessati soddisfano i requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e che i processi di gestione delle vulnerabilità messi in atto dal fabbricante soddisfano i requisiti di cui all’allegato I, parte II.
2) Progettazione, sviluppo, produzione e gestione delle vulnerabilità dei prodotti con elementi digitali Il fabbricante applica un sistema qualità approvato, come specificato al punto 3, per la progettazione, lo sviluppo nonché l’ispezione e la prova finali dei prodotti con elementi digitali interessati e per la gestione delle vulnerabilità, ne mantiene l’efficacia nel corso di tutto il periodo di assistenza ed è assoggettato alla sorveglianza di cui al punto 4.
3) Sistema qualità
3.1) Il fabbricante presenta una domanda per la valutazione del suo sistema qualità per i prodotti con elementi digitali interessati all’organismo notificato di sua scelta. La domanda contiene:
a) il nome e l’indirizzo del fabbricante e, qualora la domanda sia presentata dal suo rappresentante autorizzato, il nome e l’indirizzo di quest’ultimo;
b) la documentazione tecnica per un modello di ciascuna categoria di prodotti con elementi digitali che intende fabbricare o sviluppare. La documentazione tecnica contiene, laddove applicabile, almeno gli elementi di cui all’allegato VII;
c) la documentazione relativa al sistema qualità; nonché
d) una dichiarazione scritta in cui si precisa che la stessa domanda non è stata presentata a nessun altro organismo notificato.
3.2) Il sistema qualità garantisce la conformità dei prodotti con elementi digitali ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e la conformità dei processi di gestione delle vulnerabilità messi in atto dal fabbricante ai requisiti di cui all’allegato I, parte II. Tutti i criteri, i requisiti e le disposizioni adottati dal fabbricante sono documentati in modo sistematico e ordinato sotto forma di misure, procedure e istruzioni scritte. Tale documentazione relativa al sistema qualità consente un’interpretazione uniforme di programmi, schemi, manuali e registri riguardanti la qualità. Essa include in particolare un’adeguata descrizione:
a) degli obiettivi di qualità e della struttura organizzativa, delle responsabilità e dei poteri del personale direttivo in materia di progettazione, sviluppo, qualità del prodotto e gestione delle vulnerabilità;
b) delle specifiche di progettazione tecnica e di sviluppo, comprese le norme, che saranno applicate e, qualora non siano applicate integralmente le norme armonizzate o le specifiche tecniche pertinenti, degli strumenti che saranno utilizzati per garantire l’osservanza dei requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, che si applicano ai prodotti con elementi digitali;
c) delle specifiche procedurali, comprese le norme, che saranno applicate e, qualora non siano applicate integralmente le norme armonizzate e le specifiche tecniche pertinenti, degli strumenti che saranno utilizzati per garantire l’osservanza dei requisiti essenziali di cibersicurezza di cui all’allegato I, parte II, che si applicano al fabbricante;
d) delle tecniche, dei processi e degli interventi sistematici in materia di controllo e verifica della progettazione e dello sviluppo che saranno applicati nella progettazione e nello sviluppo dei prodotti con elementi digitali appartenenti alla categoria di prodotti in questione;
e) delle tecniche, dei processi e degli interventi sistematici che saranno applicati nella produzione, nel controllo di qualità e nella garanzia della qualità;
f) degli esami e delle prove che saranno effettuati prima, durante e dopo la produzione, con indicazione della frequenza con cui si intende effettuarli;
g) della documentazione in materia di qualità, quali le relazioni sulle ispezioni, i dati relativi alle prove e alle tarature e i rapporti sulle qualifiche del personale interessato;
h) dei mezzi di controllo delle modalità per ottenere la qualità di progettazione e la qualità del prodotto richieste e dell’efficace funzionamento del sistema qualità.
3.3) L’organismo notificato valuta il sistema qualità per determinare se soddisfa i requisiti di cui al punto 3.2. L’organismo presume la conformità a tali requisiti degli elementi del sistema qualità conformi alle specifiche corrispondenti della norma nazionale che attua la norma armonizzata o la specifica tecnica pertinente. Oltre ad avere esperienza nei sistemi di gestione della qualità, almeno un membro del gruppo incaricato dell’audit ha esperienza nella valutazione del settore e della tecnologia del prodotto in questione e conosce i requisiti applicabili stabiliti nel presente regolamento. L’audit prevede una visita di valutazione dei locali del fabbricante, ove esistenti. Il gruppo incaricato dell’audit esamina la documentazione tecnica di cui al punto 3.1, lettera b), per verificare la capacità del fabbricante di individuare i requisiti applicabili stabiliti nel presente regolamento e di effettuare gli esami necessari atti a garantire la conformità del prodotto con elementi digitali a tali requisiti. La decisione è notificata al fabbricante o al suo rappresentante autorizzato. La notifica contiene le conclusioni dell’audit e la motivazione circostanziata della decisione.
3.4) Il fabbricante si impegna a soddisfare gli obblighi derivanti dal sistema qualità approvato e a fare in modo che esso rimanga adeguato ed efficace.
3.5) Il fabbricante tiene informato l’organismo notificato che ha approvato il sistema qualità delle modifiche che intende apportare a tale sistema. L’organismo notificato valuta le modifiche proposte e decide se il sistema qualità modificato continui a soddisfare i requisiti di cui al punto 3.2 o se sia necessaria una nuova verifica. Esso notifica la decisione al fabbricante. La notifica contiene le conclusioni dell’esame e la motivazione circostanziata della decisione.
4) Sorveglianza sotto la responsabilità dell’organismo notificato
4.1) Scopo della sorveglianza è garantire che il fabbricante ottemperi debitamente agli obblighi derivanti dal sistema qualità approvato.
4.2) Il fabbricante consente all’organismo notificato di accedere, ai fini della valutazione, ai locali di progettazione, sviluppo, produzione, ispezione, prova e deposito fornendo tutte le necessarie informazioni, in particolare:
a) la documentazione relativa al sistema qualità;
b) la documentazione in materia di qualità prevista nella sezione del sistema qualità riservata alla progettazione, come i risultati di analisi, calcoli e prove;
c) la documentazione in materia di qualità prevista nella sezione del sistema qualità relativa alla fabbricazione, come le relazioni sulle ispezioni, i dati relativi alle prove e alle tarature e i rapporti sulle qualifiche del personale interessato.
4.3) L’organismo notificato svolge audit periodici intesi ad accertare che il fabbricante mantenga e applichi il sistema qualità e fornisce al fabbricante una relazione sugli audit effettuati.
5) Marcatura di conformità e dichiarazione di conformità
5.1) Il fabbricante appone la marcatura CE e, sotto la responsabilità dell’organismo notificato di cui al punto 3.1, il numero di identificazione di quest’ultimo, su ogni singolo prodotto con elementi digitali che soddisfa i requisiti di cui all’allegato I, parte I.
5.2) Il fabbricante compila una dichiarazione di conformità per ciascun modello di prodotto e la tiene a disposizione delle autorità nazionali per un periodo di dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore. La dichiarazione di conformità identifica il modello di prodotto per cui è stata compilata. Una copia di tale dichiarazione è messa a disposizione delle autorità competenti su richiesta.
6) Il fabbricante, per almeno dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore, tiene a disposizione delle autorità nazionali:
a) la documentazione tecnica di cui al punto 3.1;
b) la documentazione relativa al sistema qualità di cui al punto 3.1;
c) le modifiche di cui al punto 3.5 e la relativa approvazione;
d) le decisioni e le relazioni trasmesse dall’organismo notificato di cui ai punti 3.5 e 4.3.
7) Ogni organismo notificato informa le proprie autorità di notifica delle approvazioni dei sistemi qualità rilasciate o ritirate e, periodicamente o su richiesta, mette a loro disposizione l’elenco delle approvazioni dei sistemi qualità respinte, sospese o altrimenti sottoposte a restrizioni. Ogni organismo notificato informa gli altri organismi notificati delle approvazioni dei sistemi qualità da esso rifiutate, sospese o ritirate e, a richiesta, delle approvazioni dei sistemi qualità rilasciate.
8) Rappresentante autorizzato Gli obblighi del fabbricante di cui ai punti 3.1, 3.5, 5 e 6 possono essere adempiuti dal suo rappresentante autorizzato, a nome del fabbricante e sotto la sua responsabilità, purché gli obblighi pertinenti siano specificati nel mandato.
In relazione al presente atto è stata formulata una dichiarazione che figura nella GU C, 2024/6786, 20.11.2024, ELI: http://data.europa.eu/eli/C/2024/6786/oj .