Considerando¶
(1) La cibersicurezza è una delle sfide principali per l’Unione. Il numero e la varietà dei dispositivi connessi aumenteranno esponenzialmente nei prossimi anni. Gli attacchi informatici costituiscono una questione di interesse pubblico dal momento che hanno un impatto determinante non solo sull’economia dell’Unione, ma anche sulla democrazia, nonché sulla sicurezza dei consumatori e sulla salute. Occorre pertanto rafforzare l’approccio dell’Unione alla cibersicurezza, occuparsi della ciberresilienza a livello dell’Unione nonché migliorare il funzionamento del mercato interno, definendo un quadro giuridico uniforme per i requisiti essenziali di cibersicurezza per l’immissione sul mercato dell’Unione di prodotti con elementi digitali. È opportuno affrontare i due problemi principali che comportano ulteriori costi per gli utilizzatori e la società: un basso livello di cibersicurezza dei prodotti con elementi digitali, testimoniato da vulnerabilità diffuse e dalla fornitura insufficiente e incoerente di aggiornamenti di sicurezza per porvi rimedio così come un’insufficiente comprensione delle informazioni e un accesso limitato alle stesse da parte degli utilizzatori, che impediscono loro di scegliere prodotti con proprietà di cibersicurezza adeguate o di utilizzarli in modo sicuro.
(2) Il presente regolamento mira a stabilire le condizioni limite per lo sviluppo di prodotti con elementi digitali sicuri, garantendo che i prodotti hardware e software siano immessi sul mercato con un minor numero di vulnerabilità e che i fabbricanti prendano la sicurezza in seria considerazione durante l’intero ciclo di vita di un prodotto. Si propone inoltre di creare le condizioni che consentano agli utilizzatori di tenere conto della cibersicurezza nella scelta e nell’utilizzo dei prodotti con elementi digitali, ad esempio migliorando la trasparenza per quanto riguarda il periodo di assistenza dei prodotti con elementi digitali messi a disposizione sul mercato.
(3) Il pertinente diritto dell’Unione in vigore comprende diverse serie di norme orizzontali che affrontano taluni aspetti legati alla cibersicurezza da diversi punti di vista, comprese misure per migliorare la sicurezza della catena di approvvigionamento digitale. Tuttavia il diritto dell’Unione vigente in materia di cibersicurezza, tra cui il regolamento (UE) 2019/881 del Parlamento e del Consiglio (3) e la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (4), non contempla direttamente requisiti obbligatori per la sicurezza dei prodotti con elementi digitali.
(4) Sebbene il diritto dell’Unione vigente si applichi a determinati prodotti con elementi digitali, non esiste un quadro normativo orizzontale dell’Unione che stabilisca requisiti di cibersicurezza completi per tutti i prodotti con elementi digitali. I vari atti adottati e le diverse iniziative intraprese finora a livello nazionale e dell’Unione affrontano solo parzialmente i problemi e i rischi individuati in materia di cibersicurezza, creando un mosaico legislativo all’interno del mercato interno, aumentando l’incertezza del diritto sia per i fabbricanti sia per gli utilizzatori di tali prodotti e imponendo alle imprese e alle organizzazioni un onere aggiuntivo inutile per conformarsi a una serie di requisiti e obblighi per tipi di prodotti simili. La cibersicurezza di tali prodotti ha una dimensione transfrontaliera particolarmente forte, poiché i prodotti con elementi digitali fabbricati in uno Stato membro o in un paese terzo sono spesso utilizzati da organizzazioni e consumatori in tutto il mercato interno. Ciò rende necessaria una regolamentazione del settore a livello dell’Unione per garantire un quadro normativo armonizzato e la certezza del diritto per gli utilizzatori, le organizzazioni e le imprese, comprese le microimprese e le piccole e medie imprese quali definite nell’allegato della raccomandazione 2003/361/CE della Commissione (5) . Il panorama normativo dell’Unione dovrebbe essere armonizzato introducendo requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali. Inoltre si dovrebbe garantire la certezza del diritto per gli operatori economici e gli utilizzatori in tutta l’Unione, nonché una migliore armonizzazione del mercato interno e proporzionalità per le micro, piccole e medie imprese, creando condizioni più agevoli per gli operatori economici che intendono entrare in tale mercato.
(5) Per quanto riguarda le microimprese e le piccole e medie imprese, nel determinare la categoria in cui rientra un’impresa dovrebbero essere applicate integralmente le disposizioni dell’allegato della raccomandazione 2003/361/CE. Pertanto, nel calcolo degli effettivi e delle soglie finanziarie che definiscono le categorie di imprese, dovrebbero essere applicate anche le disposizioni dell’articolo 6 dell’allegato della raccomandazione 2003/361/CE relativa alla determinazione dei dati di un’impresa in considerazione di tipi specifici di imprese, quali imprese associate o collegate.
(6) La Commissione dovrebbe fornire orientamenti per assistere gli operatori economici, in particolare le microimprese e le piccole e medie imprese, nell’applicazione del presente regolamento. Tali orientamenti dovrebbero riguardare, tra l’altro, l’ambito di applicazione del presente regolamento, in particolare il trattamento dei dati a distanza e le sue implicazioni per gli sviluppatori di software liberi e open source, l’applicazione dei criteri utilizzati per determinare i periodi di assistenza per i prodotti con elementi digitali, l’interazione tra il presente regolamento e altre disposizioni di diritto dell’Unione e il concetto di modifica sostanziale.
(7) A livello dell’Unione diversi documenti programmatici e politici, come la comunicazione congiunta della Commissione europea e dell’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, del 16 dicembre 2020, dal titolo «La strategia dell’UE in materia di cibersicurezza per il decennio digitale», le conclusioni del Consiglio del 2 dicembre 2020 sulla cibersicurezza dei dispositivi connessi e del 23 maggio 2022 sullo sviluppo della posizione dell’Unione europea in materia di deterrenza informatica e la risoluzione del Parlamento europeo del 10 giugno 2021 sulla strategia dell’UE in materia di cibersicurezza per il decennio digitale (6), hanno chiesto l’introduzione di requisiti specifici dell’Unione in materia di cibersicurezza per i prodotti digitali o connessi e diversi paesi terzi hanno adottato di propria iniziativa misure volte ad affrontare la questione. Nella relazione finale della Conferenza sul futuro dell’Europa, i cittadini hanno chiesto «un ruolo più incisivo dell’UE nella lotta contro le minacce alla cibersicurezza». Affinché l’Unione possa svolgere un ruolo di primo piano a livello internazionale nel settore della cibersicurezza, è importante istituire un quadro normativo ambizioso.
(8) Per aumentare il livello generale di cibersicurezza di tutti i prodotti con elementi digitali immessi sul mercato interno è necessario introdurre requisiti essenziali di cibersicurezza orientati agli obiettivi e tecnologicamente neutri per tali prodotti, applicabili orizzontalmente.
(9) In determinate condizioni tutti i prodotti con elementi digitali integrati in un sistema di informazione elettronico più ampio o connessi a un tale sistema possono fungere da vettore di attacco per soggetti malintenzionati. Di conseguenza anche l’hardware e il software che sono considerati meno critici possono facilitare la compromissione iniziale di un dispositivo o di una rete, consentendo a soggetti malintenzionati di ottenere un accesso privilegiato a un sistema o di muoversi lateralmente tra sistemi. I fabbricanti dovrebbero pertanto garantire che tutti i prodotti con elementi digitali siano progettati e sviluppati conformemente ai requisiti essenziali di cibersicurezza stabiliti nel presente regolamento. Tale obbligo si riferisce sia ai prodotti che possono essere connessi in modo fisico tramite interfacce hardware sia ai prodotti che sono connessi in modo logico, ad esempio tramite socket di rete, pipe, file, interfacce per programmi applicativi o qualsiasi altro tipo di interfaccia software. Poiché le minacce informatiche possono propagarsi attraverso vari prodotti con elementi digitali prima di raggiungere un determinato obiettivo, ad esempio concatenando più exploit di vulnerabilità, i fabbricanti dovrebbero garantire la cibersicurezza anche dei prodotti con elementi digitali che sono connessi solo indirettamente ad altri dispositivi o reti.
(10) Stabilendo requisiti di cibersicurezza per l’immissione sul mercato di prodotti con elementi digitali, si intende migliorare la cibersicurezza di tali prodotti sia per i consumatori che per le imprese. Tali requisiti garantiranno inoltre che la cibersicurezza sia presa in considerazione in tutte le catene di approvvigionamento, rendendo più sicuri i prodotti finali con elementi digitali e i loro componenti. Ciò include anche requisiti per l’immissione sul mercato di prodotti di consumo con elementi digitali destinati ai consumatori vulnerabili, come giocattoli e sistemi di monitoraggio dei neonati. I prodotti di consumo con elementi digitali classificati nel presente regolamento come prodotti con elementi digitali importanti presentano un rischio di cibersicurezza più elevato in quanto svolgono una funzione che comporta un rischio significativo di effetti negativi in termini di intensità e capacità di danneggiare la salute, la sicurezza o l’incolumità degli utilizzatori di tali prodotti e dovrebbero essere sottoposti a una procedura di valutazione della conformità più rigorosa. Ciò vale per prodotti quali i prodotti per case intelligenti con funzionalità di sicurezza, comprese serrature intelligenti, sistemi di monitoraggio dei neonati e sistemi di allarme, giocattoli connessi e tecnologie sanitarie indossabili personali. Inoltre, le procedure di valutazione della conformità più rigorose cui devono essere sottoposti altri prodotti con elementi digitali classificati nel presente regolamento come prodotti con elementi digitali importanti o critici contribuiranno a prevenire gli effetti negativi che lo sfruttamento delle vulnerabilità può avere sui consumatori.
(11) L’obiettivo del presente regolamento è garantire un livello elevato di cibersicurezza dei prodotti con elementi digitali e delle loro soluzioni integrate di elaborazione dati da remoto. Tali soluzioni di elaborazione dati da remoto dovrebbero essere definite come una elaborazione dati a distanza per la quale il software è stato progettato e sviluppato dal fabbricante del prodotto con elementi digitali in questione o per suo conto, la cui assenza impedirebbe al prodotto con elementi digitali di svolgere una delle sue funzioni. Tale approccio garantisce che tali prodotti siano protetti adeguatamente nella loro interezza dai fabbricanti, indipendentemente dal fatto che i dati siano trattati o conservati localmente sul dispositivo dell’utente o a distanza dal fabbricante. Allo stesso tempo, il trattamento o l’archiviazione a distanza rientrano nell’ambito di applicazione del presente regolamento solo nella misura in cui sono necessari affinché un prodotto con elementi digitali svolga le sue funzioni. Tale trattamento o archiviazione a distanza comprende l’eventualità in cui un’applicazione mobile richieda l’accesso a un’interfaccia per programmi applicativi o a una banca dati fornita tramite un servizio sviluppato dal fabbricante. In tal caso, il servizio rientra nell’ambito di applicazione del presente regolamento come soluzione di elaborazione dati da remoto. I requisiti relativi alle soluzioni di elaborazione dati da remoto che rientrano nell’ambito di applicazione del presente regolamento non comportano pertanto misure tecniche, operative o organizzative volte a gestire i rischi posti alla sicurezza dei sistemi informativi e di rete di un fabbricante nel loro complesso.
(12) Le soluzioni cloud costituiscono soluzioni di elaborazione dati da remoto ai sensi del presente regolamento solo se soddisfano la definizione di cui al presente regolamento. Ad esempio, le funzionalità abilitate al cloud fornite da un fabbricante di dispositivi per case intelligenti che consentono agli utilizzatori di controllare il dispositivo a distanza rientrano nell’ambito di applicazione del presente regolamento. D’altro canto, i siti web che non supportano la funzionalità di un prodotto con elementi digitali o i servizi cloud la cui progettazione e il cui sviluppo esulano dalla responsabilità del fabbricante di un prodotto con elementi digitali non rientrano nell’ambito di applicazione del presente regolamento. La direttiva (UE) 2022/2555 si applica ai servizi di cloud computing e ai modelli di servizi cloud quali il servizio a livello di software ( Software-as-a-Service – SaaS), il servizio a livello di piattaforma ( Platform-as-a-Service – PaaS) o il servizio a livello di infrastruttura (Infrastructure-as-a-Service – IaaS). I soggetti che forniscono servizi di cloud computing nell’Unione che si qualificano come medie imprese ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, o che superano le soglie per le medie imprese di cui al paragrafo 1 di detto articolo, rientrano nell’ambito di applicazione di tale direttiva.
(13) Conformemente all’obiettivo del presente regolamento di rimuovere gli ostacoli alla libera circolazione dei prodotti con elementi digitali, gli Stati membri non dovrebbero impedire, per gli aspetti disciplinati dal presente regolamento, la messa a disposizione sul mercato di prodotti con elementi digitali che sono conformi al presente regolamento. Pertanto, per le questioni armonizzate dal presente regolamento, gli Stati membri non possono imporre requisiti di cibersicurezza supplementari per la messa a disposizione sul mercato di prodotti con elementi digitali. Qualsiasi soggetto, pubblico o privato, può tuttavia stabilire requisiti supplementari rispetto a quelli stabiliti nel presente regolamento per l’acquisto o l’uso di prodotti con elementi digitali per sue finalità specifiche e può pertanto scegliere di utilizzare prodotti con elementi digitali che soddisfano requisiti di cibersicurezza più rigorosi o più specifici di quelli applicabili alla messa a disposizione sul mercato a norma del presente regolamento. Fatte salve le direttive 2014/24/UE (7) e 2014/25/UE (8) del Parlamento europeo e del Consiglio, nell’acquistare prodotti con elementi digitali che devono essere conformi ai requisiti essenziali di cibersicurezza di cui al presente regolamento, compresi quelli relativi alla gestione delle vulnerabilità, gli Stati membri dovrebbero garantire che tali requisiti siano presi in considerazione nella procedura di appalto e che si tenga conto anche della capacità dei fabbricanti di applicare efficacemente misure di cibersicurezza e di gestire le minacce informatiche. Inoltre, la direttiva (UE) 2022/2555 stabilisce misure di gestione dei rischi di cibersicurezza per i soggetti essenziali e importanti di cui all’articolo 3 di detta direttiva. Tali misure potrebbero comportare misure di sicurezza della catena di approvvigionamento che richiedono l’uso da parte di detti soggetti di prodotti con elementi digitali che soddisfino requisiti di cibersicurezza più rigorosi di quelli stabiliti nel presente regolamento. Conformemente alla direttiva (UE) 2022/2555 e in linea con il suo principio di armonizzazione minima, gli Stati membri possono pertanto imporre requisiti di cibersicurezza supplementari per l’uso di prodotti delle tecnologie dell’informazione e della comunicazione (TIC) da parte di soggetti essenziali o importanti ai sensi di tale direttiva al fine di garantire un livello più elevato di cibersicurezza, a condizione che tali requisiti siano coerenti con gli obblighi degli Stati membri stabiliti dal diritto dell’Unione. Le questioni non disciplinate dal presente regolamento possono includere fattori non tecnici riguardanti i prodotti con elementi digitali e i relativi fabbricanti. Gli Stati membri possono pertanto stabilire misure nazionali, comprese restrizioni sui prodotti con elementi digitali o sui fornitori di tali prodotti, che tengano conto di fattori non tecnici. Le misure nazionali relative a tali fattori devono essere conformi al diritto dell’Unione.
(14) Il presente regolamento non dovrebbe pregiudicare la responsabilità degli Stati membri di tutelare la sicurezza nazionale, nel rispetto del diritto dell’Unione. Gli Stati membri dovrebbero poter sottoporre i prodotti con elementi digitali acquistati o utilizzati a fini di sicurezza nazionale o di difesa a misure supplementari, a condizione che tali misure siano coerenti con gli obblighi degli Stati membri stabiliti dal diritto dell’Unione.
(15) Il presente regolamento si applica agli operatori economici solo in relazione ai prodotti con elementi digitali messi a disposizione sul mercato, quindi ai prodotti forniti per la distribuzione o l’uso sul mercato dell’Unione nel corso di un’attività commerciale. La fornitura nel corso di un’attività commerciale può essere caratterizzata non solo dall’applicazione di un prezzo per un prodotto con elementi digitali, ma anche dall’applicazione di un prezzo per i servizi di assistenza tecnica quando ciò non è finalizzato esclusivamente a recuperare i costi effettivi, dall’intenzione di monetizzare, ad esempio dalla fornitura di una piattaforma software attraverso la quale il fabbricante monetizza altri servizi, dall’imposizione, come condizione per l’utilizzo, del trattamento di dati personali per motivi diversi dal solo miglioramento della sicurezza, della compatibilità o dell’interoperabilità del software, o dall’accettazione di donazioni che superano i costi associati alla progettazione, allo sviluppo e alla fornitura di un prodotto con elementi digitali. L’atto di accettare donazioni senza fini di lucro non dovrebbe essere considerato costitutivo di un’attività commerciale.
(16) I prodotti con elementi digitali forniti nell’ambito della prestazione di un servizio per il quale è addebitata una tariffa esclusivamente per recuperare i costi effettivi direttamente connessi alla gestione di tale servizio, come nel caso di determinati prodotti con elementi digitali forniti da enti della pubblica amministrazione, non dovrebbero essere considerati costitutivi di un’attività commerciale ai fini del presente regolamento solamente per tali motivi. Inoltre, i prodotti con elementi digitali sviluppati o modificati da un ente della pubblica amministrazione esclusivamente per uso proprio non dovrebbero essere considerati quali prodotti messi a disposizione sul mercato ai sensi del presente regolamento.
(17) I software e i dati che sono condivisi apertamente e che gli utilizzatori possono liberamente consultare, utilizzare, modificare e ridistribuire, comprese le loro versioni modificate, possono contribuire alla ricerca e all’innovazione nel mercato. Per promuovere lo sviluppo e l’utilizzo di software liberi e open source, in particolare da parte delle microimprese e delle piccole e medie imprese, tra cui le start-up, degli individui, delle organizzazioni senza scopo di lucro e degli istituti di ricerca accademica, l’applicazione del presente regolamento ai prodotti con elementi digitali che si qualificano come software liberi e open source forniti per la distribuzione o l’utilizzo nel corso di un’attività commerciale dovrebbe tenere conto della natura dei diversi modelli di sviluppo di software che sono distribuiti e sviluppati con licenze software libere e open source.
(18) Per software libero e open source si intende un software il cui codice sorgente è condiviso apertamente e la cui concessione di licenze prevede tutti i diritti affinché sia liberamente accessibile, utilizzabile, modificabile e ridistribuibile. Il software libero e open source è sviluppato, sottoposto a manutenzione e distribuito apertamente, anche tramite piattaforme online. Per quanto riguarda gli operatori economici che rientrano nell’ambito di applicazione del presente regolamento, solo i software liberi e open source messi a disposizione sul mercato e pertanto forniti per essere distribuiti o utilizzati nel corso di un’attività commerciale dovrebbero rientrare nell’ambito di applicazione del presente regolamento. Le mere circostanze in cui il prodotto con elementi digitali è stato sviluppato o il modo in cui lo sviluppo è stato finanziato non dovrebbero pertanto essere presi in considerazione al fine di determinare la natura commerciale o non commerciale di tale attività. Più specificamente, ai fini del presente regolamento e in relazione agli operatori economici che rientrano nel suo ambito di applicazione, per garantire che tra la fase di sviluppo e la fase di fornitura vi sia una chiara distinzione, la fornitura di prodotti con elementi digitali che si qualificano come software liberi e open source che non sono monetizzati dai loro fabbricanti non dovrebbe essere considerata un’attività commerciale. Inoltre, la fornitura di prodotti con elementi digitali che si qualificano come componenti software liberi e open source destinati a essere integrati da altri fabbricanti nei rispettivi prodotti con elementi digitali dovrebbe essere considerata come messa a disposizione sul mercato solo se il componente è monetizzato dal suo fabbricante originario. Ad esempio, il semplice fatto che un prodotto software open source con elementi digitali riceva sostegno finanziario dai fabbricanti o che questi ultimi contribuiscano allo sviluppo di tale prodotto non dovrebbe di per sé determinare che un’attività sia di carattere commerciale. Inoltre, il semplice fatto che siano rilasciate con cadenza regolare nuove versioni non dovrebbe di per sé far concludere che un prodotto con elementi digitali è fornito nel corso di un’attività commerciale. Infine, ai fini del presente regolamento, lo sviluppo di prodotti con elementi digitali che si qualificano come di software liberi e open source da parte di organizzazioni senza scopo di lucro non dovrebbe essere considerato costitutivo di un’attività commerciale, a condizione che l’organizzazione sia costituita in modo tale da garantire che tutti gli utili al netto dei costi siano utilizzati per conseguire obiettivi senza scopo di lucro. Il presente regolamento non si applica alle persone fisiche o giuridiche che contribuiscono tramite codici sorgente a prodotti con elementi digitali che si qualificano come software liberi e open source che esulano dalla loro responsabilità.
(19) Tenendo conto dell’importanza per la cibersicurezza di molti prodotti con elementi digitali che si qualificano come software liberi e open source che sono pubblicati ma non messi a disposizione sul mercato ai sensi del presente regolamento, le persone giuridiche che forniscono un sostegno duraturo per lo sviluppo di tali prodotti destinati ad attività commerciali e che svolgono un ruolo fondamentale nel garantire la sostenibilità economica di tali prodotti (gestori di software open source) dovrebbero essere soggette a un regime normativo semplificato e su misura. Sono gestori di software open source anche determinate fondazioni e soggetti che sviluppano e pubblicano software liberi e open source in un contesto commerciale, compresi i soggetti senza scopo di lucro. Il regime normativo dovrebbe tener conto della loro natura specifica e della loro compatibilità con il tipo di obblighi imposti. Dovrebbe riguardare solo i prodotti con elementi digitali che si qualificano come software liberi e open source destinati in ultima istanza ad attività commerciali, ad esempio quelli destinati all’integrazione in servizi commerciali o in prodotti monetizzati con elementi digitali. Ai fini di tale regime normativo, l’intento di integrazione in prodotti monetizzati con elementi digitali riguarda anche i casi in cui i fabbricanti che integrano un componente nei propri prodotti con elementi digitali contribuiscono con regolarità allo sviluppo di tale componente o forniscono regolarmente assistenza finanziaria per garantire la continuità di un prodotto software. Apportare un sostegno duraturo allo sviluppo di un prodotto con elementi digitali comprende, tra l’altro, l’hosting e la gestione di piattaforme di collaborazione per lo sviluppo di software, l’hosting di codici sorgente o software, l’amministrazione o la gestione di prodotti con elementi digitali che si qualificano come software liberi e open source, nonché l’orientamento dello sviluppo di tali prodotti. Dato che tale regime normativo semplificato e su misura non assoggetta coloro che fungono da gestori di software open source agli stessi obblighi di coloro che fungono da fabbricanti a norma del presente regolamento, detti gestori non dovrebbero essere autorizzati ad apporre la marcatura CE sui prodotti con elementi digitali di cui sostengono lo sviluppo.
(20) Il solo fatto di ospitare prodotti con elementi digitali in archivi aperti, anche tramite gestori di pacchetti o su piattaforme di collaborazione, non costituisce di per sé una messa a disposizione sul mercato di un prodotto con elementi digitali. I fornitori di tali servizi dovrebbero essere considerati distributori solo se mettono tale software a disposizione sul mercato e quindi se lo forniscono per la distribuzione o l’uso sul mercato dell’Unione nel corso di un’attività commerciale.
(21) Al fine di sostenere e agevolare la dovuta diligenza dei fabbricanti che integrano componenti software liberi e open source non soggetti ai requisiti essenziali di cibersicurezza di cui al presente regolamento nei loro prodotti con elementi digitali, la Commissione dovrebbe poter istituire programmi volontari di attestazione di sicurezza, o mediante un atto delegato che integra il presente regolamento o richiedendo un sistema europeo di certificazione della cibersicurezza a norma dell’articolo 48 del regolamento (UE) 2019/881 che tenga conto delle specificità dei modelli di sviluppo di software liberi e open source. I programmi di attestazione di sicurezza dovrebbero essere concepiti in modo tale che non solo le persone fisiche o giuridiche che sviluppano o contribuiscono allo sviluppo di un prodotto con elementi digitali che si qualificano come software liberi e open source possano avviare o finanziare un’attestazione di sicurezza, ma che lo possano fare anche terzi, come i fabbricanti che integrano tali prodotti nei propri prodotti con elementi digitali, gli utilizzatori o le pubbliche amministrazioni dell’Unione e nazionali.
(22) Alla luce degli obiettivi pubblici di cibersicurezza del presente regolamento e al fine di migliorare la conoscenza situazionale degli Stati membri per quanto riguarda la dipendenza dell’Unione dai componenti software e, in particolare, dai componenti software potenzialmente liberi e open source, un apposito gruppo di cooperazione amministrativa (ADCO) istituito dal presente regolamento dovrebbe poter decidere di effettuare congiuntamente una valutazione della dipendenza dell’Unione. Le autorità di vigilanza del mercato dovrebbero poter chiedere ai fabbricanti di categorie di prodotti con elementi digitali stabilite dall’ADCO di presentare le distinte base del software che hanno generato a norma del presente regolamento. Al fine di tutelare la riservatezza delle distinte base del software, le autorità di vigilanza del mercato dovrebbero trasmettere all’ADCO le informazioni pertinenti sulle dipendenze in forma anonimizzata e aggregata.
(23) L’efficacia dell’attuazione del presente regolamento dipenderà anche dalla disponibilità di competenze adeguate in materia di cibersicurezza. A livello dell’Unione, vari documenti programmatici e politici, tra cui la comunicazione della Commissione, del 18 aprile 2023, dal titolo «Colmare il divario di talenti nel settore della cibersicurezza per rafforzare la competitività, la crescita e la resilienza dell’UE» e le conclusioni del Consiglio, del 22 maggio 2023, sulla politica di ciberdifesa dell’UE hanno riconosciuto il divario di competenze in materia di cibersicurezza nell’Unione e la necessità di affrontare tali sfide in via prioritaria, sia nel settore pubblico che in quello privato. Al fine di garantire un’efficace attuazione del presente regolamento, gli Stati membri dovrebbero assicurare che le autorità di vigilanza del mercato e gli organismi di valutazione della conformità abbiano a loro disponibilità risorse adeguate per poter impiegare il personale necessario allo svolgimento dei loro compiti, come stabilito nel presente regolamento. Tali misure dovrebbero migliorare la mobilità della forza lavoro nel settore della cibersicurezza e i relativi percorsi professionali. Dovrebbero inoltre contribuire a rendere la forza lavoro nel settore della cibersicurezza più resiliente e inclusiva, anche in termini di genere. Gli Stati membri dovrebbero pertanto adottare misure per garantire che tali compiti siano svolti da professionisti adeguatamente formati, dotati delle necessarie competenze in materia di cibersicurezza. Analogamente, i fabbricanti dovrebbero garantire che il loro personale disponga delle competenze necessarie per adempiere agli obblighi stabiliti dal presente regolamento. Gli Stati membri e la Commissione, in linea con le rispettive prerogative e competenze e con i compiti specifici loro attribuiti dal presente regolamento, dovrebbero adottare misure per sostenere i fabbricanti, in particolare le microimprese e le piccole e medie imprese, comprese le start-up, anche in settori quali lo sviluppo delle competenze, ai fini del rispetto dei loro obblighi quali stabiliti nel presente regolamento. Inoltre, poiché la direttiva (UE) 2022/2555 impone agli Stati membri, nell’ambito delle loro strategie nazionali relative alla cibersicurezza, di adottare politiche volte a promuovere e sviluppare la formazione nella cibersicurezza e competenze in materia di cibersicurezza, gli Stati membri, nell’adottare tali strategie, possono inoltre prendere in considerazione di affrontare il fabbisogno di competenze in materia di cibersicurezza derivante dal presente regolamento, compreso quello relativo alla riqualificazione e al miglioramento delle competenze.
(24) Lo sviluppo di un’Internet sicura è indispensabile per il funzionamento delle infrastrutture critiche e per la società nel suo complesso. La direttiva (UE) 2022/2555 mira a garantire un livello elevato di cibersicurezza dei servizi forniti dai soggetti essenziali e importanti di cui all’articolo 3 di tale direttiva, compresi i fornitori di infrastrutture digitali che sostengono le funzioni fondamentali dell’Internet aperta e garantiscono i servizi Internet e forniscono l’accesso a Internet. È quindi importante che i prodotti con elementi digitali necessari ai fornitori di infrastrutture digitali per garantire il funzionamento di Internet siano sviluppati in modo sicuro e siano conformi a norme di sicurezza Internet consolidate. Il presente regolamento, che si applica a tutti i prodotti hardware e software collegabili, mira anche a facilitare il rispetto dei requisiti relativi alla catena di approvvigionamento a norma della direttiva (UE) 2022/2555 da parte dei fornitori di infrastrutture digitali, garantendo che i prodotti con elementi digitali che essi utilizzano per la fornitura dei loro servizi siano sviluppati in modo sicuro e che abbiano accesso ad aggiornamenti di sicurezza tempestivi per tali prodotti.
(25) Il regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio (9) stabilisce norme relative ai dispositivi medici e il regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio (10) stabilisce norme relative ai dispositivi medico-diagnostici in vitro. Tali regolamenti si occupano di rischi di cibersicurezza e adottano approcci specifici che sono trattati anche nel presente regolamento. Più in particolare i regolamenti (UE) 2017/745 e (UE) 2017/746 stabiliscono i requisiti essenziali per i dispositivi medici che funzionano attraverso un sistema elettronico o che sono essi stessi software. Tali regolamenti disciplinano anche alcuni software non incorporati e l’approccio dell’intero ciclo di vita. Tali requisiti impongono ai fabbricanti di sviluppare e costruire i loro prodotti applicando principi di gestione del rischio e definendo requisiti relativi alle misure di sicurezza informatica, nonché corrispondenti procedure di valutazione della conformità. Inoltre da dicembre 2019 sono in vigore orientamenti specifici sulla cibersicurezza per i dispositivi medici, che forniscono ai fabbricanti di dispositivi medici, inclusi i dispositivi diagnostici in vitro, indicazioni su come soddisfare tutti i requisiti essenziali pertinenti di cui all’allegato I di tali regolamenti per quanto riguarda la cibersicurezza. I prodotti con elementi digitali a cui si applica uno dei due regolamenti non dovrebbero pertanto essere soggetti al presente regolamento.
(26) I prodotti con elementi digitali sviluppati o modificati esclusivamente per scopi di sicurezza nazionale o di difesa o i prodotti specificamente progettati per trattare informazioni classificate non rientrano nell’ambito di applicazione del presente regolamento. Gli Stati membri sono incoraggiati a garantire per tali prodotti un livello di protezione uguale o superiore a quello dei prodotti che rientrano nell’ambito di applicazione del presente regolamento.
(27) Il regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio (11) stabilisce i requisiti per l’omologazione dei veicoli e dei loro sistemi e componenti, introducendo taluni requisiti di cibersicurezza riguardanti, tra l’altro, il funzionamento di un sistema certificato di gestione della cibersicurezza e gli aggiornamenti del software, disciplinando le politiche e i processi delle organizzazioni per i rischi di cibersicurezza relativi all’intero ciclo di vita dei veicoli, dei dispositivi e dei servizi in conformità dei regolamenti delle Nazioni Unite applicabili in materia di specifiche tecniche e cibersicurezza, in particolare il regolamento n. 155 delle Nazioni Unite – Disposizioni uniformi relative all’omologazione dei veicoli per quanto riguarda la cibersicurezza e i sistemi di gestione della cibersicurezza (12), e prevedendo specifiche procedure di valutazione della conformità. Nel settore dell’aviazione, il regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio (13) ha come obiettivo principale stabilire e mantenere un livello elevato ed uniforme di sicurezza dell’aviazione civile nell’Unione. Esso istituisce un quadro di requisiti essenziali per l’aeronavigabilità di prodotti aeronautici, parti ed equipaggiamenti, compreso il software, che comprendono gli obblighi di protezione dalle minacce alla security delle informazioni. Il processo di certificazione a norma del regolamento (UE) 2018/1139 assicura il livello di garanzia perseguito dal presente regolamento. I prodotti con elementi digitali a cui si applica il regolamento (UE) 2019/2144 e i prodotti certificati in conformità del regolamento (UE) 2018/1139 non dovrebbero pertanto soggetti ai requisiti essenziali di cibersicurezza e alle procedure di valutazione della conformità di cui al presente regolamento.
(28) Il presente regolamento stabilisce norme orizzontali in materia di cibersicurezza che non sono specifiche per settori o per determinati prodotti con elementi digitali. Tuttavia potrebbero essere introdotte norme dell’Unione settoriali o specifiche per prodotto, volte a stabilire requisiti che affrontano tutti o alcuni dei rischi contemplati dai requisiti essenziali di cibersicurezza stabiliti nel presente regolamento. In tali casi l’applicazione del presente regolamento ai prodotti con elementi digitali contemplati da altre norme dell’Unione, che stabiliscono requisiti che affrontano tutti o alcuni dei rischi contemplati dai requisiti essenziali di cibersicurezza di cui al presente regolamento, può essere limitata o esclusa, qualora tale limitazione o esclusione sia coerente con il quadro normativo generale applicabile a tali prodotti e qualora le norme settoriali conseguano almeno lo stesso livello di protezione previsto dal presente regolamento. È opportuno conferire alla Commissione il potere di adottare atti delegati per integrare il presente regolamento individuando tali prodotti e norme. Per quanto riguarda il diritto dell’Unione vigente in cui dovrebbe essere applicata tale limitazione o esclusione, il presente regolamento prevede disposizioni specifiche per chiarire il suo rapporto con tale diritto dell’Unione.
(29) Al fine di garantire che i prodotti con elementi digitali messi a disposizione sul mercato possano essere riparati in modo efficace e che la loro durabilità possa essere estesa, è opportuno prevedere un’esenzione per i pezzi di ricambio. Tale esenzione dovrebbe riguardare sia i pezzi di ricambio che hanno lo scopo di riparare prodotti preesistenti messi a disposizione prima della data di applicazione del presente regolamento sia i pezzi di ricambio che sono già stati sottoposti a una procedura di valutazione della conformità ai sensi del presente regolamento.
(30) Il regolamento delegato (UE) 2022/30 della Commissione (14) specifica che alcuni dei requisiti essenziali di cui all’articolo 3, paragrafo 3, lettere d), e) e f), della direttiva 2014/53/UE del Parlamento europeo e del Consiglio (15), relativi ai danni alla rete e abuso delle risorse della rete, ai dati personali e vita privata e alle frodi, si applicano a determinate apparecchiature radio. La decisione di esecuzione C(2022)5637 della Commissione, del 5 agosto 2022, relativa ad una richiesta di normazione rivolta al Comitato europeo di normazione e al Comitato europeo di normazione elettrotecnica stabilisce i requisiti per l’elaborazione di norme specifiche, precisando inoltre il modo in cui dovrebbero essere trattati tali requisiti essenziali. I requisiti essenziali di cibersicurezza stabiliti dal presente regolamento comprendono tutti gli elementi dei requisiti essenziali di cui all’articolo 3, paragrafo 3, lettere d), e) e f), della direttiva 2014/53/UE. I requisiti essenziali di cibersicurezza stabiliti nel presente regolamento sono inoltre allineati con gli obiettivi dei requisiti delle norme specifiche incluse in tale richiesta di normazione. Pertanto, quando la Commissione abroga o modifica il regolamento delegato (UE) 2022/30, con la conseguenza che esso cessa di applicarsi a determinati prodotti soggetti al presente regolamento, la Commissione e le organizzazioni europee di normazione dovrebbero tenere conto dei lavori di normazione svolti nel contesto della decisione di esecuzione C(2022)5637 nella preparazione e nello sviluppo di norme armonizzate per facilitare l’attuazione del presente regolamento. Durante il periodo di transizione per l’applicazione del presente regolamento, la Commissione dovrebbe fornire orientamenti ai fabbricanti soggetti al presente regolamento che sono anche soggetti al regolamento delegato (UE) 2022/30, al fine di agevolare la dimostrazione della conformità ai due regolamenti.
(31) La direttiva (UE) 2024/2853 del Parlamento europeo e del Consiglio (16) è complementare al presente regolamento. Tale direttiva stabilisce le norme in materia di responsabilità per danno da prodotti difettosi, in modo che i danneggiati possano chiedere il risarcimento quando un danno è stato causato da prodotti difettosi. Essa stabilisce il principio secondo cui il fabbricante di un prodotto è responsabile dei danni causati da una mancanza di sicurezza nel suo prodotto indipendentemente dalla colpa (responsabilità oggettiva). Se tale mancanza di sicurezza consiste nell’assenza di aggiornamenti di sicurezza dopo l’immissione sul mercato del prodotto e ciò causa un danno, questo potrebbe far scattare la responsabilità del fabbricante. Gli obblighi dei fabbricanti relativi alla fornitura di tali aggiornamenti di sicurezza dovrebbero essere stabiliti nel presente regolamento.
(32) Il presente regolamento dovrebbe lasciare impregiudicato il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (17), comprese le disposizioni relative all’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità a detto regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Tali operazioni potrebbero essere integrate in un prodotto con elementi digitali. La protezione dei dati fin dalla progettazione e per impostazione predefinita e la cibersicurezza in generale sono elementi fondamentali del regolamento (UE) 2016/679. Proteggendo i consumatori e le organizzazioni dai rischi di cibersicurezza, i requisiti essenziali di cibersicurezza stabiliti nel presente regolamento dovrebbero inoltre contribuire a migliorare la protezione dei dati personali e della vita privata delle persone. Dovrebbero essere considerate le sinergie sia nell’ambito della normazione che della certificazione relativamente agli aspetti di cibersicurezza attraverso la cooperazione tra la Commissione, le organizzazioni europee di normazione, l’Agenzia dell’Unione europea per la cibersicurezza (ENISA), il comitato europeo per la protezione dei dati istituito dal regolamento (UE) 2016/679 e le autorità nazionali di controllo della protezione dei dati. È opportuno creare sinergie tra il presente regolamento e il diritto dell’Unione in materia di protezione dei dati anche nel settore della vigilanza del mercato e dell’applicazione delle norme. A tal fine le autorità nazionali di vigilanza del mercato designate a norma del presente regolamento dovrebbero cooperare con le autorità preposte alla vigilanza dell’applicazione del diritto dell’Unione in materia di protezione dei dati. Queste ultime dovrebbero inoltre avere accesso alle informazioni pertinenti per lo svolgimento dei loro compiti.
(33) Nella misura in cui i loro prodotti rientrano nell’ambito di applicazione del presente regolamento, i fornitori dei portafogli europei di identità digitale di cui all’articolo 5 bis, paragrafo 2, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (18) dovrebbero essere conformi sia ai requisiti essenziali orizzontali di cibersicurezza stabiliti dal presente regolamento sia ai requisiti di sicurezza specifici stabiliti dall’articolo 5 bis del regolamento (UE) n. 910/2014. Al fine di facilitare la conformità, i fornitori dei portafogli dovrebbero poter dimostrare la conformità dei portafogli europei di identità digitale ai requisiti stabiliti rispettivamente nel presente regolamento e nel regolamento (UE) n. 910/2014 certificando i loro prodotti nell’ambito di un sistema europeo di certificazione della cibersicurezza istituito a norma del regolamento (UE) 2019/881 e per il quale la Commissione ha specificato, mediante atti delegati, una presunzione di conformità al presente regolamento, nella misura in cui il certificato o sue parti contemplino tali requisiti.
(34) Quando integrano componenti provenienti da terzi in prodotti con elementi digitali durante la fase di progettazione e sviluppo, i fabbricanti dovrebbero, al fine di garantire che i prodotti siano progettati, sviluppati e fabbricati conformemente ai requisiti essenziali di cibersicurezza di cui al presente regolamento, esercitare la dovuta diligenza per quanto riguarda tali componenti, compresi i componenti software liberi e open source che non sono stati messi a disposizione sul mercato. Il livello adeguato di dovuta diligenza dipende dalla natura e dal livello di rischio di cibersicurezza associato a un dato componente e a tal fine dovrebbe tenere conto di una o più delle seguenti azioni: verifica, se del caso, che il fabbricante di un componente abbia dimostrato la conformità al presente regolamento, anche controllando che il componente rechi già la marcatura CE; verifica che un componente riceva aggiornamenti periodici di sicurezza, ad esempio controllando i precedenti aggiornamenti di sicurezza; verifica che un componente sia privo di vulnerabilità registrate nella banca dati europea delle vulnerabilità istituita a norma dell’articolo 12, paragrafo 2, della direttiva (UE) 2022/2555 o in altre banche dati delle vulnerabilità accessibili al pubblico; oppure svolgimento di ulteriori prove di sicurezza. Gli obblighi di gestione delle vulnerabilità di cui al presente regolamento, che i fabbricanti devono rispettare quando immettono sul mercato un prodotto con elementi digitali e durante il periodo di assistenza, si applicano ai prodotti con elementi digitali nella loro interezza, compresi tutti i componenti integrati. Qualora, nell’esercizio della dovuta diligenza, il fabbricante del prodotto con elementi digitali individui una vulnerabilità in un componente, anche in un componente libero e open source, dovrebbe informare la persona o il soggetto che si occupa della fabbricazione o della manutenzione del componente, affrontare e correggere la vulnerabilità e, se del caso, fornire alla persona o al soggetto la correzione di sicurezza applicata.
(35) Immediatamente dopo il periodo di transizione per l’applicazione del presente regolamento, un fabbricante di un prodotto con elementi digitali che integra uno o più componenti provenienti da terzi che sono anche soggetti al presente regolamento potrebbe non essere in grado di verificare, nell’ambito del suo obbligo di dovuta diligenza, che i fabbricanti di tali componenti abbiano dimostrato la conformità al presente regolamento controllando, ad esempio, se i componenti recano già la marcatura CE. Ciò può verificarsi quando i componenti sono stati integrati prima che il presente regolamento sia diventato applicabile ai fabbricanti di tali componenti. In tal caso, il fabbricante che integra tali componenti dovrebbe esercitare la dovuta diligenza con altri mezzi.
(36) I prodotti con elementi digitali dovrebbero recare la marcatura CE per indicare in modo visibile, leggibile e indelebile la loro conformità al presente regolamento, in modo da poter circolare liberamente nel mercato interno. Gli Stati membri non dovrebbero ostacolare in maniera ingiustificata l’immissione sul mercato di prodotti con elementi digitali che soddisfano i requisiti stabiliti nel presente regolamento e che recano la marcatura CE. Inoltre, in occasione di fiere, mostre e dimostrazioni o eventi analoghi, gli Stati membri non dovrebbero impedire la presentazione o l’uso di un prodotto con elementi digitali non conforme al presente regolamento, compresi i suoi prototipi, a condizione che il prodotto presenti un’indicazione visibile che specifichi chiaramente che esso non è conforme al presente regolamento e non deve essere messo a disposizione sul mercato finché non lo sarà.
(37) Per far sì che i fabbricanti possano rilasciare software ai fini di prova prima di sottoporre i loro prodotti con elementi digitali alla valutazione della conformità, gli Stati membri non dovrebbero impedire la messa a disposizione di software non finiti, come versioni alfa, versioni beta o release candidate, a condizione che il software non finito sia messo a disposizione solo per il tempo necessario a testarlo e a raccogliere riscontri. I fabbricanti dovrebbero provvedere affinché il software messo a disposizione a tali condizioni sia rilasciato solo a seguito di una valutazione dei rischi e sia conforme, per quanto possibile, ai requisiti di sicurezza relativi alle proprietà dei prodotti con elementi digitali stabiliti dal presente regolamento. I fabbricanti dovrebbero inoltre attuare, nella misura del possibile, i requisiti di gestione delle vulnerabilità. I fabbricanti non dovrebbero costringere gli utilizzatori a passare alle versioni rilasciate solo ai fini di prova.
(38) Per garantire che i prodotti con elementi digitali, quando sono immessi sul mercato, non presentino rischi di cibersicurezza per le persone e le organizzazioni, è opportuno stabilire requisiti essenziali di cibersicurezza per tali prodotti. Tali requisiti essenziali di cibersicurezza, compresi i requisiti in materia di gestione delle vulnerabilità, si applicano a ogni singolo prodotto con elementi digitali al momento dell’immissione sul mercato, indipendentemente dal fatto che il prodotto con elementi digitali sia fabbricato come unità singola o in serie. Ad esempio, per un tipo di prodotto, ogni singolo prodotto con elementi digitali dovrebbe aver ricevuto tutte le patch o gli aggiornamenti di sicurezza disponibili per affrontare le questioni di sicurezza pertinenti al momento dell’immissione sul mercato. Qualora i prodotti con elementi digitali vengano successivamente modificati, da mezzi fisici o digitali, in un modo non previsto dal fabbricante nella valutazione dei rischi iniziale e che potrebbe implicare il fatto che essi non rispettino più i requisiti essenziali di cibersicurezza pertinenti, la modifica dovrebbe essere considerata sostanziale. Ad esempio le riparazioni potrebbero essere assimilate a interventi di manutenzione purché non modifichino un prodotto con elementi digitali già immesso sul mercato in maniera tale da poter influire sulla sua conformità ai requisiti applicabili o da modificare la finalità prevista per la quale il prodotto è stato valutato.
(39) Come avviene per le modifiche o le riparazioni fisiche, un prodotto con elementi digitali dovrebbe essere considerato modificato sostanzialmente da un cambiamento del software qualora l’aggiornamento del software modifichi la finalità prevista di tale prodotto e tali modifiche non siano state previste dal fabbricante nella valutazione dei rischi iniziale, o qualora la natura del pericolo sia cambiata o il livello di rischio di cibersicurezza sia aumentato a causa dell’aggiornamento del software e la versione aggiornata del prodotto sia messa a disposizione sul mercato. Qualora non modifichi la finalità prevista di un prodotto con elementi digitali, un aggiornamento di sicurezza, progettato per ridurre il livello di rischio di cibersicurezza di un prodotto con elementi digitali, non è considerato una modifica sostanziale. Sono generalmente inclusi i casi in cui un aggiornamento di sicurezza comporta solo adeguamenti minori del codice sorgente. Ad esempio, tale caso potrebbe verificarsi quando un aggiornamento di sicurezza affronta una vulnerabilità nota, anche modificando le funzioni o le prestazioni di un prodotto con elementi digitali al solo scopo di ridurre il livello di rischio di cibersicurezza. Analogamente, un aggiornamento minore delle funzionalità, come ad esempio un miglioramento visivo, o l’aggiunta di nuovi pittogrammi o lingue all’interfaccia utente, non dovrebbe, di norma, essere considerato una modifica sostanziale. Per contro, qualora modifichi le funzioni originariamente previste o il tipo o le prestazioni di un prodotto con elementi digitali e soddisfi tali criteri, un aggiornamento delle funzioni dovrebbe essere considerato una modifica sostanziale, in quanto l’aggiunta di nuove caratteristiche determina di norma una superficie di attacco più ampia, con un conseguente aumento del rischio di cibersicurezza. Ad esempio, tale caso potrebbe verificarsi quando un nuovo elemento di input viene aggiunto a un’applicazione, il che impone al fabbricante di garantire un’adeguata convalida dell’input. Nel valutare se un aggiornamento delle funzioni sia considerato una modifica sostanziale non è rilevante che sia fornito come aggiornamento separato o in combinazione con un aggiornamento di sicurezza. La Commissione dovrebbe emanare orientamenti sulle modalità per determinare il concetto di «modifica sostanziale».
(40) Tenuto conto del carattere iterativo dello sviluppo di software, i fabbricanti che hanno immesso sul mercato versioni successive di un prodotto software a seguito di una successiva modifica sostanziale di tale prodotto dovrebbero poter fornire aggiornamenti di sicurezza per il periodo di assistenza solo per l’ultima versione del prodotto software che hanno immesso sul mercato. Dovrebbero poter farlo solo se gli utilizzatori delle pertinenti versioni precedenti del prodotto hanno accesso all’ultima versione del prodotto immessa sul mercato gratuitamente e non sostengono costi aggiuntivi per adeguare l’ambiente hardware o software in cui funziona il prodotto. Tale caso potrebbe verificarsi, ad esempio, quando un aggiornamento del sistema operativo desktop non richiede un nuovo hardware, come un’unità centrale di elaborazione più veloce o più memoria. Tuttavia, il fabbricante dovrebbe continuare a rispettare, per il periodo di assistenza, altri requisiti di gestione delle vulnerabilità, ad esempio dotandosi di una politica in materia di divulgazione coordinata delle vulnerabilità o predisponendo misure volte ad agevolare la condivisione di informazioni sulle potenziali vulnerabilità per tutte le successive versioni del prodotto software immesso sul mercato che sono state modificate in modo sostanziale. I fabbricanti dovrebbero poter fornire aggiornamenti minori di sicurezza o delle funzionalità che non costituiscono una modifica sostanziale solo per l’ultima versione o sottoversione di un prodotto software che non è stato modificato in modo sostanziale. Nel contempo, qualora un prodotto hardware, come uno smartphone, non sia compatibile con l’ultima versione del sistema operativo con cui è stato originariamente fornito, il fabbricante dovrebbe continuare a fornire aggiornamenti di sicurezza almeno per l’ultima versione compatibile del sistema operativo per il periodo di assistenza.
(41) In linea con il concetto generalmente riconosciuto di modifica sostanziale dei prodotti disciplinati dalla normativa di armonizzazione dell’Unione, qualora intervenga una modifica sostanziale che può incidere sulla conformità di un prodotto con elementi digitali al presente regolamento oppure quando venga modificata la sua finalità prevista, è opportuno verificare la conformità del prodotto con elementi digitali e sottoporlo, se del caso, a una nuova valutazione della conformità. Ove applicabile, se il fabbricante effettua una valutazione della conformità che coinvolge terzi, i cambiamenti che potrebbero comportare una modifica sostanziale dovrebbero essere notificati a questi ultimi.
(42) Se un prodotto con elementi digitali è soggetto a «ricondizionamento», «manutenzione» e «riparazione», quali definiti all’articolo 2, punti 18), 19) e 20), del regolamento (UE) 2024/2781 del Parlamento europeo e del Consiglio (19), ciò non comporta necessariamente una modifica sostanziale del prodotto, ad esempio se la finalità e le funzionalità previste non sono modificate e il livello di rischio rimane inalterato. Tuttavia il miglioramento di un prodotto con elementi digitali da parte del fabbricante potrebbe comportare modifiche nella progettazione e nello sviluppo del prodotto stesso e quindi influire sulla sua finalità prevista e sulla sua conformità ai requisiti stabiliti nel presente regolamento.
(43) I prodotti con elementi digitali dovrebbero essere considerati importanti se lo sfruttamento di potenziali vulnerabilità di cibersicurezza nel prodotto può provocare un impatto negativo grave a causa, tra l’altro, della funzionalità legata alla cibersicurezza o di una funzione che comporta un rischio significativo di avere effetti negativi in termini della sua intensità e capacità di perturbare, controllare o danneggiare un gran numero di altri prodotti con elementi digitali o la salute, la sicurezza o l’incolumità dei suoi utilizzatori attraverso la manipolazione diretta, come una funzione centrale di sistema centrale, compresi la gestione della rete, il controllo di configurazione, la virtualizzazione o il trattamento dei dati personali. In particolare le vulnerabilità nei prodotti con elementi digitali dotati di una funzionalità legata alla cibersicurezza, come i boot manager, possono determinare una propagazione dei problemi di sicurezza lungo l’intera catena di approvvigionamento. La gravità dell’impatto di un incidente può anche aumentare se il prodotto svolge principalmente una funzione di sistema centrale, tra cui la gestione della rete, il controllo di configurazione, la virtualizzazione o il trattamento di dati personali.
(44) Talune categorie di prodotti con elementi digitali dovrebbero essere soggetti a procedure di valutazione della conformità più rigorose, pur mantenendo un approccio proporzionato. A tal fine i prodotti con elementi digitali importanti dovrebbero essere suddivisi in due classi che riflettono il livello di rischio di cibersicurezza legato a tali categorie di prodotti. Un incidente che coinvolga prodotti con elementi digitali importanti di classe II potrebbe avere impatti negativi maggiori rispetto a un incidente che coinvolga prodotti con elementi digitali importanti di classe I, ad esempio a causa della natura della loro funzione legata alla cibersicurezza o dello svolgimento di un’altra funzione che comporta un rischio significativo di effetti negativi. Come indicazione di tali impatti negativi maggiori, i prodotti con elementi digitali di classe II potrebbero svolgere una funzionalità legata alla cibersicurezza o un’altra funzione che comporta un rischio significativo di effetti negativi più elevato rispetto a quelli elencati nella classe I, o soddisfare entrambi i criteri summenzionati. I prodotti con elementi digitali importanti di classe II dovrebbero pertanto essere soggetti a una procedura di valutazione della conformità più rigorosa.
(45) I prodotti con elementi digitali importanti di cui al presente regolamento dovrebbero essere intesi come prodotti che hanno la funzionalità principale di una categoria di prodotti con elementi digitali importanti stabilita nel presente regolamento. Il presente regolamento stabilisce ad esempio categorie di prodotti con elementi digitali importanti che, in base alla loro funzionalità principale, sono definiti firewall o sistemi di rilevamento o prevenzione delle intrusioni di classe II. Di conseguenza i firewall o i sistemi di rilevamento o prevenzione delle intrusioni sono soggetti a una valutazione della conformità obbligatoria da parte di terzi. Ciò non si applica ad altri prodotti con elementi digitali non categorizzati come prodotti con elementi digitali importanti che possono integrare firewall o sistemi di rilevamento o prevenzione delle intrusioni. La Commissione dovrebbe adottare un atto di esecuzione per precisare la descrizione tecnica delle categorie di prodotti con elementi digitali importanti rientranti nelle classi I e II di cui al presente regolamento.
(46) Le categorie di prodotti con elementi digitali critici di cui al presente regolamento hanno una funzionalità legata alla cibersicurezza e svolgono una funzione che comporta un rischio significativo di effetti negativi in termini di intensità e capacità di perturbare, controllare o recare danno a un gran numero di altri prodotti con elementi digitali mediante manipolazione diretta. Inoltre, tali categorie di prodotti con elementi digitali sono considerate dipendenze critiche dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555. Le categorie di prodotti con elementi digitali critici stabiliti in allegato al presente regolamento, a causa della loro criticità, utilizzano già ampiamente varie forme di certificazione e rientrano anche nel sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC) di cui al regolamento di esecuzione (UE) 2024/482 della Commissione (20) . Pertanto, al fine di garantire una protezione comune adeguata della cibersicurezza dei prodotti con elementi digitali critici nell’Unione, potrebbe essere opportuno e proporzionato assoggettare tali categorie di prodotti, mediante un atto delegato, a una certificazione europea obbligatoria della cibersicurezza qualora sia già in vigore un pertinente sistema europeo di certificazione della cibersicurezza riguardante tali prodotti e la Commissione abbia effettuato una valutazione del potenziale impatto sul mercato della certificazione obbligatoria prevista. Tale valutazione dovrebbe valutare sia il lato dell’offerta che quello della domanda, compresa l’esistenza di una domanda sufficiente dei prodotti con elementi digitali interessati sia da parte degli Stati membri che degli utilizzatori per richiedere la certificazione europea della cibersicurezza, nonché le finalità per le quali i prodotti con elementi digitali sono destinati a essere utilizzati, compresa la dipendenza critica da essi dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555. La valutazione dovrebbe inoltre analizzare i potenziali effetti della certificazione obbligatoria sulla disponibilità di tali prodotti sul mercato interno e le capacità e la prontezza degli Stati membri per l’attuazione dei pertinenti sistemi europei di certificazione della cibersicurezza.
(47) Gli atti delegati che richiedono una certificazione europea obbligatoria della cibersicurezza dovrebbero determinare i prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti con elementi digitali critici di cui al presente regolamento che devono essere soggetti a certificazione obbligatoria, nonché il livello di garanzia richiesto, che dovrebbe essere almeno «sostanziale». Il livello di garanzia richiesto dovrebbe essere proporzionato al livello di rischio di cibersicurezza associato al prodotto con elementi digitali. Ad esempio, se il prodotto con elementi digitali ha la funzionalità principale di una categoria di prodotti con elementi digitali critici di cui al presente regolamento ed è destinato all’uso in un ambiente sensibile o critico, come i prodotti destinati all’uso dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555, esso può richiedere il livello di garanzia più elevato.
(48) Al fine di garantire una protezione comune adeguata della cibersicurezza nell’Unione per i prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti con elementi digitali critici di cui al presente regolamento, alla Commissione dovrebbe inoltre essere conferito il potere di adottare atti delegati per modificare il presente regolamento aggiungendo ulteriori categorie di prodotti con elementi digitali critici per le quali i fabbricanti potrebbero essere tenuti a ottenere un certificato europeo di cibersicurezza nell’ambito di un sistema europeo di certificazione della cibersicurezza a norma del regolamento (UE) 2019/881 per dimostrare la conformità al presente regolamento o ritirando categorie esistenti. Una nuova categoria di prodotti con elementi digitali critici può essere aggiunta a tali categorie se sussiste una dipendenza critica da essi da parte dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555 oppure se, in caso di incidenti o di vulnerabilità sfruttate, ciò potrebbe causare perturbazioni delle catene di approvvigionamento critiche. Nel valutare la necessità di aggiungere o ritirare categorie di prodotti con elementi digitali critici mediante un atto delegato, la Commissione dovrebbe poter considerare se gli Stati membri abbiano individuato a livello nazionale prodotti con elementi digitali che svolgono un ruolo critico per la resilienza dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555 e che affrontano in misura crescente attacchi informatici alla catena di approvvigionamento, con potenziali gravi effetti perturbatori. Inoltre, la Commissione dovrebbe poter tenere conto dell’esito della valutazione coordinata a livello dell’Unione del rischio per la sicurezza delle catene di approvvigionamento critiche effettuata a norma dell’articolo 22 della direttiva (UE) 2022/2555.
(49) La Commissione dovrebbe garantire che nell’elaborazione delle misure per l’attuazione del presente regolamento sia consultato un ampio ventaglio di pertinenti portatori di interessi in modo strutturato e regolare. Ciò dovrebbe valere in particolare quando la Commissione valuta la necessità di potenziali aggiornamenti degli elenchi delle categorie di prodotti con elementi digitali importanti o critici, caso in cui i pertinenti fabbricanti dovrebbero essere consultati e i loro pareri dovrebbero essere presi in considerazione al fine di analizzare i rischi di cibersicurezza e l’equilibrio tra costi e benefici della designazione di tali categorie di prodotti come importanti o critici.
(50) Il presente regolamento affronta i rischi di cibersicurezza in modo mirato. I prodotti con elementi digitali possono tuttavia comportare altri rischi di sicurezza che non sono sempre connessi alla cibersicurezza ma che possono essere la conseguenza di una violazione della sicurezza. Tali rischi dovrebbero continuare a essere regolamentati da altre normative di armonizzazione dell’Unione pertinenti diverse dal presente regolamento. Se non sono applicabili altre normative di armonizzazione dell’Unione diverse dal presente regolamento, essi dovrebbero essere soggetti al regolamento (UE) 2023/988 del Parlamento europeo e del Consiglio (21) .Pertanto, alla luce della natura mirata del presente regolamento, in deroga all’articolo 2, paragrafo 1, terzo comma, lettera b), del regolamento (UE) 2023/988, il capo III, sezione 1, i capi V e VII e i capi da IX a XI del regolamento (UE) 2023/988 dovrebbero applicarsi ai prodotti con elementi digitali per quanto riguarda i rischi di sicurezza non contemplati dal presente regolamento, qualora tali prodotti non siano soggetti a requisiti specifici stabiliti da altre normative di armonizzazione dell’Unione diverse dal presente regolamento ai sensi dell’articolo 3, punto 27), del regolamento (UE) 2023/988.
(51) I prodotti con elementi digitali classificati come sistemi di IA ad alto rischio a norma dell’articolo 6 del regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (22) che rientrano nell’ambito di applicazione del presente regolamento dovrebbero essere conformi ai requisiti essenziali di cibersicurezza stabiliti da quest’ultimo. Se soddisfano i requisiti essenziali di cibersicurezza stabiliti nel presente regolamento, tali sistemi di IA ad alto rischio dovrebbero essere considerati conformi ai requisiti di cibersicurezza stabiliti all’articolo 15 del regolamento (UE) 2024/1689 nella misura in cui tali requisiti siano contemplati dalla dichiarazione di conformità UE, o da sue parti, rilasciata a norma del presente regolamento. A tal fine la valutazione dei rischi di cibersicurezza associati a un prodotto con elementi digitali classificato come sistema di IA ad alto rischio a norma del regolamento (UE) 2024/1689 di cui si deve tenere conto durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto, come previsto dal presente regolamento, dovrebbe considerare i rischi alla ciberresilienza di un sistema di IA per quanto riguarda i tentativi di terzi non autorizzati di alterarne l’uso, il comportamento o le prestazioni, comprese le vulnerabilità specifiche dell’IA come l’avvelenamento dei dati o gli attacchi antagonistici, così come, se del caso, i rischi ai diritti fondamentali conformemente al regolamento (UE) 2024/1689. Per quanto riguarda le procedure di valutazione della conformità relative ai requisiti essenziali di cibersicurezza di un prodotto con elementi digitali che rientra nell’ambito di applicazione del presente regolamento e che è classificato come sistema di IA ad alto rischio, è opportuno che si applichi come norma generale l’articolo 43 del regolamento (UE) 2024/1689 anziché le pertinenti disposizioni del presente regolamento. Tuttavia tale norma non dovrebbe comportare una riduzione del livello di garanzia necessario per i prodotti con elementi digitali importanti o critici di cui al presente regolamento. Pertanto, in deroga a tale norma, i sistemi di IA ad alto rischio che rientrano nell’ambito di applicazione del regolamento (UE) 2024/1689 e che sono anche prodotti con elementi digitali importanti o critici di cui al presente regolamento e ai quali si applica la procedura di valutazione della conformità basata sul controllo interno di cui all’allegato VI del regolamento (UE) 2024/1689 dovrebbero essere soggetti alle procedure di valutazione della conformità di cui al presente regolamento per quanto riguarda i requisiti essenziali di cibersicurezza stabiliti nello stesso. In tal caso, per tutti gli altri aspetti contemplati dal regolamento (UE) 2024/1689, è opportuno applicare le pertinenti disposizioni in materia di valutazione della conformità basata sul controllo interno di cui all’allegato VI di tale regolamento.
(52) Per migliorare la sicurezza dei prodotti con elementi digitali immessi sul mercato interno occorre stabilire requisiti essenziali di cibersicurezza applicabili a tali prodotti. Tali requisiti essenziali di cibersicurezza non dovrebbero pregiudicare le valutazioni dei rischi di sicurezza coordinate a livello dell’Unione delle catene di approvvigionamento critiche di cui all’articolo 22 della direttiva (UE) 2022/2555, che tengono conto sia dei fattori di rischio tecnici sia, se pertinente, di quelli non tecnici, come l’indebita influenza di un paese terzo sui fornitori. Inoltre non dovrebbero pregiudicare la prerogativa degli Stati membri di stabilire requisiti aggiuntivi che tengano conto di fattori non tecnici al fine di garantire un livello elevato di resilienza, compresi quelli definiti nella raccomandazione (UE) 2019/534 della Commissione (23), nella valutazione dei rischi coordinata dell’UE della cibersicurezza delle reti 5G e nel pacchetto di strumenti dell’UE sulla cibersicurezza del 5G concordato dal gruppo di cooperazione istituito a norma dell’articolo 14 della direttiva (UE) 2022/2555.
(53) I fabbricanti di prodotti che rientrano nell’ambito di applicazione del regolamento (UE) 2023/1230 del Parlamento europeo e del Consiglio (24) che sono anche prodotti con elementi digitali come definiti nel presente regolamento dovrebbero rispettare sia i requisiti essenziali di cui al presente regolamento sia i requisiti essenziali di cibersicurezza di cui al presente regolamento e di tutela della salute di cui al regolamento (UE) 2023/1230. I requisiti essenziali di cibersicurezza di cui al presente regolamento e alcuni requisiti essenziali stabiliti nel regolamento (UE) 2023/1230 potrebbero affrontare rischi di cibersicurezza simili. La conformità ai requisiti essenziali di cibersicurezza di cui al presente regolamento potrebbe pertanto facilitare la conformità ai requisiti essenziali che coprono anche determinati rischi di cibersicurezza di cui al regolamento (UE) 2023/1230, in particolare quelli riguardanti la protezione contro la corruzione e la sicurezza e l’affidabilità dei sistemi di controllo di cui all’allegato III, sezioni 1.1.9 e 1.2.1, di tale regolamento. Tali sinergie devono essere dimostrate dal fabbricante, ad esempio attraverso l’applicazione, se disponibili, di norme armonizzate o altre specifiche tecniche riguardanti i requisiti essenziali di cibersicurezza pertinenti a seguito di una valutazione dei rischi che copra tali rischi di cibersicurezza. Il fabbricante dovrebbe inoltre seguire le procedure di valutazione della conformità applicabili di cui al presente regolamento e al regolamento (UE) 2023/1230. La Commissione e le organizzazioni europee di normazione, nei lavori preparatori a sostegno dell’attuazione del presente regolamento e del regolamento (UE) 2023/1230 e dei relativi processi di normazione, dovrebbero promuovere la coerenza nel modo in cui sono valutati i rischi di cibersicurezza e nel modo in cui tali rischi devono essere contemplati da norme armonizzate per quanto riguarda i requisiti essenziali pertinenti. In particolare, la Commissione e le organizzazioni europee di normazione dovrebbero tenere conto del presente regolamento nella preparazione e nello sviluppo di norme armonizzate per agevolare l’attuazione del regolamento (UE) 2023/1230 per quanto concerne, in particolare, gli aspetti di cibersicurezza relativi alla protezione contro la corruzione e la sicurezza e l’affidabilità dei sistemi di controllo di cui all’allegato III, sezioni 1.1.9 e 1.2.1, di tale regolamento. La Commissione dovrebbe fornire orientamenti per sostenere i fabbricanti soggetti al presente regolamento che sono anche soggetti al regolamento (UE) 2023/1230, in particolare per facilitare la dimostrazione della conformità ai pertinenti requisiti essenziali di cui al presente regolamento e al regolamento (UE) 2023/1230.
(54) Al fine di garantire che i prodotti con elementi digitali siano sicuri sia al momento dell’immissione sul mercato sia durante il periodo in cui si prevede di utilizzare il prodotto con elementi digitali, è necessario stabilire requisiti essenziali di cibersicurezza per la gestione delle vulnerabilità e requisiti essenziali di cibersicurezza relativi alle proprietà dei prodotti con elementi digitali. Se da un lato i fabbricanti dovrebbero soddisfare tutti i requisiti essenziali di cibersicurezza relativi alla gestione delle vulnerabilità per tutto il periodo di assistenza, dall’altro dovrebbero determinare quali altri requisiti essenziali relativi alle proprietà del prodotto sono pertinenti per il tipo di prodotto con elementi digitali in questione. A tal fine è opportuno che i fabbricanti effettuino una valutazione dei rischi di cibersicurezza associati a un prodotto con elementi digitali per identificare i rischi e i requisiti essenziali di cibersicurezza pertinenti per rendere disponibili i loro prodotti con elementi digitali senza vulnerabilità note sfruttabili che possano avere un impatto sulla sicurezza di tali prodotti e per applicare in modo appropriato le norme armonizzate, le specifiche comuni o le norme europee o internazionali adeguate.
(55) Se alcuni requisiti essenziali di cibersicurezza non sono applicabili a un prodotto con elementi digitali, il fabbricante dovrebbe fornire una chiara giustificazione nella valutazione dei rischi di cibersicurezza inclusa nella documentazione tecnica. Ciò potrebbe verificarsi quando un requisito essenziale di cibersicurezza è incompatibile con la natura di un prodotto con elementi digitali. Ad esempio, la finalità prevista di un prodotto con elementi digitali può imporre al fabbricante di seguire norme di interoperabilità ampiamente riconosciute anche se le relative caratteristiche di sicurezza non sono più considerate all’avanguardia. Analogamente, altre disposizioni di diritto dell’Unione impongono ai fabbricanti di applicare specifici requisiti in materia di interoperabilità. Qualora un requisito essenziale di cibersicurezza non sia applicabile a un prodotto con elementi digitali ma il fabbricante abbia individuato rischi di cibersicurezza in relazione a tale requisito essenziale di cibersicurezza, dovrebbe adottare misure per affrontare tali rischi con altri mezzi, ad esempio limitando la finalità prevista del prodotto ad ambienti sicuri o informando gli utilizzatori di tali rischi.
(56) Una delle misure più importanti che gli utilizzatori possono adottare per proteggere i loro prodotti con elementi digitali da attacchi informatici consiste nell’installare quanto prima gli ultimi aggiornamenti di sicurezza disponibili. I fabbricanti dovrebbero pertanto progettare i prodotti e mettere in atto processi per far sì che i prodotti con elementi digitali includano funzioni che consentano la notifica, la distribuzione, il download e l’installazione di aggiornamenti di sicurezza in modo automatico, specie nel caso dei prodotti di consumo. Dovrebbero inoltre prevedere la possibilità di approvare il download e l’installazione degli aggiornamenti di sicurezza come ultimo passaggio. Agli utilizzatori dovrebbe essere garantita la possibilità di disattivare gli aggiornamenti automatici attraverso un sistema chiaro e di facile utilizzo, supportato da istruzioni chiare sulla procedura di disattivazione. I requisiti relativi agli aggiornamenti automatici di cui all’allegato del presente regolamento non si applicano ai prodotti con elementi digitali destinati principalmente a essere integrati come componenti in altri prodotti. Esse non si applicano neppure ai prodotti con elementi digitali per i quali gli utilizzatori non si attenderebbero ragionevolmente aggiornamenti automatici, compresi i prodotti con elementi digitali destinati a essere utilizzati nelle reti TIC professionali, e in particolare in ambienti critici e industriali in cui un aggiornamento automatico potrebbe interferire con le operazioni. Indipendentemente dal fatto che un prodotto con elementi digitali sia progettato o meno per ricevere aggiornamenti automatici, il fabbricante dovrebbe informare gli utilizzatori in merito alle vulnerabilità e rendere disponibili senza indugio gli aggiornamenti di sicurezza. Se un prodotto con elementi digitali dispone di un’interfaccia utente o di mezzi tecnici analoghi che consentono un’interazione diretta con i suoi utilizzatori, il fabbricante dovrebbe utilizzare tali funzionalità per informare gli utilizzatori che il suo prodotto con elementi digitali ha raggiunto la fine del periodo di assistenza. Le notifiche dovrebbero limitarsi a quanto necessario per garantire l’effettiva ricezione di tali informazioni e non dovrebbero avere un impatto negativo sull’esperienza di chi utilizza il prodotto con elementi digitali.
(57) Per migliorare la trasparenza dei processi di gestione delle vulnerabilità e garantire che gli utilizzatori non siano tenuti a installare nuovi aggiornamenti di funzionalità al solo scopo di ricevere gli ultimi aggiornamenti di sicurezza, i fabbricanti dovrebbero garantire, ove tecnicamente fattibile, che i nuovi aggiornamenti di sicurezza siano forniti separatamente dagli aggiornamenti di funzionalità.
(58) La comunicazione congiunta della Commissione e dell’alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, del 20 giugno 2023, dal titolo «Strategia europea per la sicurezza economica» ha affermato che l’Unione deve massimizzare i benefici della sua apertura economica, riducendo al contempo il più possibile i rischi derivanti dalla dipendenza economica da fornitori ad alto rischio, attraverso un quadro strategico comune per la sicurezza economica dell’Unione. La dipendenza da fornitori ad alto rischio di prodotti con elementi digitali può comportare un rischio strategico che deve essere affrontato a livello dell’Unione, in particolare quando i prodotti con elementi digitali sono destinati a essere usati dai soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555. Tali rischi possono essere connessi, ma non solo, a fattori come la giurisdizione applicabile al fabbricante, le caratteristiche della sua proprietà aziendale e i legami di controllo con il governo di un paese terzo in cui esso è stabilito, in particolare se un paese terzo conduce uno spionaggio economico o assume un comportamento irresponsabile nel ciberspazio e se la sua legislazione consente l’accesso arbitrario a qualsiasi tipo di attività o dati aziendali, compresi i dati commercialmente sensibili, e può imporre obblighi a fini di intelligence senza un sistema democratico di bilanciamento dei poteri, meccanismi di controllo, un giusto processo o il diritto di appellarsi a un organo giurisdizionale indipendente. Nel determinare la rilevanza di un rischio di cibersicurezza a norma del presente regolamento, la Commissione e le autorità di vigilanza del mercato, in base alle loro responsabilità stabilite nel presente regolamento, dovrebbero tenere conto anche dei fattori di rischio non tecnici, in particolare quelli stabiliti a seguito di valutazioni coordinate a livello dell’Unione del rischio per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell’articolo 22 della direttiva (UE) 2022/2555.
(59) Al fine di garantire la sicurezza dei prodotti con elementi digitali dopo la loro immissione sul mercato, i fabbricanti dovrebbero stabilire un periodo di assistenza che dovrebbe riflettere il tempo in cui si prevede che il prodotto con elementi digitali rimarrà in uso. Nel determinare un periodo di assistenza, il fabbricante dovrebbe tenere conto in particolare delle ragionevoli aspettative degli utilizzatori, della natura del prodotto e delle pertinenti norme dell’Unione che determinano la durata dei prodotti con elementi digitali. I fabbricanti dovrebbero inoltre poter tenere conto di altri fattori pertinenti. I criteri dovrebbero essere applicati in modo da garantire la proporzionalità nella determinazione del periodo di assistenza. Su richiesta, il fabbricante dovrebbe fornire alle autorità di vigilanza del mercato le informazioni di cui ha tenuto conto nel determinare il periodo di assistenza di un prodotto con elementi digitali.
(60) Il periodo di assistenza durante il quale il fabbricante garantisce la gestione efficace delle vulnerabilità non dovrebbe essere inferiore a cinque anni, a meno che la durata del prodotto con elementi digitali sia inferiore a cinque anni, nel qual caso il fabbricante dovrebbe garantire la gestione delle vulnerabilità per tale durata. Qualora ritengano ragionevolmente che il prodotto con elementi digitali rimarrà in uso per una durata superiore a cinque anni, come spesso avviene nel caso di componenti hardware quali schede madri o microprocessori, dispositivi di rete come router, modem o commutatori, nonché software quali sistemi operativi o strumenti di video-editing, i fabbricanti dovrebbero conseguentemente garantire periodi di assistenza più lunghi. In particolare, i prodotti con elementi digitali destinati a essere utilizzati in contesti industriali, come i sistemi di controllo industriale, restano spesso in uso per periodi di tempo notevolmente superiori. Un fabbricante dovrebbe poter definire un periodo di assistenza inferiore a cinque anni solo se ciò è giustificato dalla natura del prodotto con elementi digitali in questione e se si prevede che tale prodotto sarà utilizzato per meno di cinque anni, nel qual caso il periodo di assistenza dovrebbe corrispondere alla durata di utilizzo prevista. Ad esempio, la durata di un’applicazione per il tracciamento dei contatti destinata ad essere utilizzata durante una pandemia potrebbe essere limitata alla durata di tale pandemia. Inoltre, alcune applicazioni software possono, per loro natura, essere messe a disposizione solo sulla base di un modello di abbonamento, in particolare quando l’applicazione diventa indisponibile per l’utilizzatore e di conseguenza non è più in uso alla scadenza dell’abbonamento.
(61) Per garantire la gestione delle vulnerabilità una volta terminato il periodo di assistenza dei prodotti con elementi digitali, i fabbricanti dovrebbero prendere in considerazione la possibilità di divulgare il codice sorgente di tali prodotti con elementi digitali ad altre imprese che si impegnano a prolungare la prestazione di servizi di gestione delle vulnerabilità oppure al pubblico. Qualora divulghino il codice sorgente ad altre imprese, i fabbricanti dovrebbero poter proteggere la titolarità del prodotto con elementi digitali e impedire la diffusione del codice sorgente al pubblico, ad esempio mediante accordi contrattuali.
(62) Per far sì che i fabbricanti in tutta l’Unione prevedano periodi di assistenza simili per prodotti con elementi digitali comparabili, l’ADCO dovrebbe pubblicare statistiche sui periodi di assistenza medi stabiliti dai fabbricanti per le categorie di prodotti con elementi digitali e divulgare orientamenti che indichino i periodi di assistenza adeguati per tali categorie. Inoltre, al fine di garantire un approccio armonizzato in tutto il mercato interno, la Commissione dovrebbe poter adottare atti delegati per specificare i periodi minimi di assistenza per determinate categorie di prodotti qualora i dati forniti dalle autorità di vigilanza del mercato suggeriscano che i periodi di assistenza stabiliti dai fabbricanti si discostano sistematicamente dai criteri per la determinazione dei periodi di assistenza stabiliti nel presente regolamento o che i fabbricanti di diversi Stati membri determinano periodi di assistenza diversi senza valido motivo.
(63) I fabbricanti dovrebbero istituire un punto di contatto unico che consenta agli utilizzatori di comunicare facilmente con loro, anche al fine di segnalare le vulnerabilità del prodotto con elementi digitali e di ricevere informazioni su tali vulnerabilità. Essi dovrebbero far sì che il punto di contatto sia facilmente accessibile agli utilizzatori, indicandone chiaramente la disponibilità e mantenendo aggiornate le relative informazioni. Se scelgono di offrire strumenti automatizzati, ad esempio chat box, i fabbricanti dovrebbero mettere a disposizione anche un numero di telefono o altri mezzi di contatto digitali, come un indirizzo di posta elettronica o un modulo di contatto. Il punto di contatto unico non dovrebbe basarsi esclusivamente su strumenti automatizzati.
(64) I fabbricanti dovrebbero mettere a disposizione sul mercato i loro prodotti con elementi digitali con una configurazione sicura per impostazione predefinita e fornire gratuitamente gli aggiornamenti di sicurezza agli utilizzatori. I fabbricanti dovrebbero potersi discostare dai requisiti essenziali di cibersicurezza solo nel caso di prodotti su misura installati per uno scopo particolare e per un determinato utilizzatore commerciale e solo se il fabbricante e l’utilizzatore hanno esplicitamente concordato un insieme diverso di clausole contrattuali.
(65) I fabbricanti dovrebbero notificare simultaneamente al team di risposta agli incidenti di sicurezza informatica ( computer security incident response team - CSIRT) designato come coordinatore e all’ENISA, attraverso la piattaforma unica di segnalazione, le vulnerabilità attivamente sfruttate contenute nei prodotti con elementi digitali come pure gli incidenti gravi che hanno un impatto sulla sicurezza di tali prodotti. Le notifiche dovrebbero essere trasmesse utilizzando il terminale per la notifica elettronica di un CSIRT designato come coordinatore e dovrebbero essere contemporaneamente accessibili all’ENISA.
(66) I fabbricanti dovrebbero notificare le vulnerabilità attivamente sfruttate per garantire che i CSIRT designati come coordinatori e l’ENISA dispongano di una panoramica adeguata di tali vulnerabilità e ricevano le informazioni necessarie per svolgere i loro compiti di cui alla direttiva (UE) 2022/2555 e innalzare il livello generale di cibersicurezza dei soggetti essenziali e importanti di cui all’articolo 3 di tale direttiva, nonché per garantire il funzionamento efficace delle autorità di vigilanza del mercato. Poiché la maggior parte dei prodotti con elementi digitali è commercializzata sull’intero mercato interno, qualsiasi vulnerabilità sfruttata in un prodotto con elementi digitali dovrebbe essere considerata una minaccia al funzionamento del mercato interno. L’ENISA, di comune accordo con il fabbricante, dovrebbe divulgare le vulnerabilità risolte alla banca dati europea delle vulnerabilità istituita a norma dell’articolo 12, paragrafo 2, della direttiva (UE) 2022/2555. La banca dati europea delle vulnerabilità aiuterà i fabbricanti a individuare le vulnerabilità note sfruttabili riscontrate nei loro prodotti, al fine di garantire l’immissione sul mercato di prodotti sicuri.
(67) I fabbricanti dovrebbero anche notificare qualsiasi incidente grave che abbia un impatto sulla sicurezza del prodotto con elementi digitali al CSIRT designato come coordinatore e all’ENISA. Per far sì che gli utilizzatori possano reagire rapidamente agli incidenti gravi che hanno un impatto sulla sicurezza dei loro prodotti con elementi digitali, i fabbricanti dovrebbero inoltre informare gli utilizzatori di tali incidenti e, se del caso, di eventuali misure correttive che gli utilizzatori potrebbero adottare per attenuarne l’impatto, ad esempio attraverso la pubblicazione di informazioni pertinenti sui propri siti web o il contatto diretto, qualora il fabbricante sia in grado di contattare gli utilizzatori e ciò sia giustificato dai rischi di cibersicurezza.
(68) Con vulnerabilità attivamente sfruttate si indicano casi in cui un fabbricante ha stabilito che una violazione della sicurezza commessa a scapito dei suoi utilizzatori o di qualsiasi altra persona fisica o giuridica è imputabile a un soggetto malintenzionato, il quale ha sfruttato un difetto a livello di uno dei prodotti con elementi digitali messi a disposizione sul mercato dal fabbricante. Tali vulnerabilità possono comprendere ad esempio carenze nelle funzioni di identificazione e autenticazione di un prodotto. Le vulnerabilità individuate senza intento doloso e a scopo di prova, indagine, correzione o divulgazione in buona fede per promuovere la sicurezza del proprietario del sistema e dei suoi utilizzatori non dovrebbero essere soggette a notifica obbligatoria. Gli incidenti gravi che hanno un impatto sulla sicurezza del prodotto con elementi digitali si riferiscono invece a situazioni in cui un incidente di cibersicurezza influisce sui processi di sviluppo, produzione o manutenzione del fabbricante in modo tale da comportare un potenziale aumento del rischio di cibersicurezza per gli utilizzatori o altre persone. Tra gli esempi di incidenti gravi rientra ad esempio il caso di un soggetto malintenzionato che sia riuscito a inserire codice maligno nel canale di diffusione tramite il quale il fabbricante rilascia gli aggiornamenti di sicurezza agli utilizzatori.
(69) Per garantire la diffusione rapida delle notifiche a tutti i CSIRT pertinenti designati come coordinatori e per consentire ai fabbricanti di trasmettere una sola notifica in ogni fase del processo di notifica, l’ENISA dovrebbe istituire una piattaforma unica di segnalazione con terminali per la notifica elettronica a livello nazionale. Le operazioni quotidiane della piattaforma unica di segnalazione dovrebbero essere gestite e mantenute dall’ENISA. I CSIRT designati come coordinatori dovrebbero informare le rispettive autorità di vigilanza del mercato in merito alle vulnerabilità o agli incidenti notificati. La piattaforma unica di segnalazione dovrebbe essere progettata in modo da garantire la riservatezza delle notifiche, specie per quanto riguarda le vulnerabilità per le quali non è ancora disponibile un aggiornamento di sicurezza. Inoltre, l’ENISA dovrebbe attuare procedure che permettano di trattare le informazioni in modo sicuro e riservato. Sulla base delle informazioni raccolte, l’ENISA dovrebbe preparare una relazione tecnica biennale sulle tendenze emergenti relative ai rischi di cibersicurezza nei prodotti con elementi digitali e presentarla al gruppo di cooperazione istituito a norma dell’articolo 14 della direttiva (UE) 2022/2555.
(70) In circostanze eccezionali e in particolare su richiesta del fabbricante, il CSIRT designato come coordinatore che ha ricevuto per primo una notifica dovrebbe avere la facoltà di decidere di ritardarne la diffusione agli altri CSIRT pertinenti designati come coordinatori attraverso la piattaforma unica di segnalazione, se ciò può essere giustificato da motivi connessi alla cibersicurezza e per il periodo di tempo strettamente necessario. Il CSIRT designato come coordinatore dovrebbe informare immediatamente l’ENISA in merito alla decisione di ritardare la diffusione e ai relativi motivi, indicando inoltre il momento in cui intende procedere con l’ulteriore diffusione. La Commissione dovrebbe elaborare, mediante un atto delegato, specifiche sui termini e sulle condizioni per l’eventuale applicazione di motivi connessi alla cibersicurezza e dovrebbe cooperare con la rete di CSIRT istituita a norma dell’articolo 15 della direttiva (UE) 2022/2555 e con l’ENISA nella preparazione del progetto di atto delegato. Tra gli esempi di motivi connessi alla cibersicurezza figurano il fatto che vi sia una procedura di divulgazione coordinata delle vulnerabilità in corso o situazioni in cui un fabbricante è tenuto a fornire una misura di attenuazione in tempi brevi e i rischi di cibersicurezza derivanti da una diffusione immediata attraverso la piattaforma unica di segnalazione superano i benefici. Se richiesto dal CSIRT designato come coordinatore, l’ENISA dovrebbe essere poter sostenerlo nell’applicazione i motivi connessi alla cibersicurezza relativamente al ritardo nella diffusione della notifica sulla base delle informazioni che l’ENISA ha ricevuto da tale CSIRT in merito alla decisione di trattenere la notifica per tali motivi di cibersicurezza. Inoltre, in circostanze particolarmente eccezionali, l’ENISA non dovrebbe ricevere simultaneamente tutti i dettagli della notifica di una vulnerabilità attivamente sfruttata. Si pensi ad esempio a una situazione in cui il fabbricante ha indicato nella notifica che la vulnerabilità notificata è stata attivamente sfruttata da un soggetto malintenzionato ma, in base alle informazioni disponibili, non è stata sfruttata in altri Stati membri oltre a quello del CSIRT designato come coordinatore al quale il fabbricante ha notificato la vulnerabilità, e laddove un’ulteriore diffusione immediata della vulnerabilità notificata comporterebbe probabilmente la fornitura di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali di tale Stato membro o laddove l’ulteriore diffusione della vulnerabilità notificata si tradurrebbe in un rischio di cibersicurezza elevato e imminente. In tali situazioni, l’ENISA riceverà l’accesso simultaneo unicamente all’informazione dell’avvenuta notifica da parte del fabbricante, alle informazioni generali sul prodotto con elementi digitali in questione, alle informazioni sulla natura generale dello sfruttamento e alla comunicazione del fatto che il fabbricante ha sollevato tali motivi di sicurezza e ha pertanto trattenuto il contenuto integrale della notifica. La notifica completa dovrebbe quindi essere messa a disposizione dell’ENISA e degli altri CSIRT pertinenti designati come coordinatori nel momento in cui il CSIRT designato come coordinatore che ha ricevuto la notifica per primo constata che tali motivi di sicurezza, che riflettono circostanze particolarmente eccezionali come stabilito nel presente regolamento, cessano di esistere. Se, sulla base delle informazioni disponibili, ritiene che vi sia un rischio sistemico capace di incidere sulla sicurezza del mercato interno, l’ENISA dovrebbe raccomandare al CSIRT ricevente di diffondere la notifica completa agli altri CSIRT designati come coordinatori e all’ENISA stessa.
(71) Quando notificano una vulnerabilità attivamente sfruttata o un incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali, i fabbricanti dovrebbero indicare il grado di sensibilità da loro attribuito alle informazioni notificate. Il CSIRT designato come coordinatore che ha ricevuto la notifica per primo dovrebbe tenere conto di tali informazioni nel valutare se la notifica dia luogo a circostanze eccezionali tali da giustificare un ritardo nella diffusione della notifica agli altri CSIRT pertinenti designati come coordinatori sulla base di giustificati motivi connessi alla cibersicurezza. Dovrebbe inoltre tenere conto di tali informazioni nel valutare se la notifica di una vulnerabilità attivamente sfruttata dia luogo a circostanze particolarmente eccezionali tali da giustificare il rifiuto di mettere a disposizione dell’ENISA la notifica completa simultaneamente. Infine, i CSIRT designati come coordinatori dovrebbero poter tenere conto di tali informazioni nel determinare le misure appropriate per attenuare i rischi derivanti da tali vulnerabilità e incidenti.
(72) Al fine di semplificare la segnalazione delle informazioni richieste a norma del presente regolamento, tenuto conto degli altri obblighi di segnalazione complementari stabiliti dal diritto dell’Unione, quali il regolamento (UE) 2016/679, il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (25), la direttiva n. 2002/58/CE del Parlamento europeo e del Consiglio (26) e la direttiva (UE) 2022/2555, e al fine di ridurre gli oneri amministrativi per i soggetti, gli Stati membri sono incoraggiati a valutare la possibilità di istituire punti di accesso unici a livello nazionale per tali obblighi di comunicazione. L’uso di tali punti di accesso unici a livello nazionale per la segnalazione di incidenti di sicurezza a norma del regolamento (UE) 2016/679 e della direttiva 2002/58/CE non dovrebbe pregiudicare l’applicazione delle disposizioni di cui al regolamento (UE) 2016/679 e alla direttiva 2002/58/CE, in particolare quelle relative all’indipendenza delle autorità ivi menzionate. Nell’istituire la piattaforma unica di segnalazione di cui al presente regolamento, l’ENISA dovrebbe tenere conto della possibilità che i terminali per la notifica elettronica a livello nazionale di cui al presente regolamento siano integrati nei punti di accesso unici nazionali, che possono anche integrare altre notifiche richieste dal diritto dell’Unione.
(73) Nell’istituire la piattaforma unica di segnalazione di cui al presente regolamento e al fine di beneficiare dell’esperienza passata, l’ENISA dovrebbe consultare altre istituzioni o agenzie dell’Unione che gestiscono piattaforme o banche dati soggette a rigorosi requisiti di sicurezza, come l’Agenzia dell’Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA). L’ENISA dovrebbe inoltre esaminare le potenziali complementarità con la banca dati europea delle vulnerabilità istituita a norma dell’articolo 12, paragrafo 2, della direttiva (UE) 2022/2555.
(74) I fabbricanti e le altre persone fisiche e giuridiche dovrebbero poter notificare a un CSIRT designato come coordinatore o all’ENISA, su base volontaria, qualsiasi vulnerabilità contenuta in un prodotto con elementi digitali, qualsiasi minaccia informatica che potrebbe incidere sul profilo di rischio di un prodotto con elementi digitali, qualsiasi incidente che abbia un impatto sulla sicurezza del prodotto con elementi digitali nonché qualsiasi quasi incidente che avrebbe potuto tradursi in un simile incidente.
(75) Gli Stati membri dovrebbero mirare ad affrontare, nella misura del possibile, le sfide incontrate dagli esperti che fanno ricerca sulle vulnerabilità, compresa la loro potenziale esposizione alla responsabilità penale, conformemente al diritto nazionale. Dato che in alcuni Stati membri le persone fisiche e giuridiche che fanno ricerca sulle vulnerabilità potrebbero essere esposte alla responsabilità penale e civile, gli Stati membri sono incoraggiati ad adottare orientamenti per quanto riguarda la non perseguibilità dei ricercatori in materia di sicurezza delle informazioni e l’esenzione dalla responsabilità civile per le loro attività.
(76) I fabbricanti di prodotti con elementi digitali dovrebbero mettere in atto politiche di divulgazione coordinata delle vulnerabilità per facilitare la segnalazione delle vulnerabilità da parte di individui o soggetti direttamente al fabbricante o indirettamente e, qualora sia richiesto di procedere in forma anonima, tramite i CSIRT designati come coordinatori ai fini della divulgazione coordinata delle vulnerabilità a norma dell’articolo 12, paragrafo 1, della direttiva (UE) 2022/2555. La politica di divulgazione coordinata delle vulnerabilità dei fabbricanti dovrebbe indicare un processo strutturato attraverso il quale le vulnerabilità sono segnalate al fabbricante in modo da consentire a quest’ultimo di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano comunicate a terzi o al pubblico. Inoltre, i fabbricanti dovrebbero prendere in considerazione la possibilità di pubblicare le loro politiche di sicurezza in un formato leggibile da un dispositivo automatico. Dato che le informazioni sulle vulnerabilità sfruttabili in prodotti con elementi digitali di largo consumo possono essere vendute a prezzi elevati sul mercato nero, i fabbricanti di tali prodotti, nell’ambito delle loro politiche di divulgazione coordinata delle vulnerabilità, dovrebbero poter utilizzare programmi volti a incentivare la segnalazione delle vulnerabilità garantendo che individui o soggetti ricevano un riconoscimento e un compenso per i loro sforzi. Si tratta dei cosiddetti «programmi di bug bounty».
(77) Per facilitare l’analisi delle vulnerabilità, i fabbricanti dovrebbero individuare e documentare i componenti contenuti nei prodotti con elementi digitali, creando anche una distinta base del software. Una distinta base del software può fornire a coloro che realizzano, acquistano e utilizzano il software informazioni che migliorano la loro comprensione della catena di approvvigionamento, con molteplici vantaggi, in particolare quello di aiutare i fabbricanti e gli utilizzatori a tenere traccia delle vulnerabilità e dei rischi di cibersicurezza. È particolarmente importante che i fabbricanti garantiscano che i loro prodotti con elementi digitali non contengono componenti vulnerabili sviluppati da terzi. I fabbricanti non dovrebbero essere obbligati a rendere pubblica la distinta base del software.
(78) Nell’ambito dei nuovi e complessi modelli aziendali legati alle vendite online, un’impresa operante online può fornire una molteplicità di servizi. A seconda della natura dei servizi forniti in relazione a un determinato prodotto con elementi digitali, lo stesso soggetto può rientrare in diverse categorie di modelli aziendali o operatori economici. Se un soggetto fornisce solo servizi di intermediazione online per un dato prodotto con elementi digitali ed è unicamente un fornitore di un mercato online quale definito all’articolo 3, paragrafo 14, del regolamento (UE) 2023/988, tale soggetto non rientra in una delle tipologie di operatore economico di cui al presente regolamento. Qualora lo stesso soggetto sia un fornitore di un mercato online e agisca anche in qualità di operatore economico quale definito nel presente regolamento per la vendita di prodotti con elementi digitali, esso dovrebbe essere soggetto agli obblighi di cui al presente regolamento per quel tipo di operatore economico. Ad esempio, se il fornitore di un mercato online distribuisce anche un prodotto con elementi digitali, ai fini della vendita di tale prodotto sarebbe considerato un distributore. Parimenti, se il soggetto in questione vendesse i prodotti con elementi digitali con il proprio marchio, sarebbe considerato fabbricante e dovrebbe quindi rispettare i requisiti applicabili ai fabbricanti. Inoltre, alcuni soggetti possono essere considerati fornitori di servizi di logistica a norma dell’articolo 3, paragrafo 11, del regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio (27), se offrono tali servizi. Si tratta di casi che vanno valutati individualmente. Dato il ruolo di primo piano svolto dai mercati online nel consentire il commercio elettronico, essi dovrebbero adoperarsi per cooperare con le autorità di vigilanza del mercato degli Stati membri al fine di aiutare a garantire che i prodotti con elementi digitali acquistati attraverso mercati online siano conformi ai requisiti di cibersicurezza di cui al presente regolamento.
(79) Al fine di facilitare la valutazione della conformità ai requisiti stabiliti dal presente regolamento, è opportuno che vi sia una presunzione di conformità per i prodotti con elementi digitali conformi alle norme armonizzate che traducono i requisiti essenziali di cibersicurezza stabiliti nel presente regolamento in specifiche tecniche dettagliate e che sono adottate conformemente al regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (28) . Tale regolamento prevede una procedura di obiezione a norme armonizzate che non soddisfano completamente i requisiti stabiliti nel presente regolamento. Il processo di normazione dovrebbe garantire una rappresentazione equilibrata degli interessi e un’effettiva partecipazione dei portatori di interessi della società civile, comprese le organizzazioni dei consumatori. È opportuno tenere conto anche delle norme internazionali allineate con il livello di protezione della cibersicurezza perseguito dai requisiti essenziali di cibersicurezza di cui al presente regolamento, al fine di agevolare l’elaborazione di norme armonizzate e l’attuazione del presente regolamento, nonché di agevolare la conformità per le imprese, in particolare le microimprese e le piccole e medie imprese e quelle che operano a livello mondiale.
(80) L’elaborazione tempestiva di norme armonizzate durante il periodo di transizione per l’applicazione del presente regolamento e la loro disponibilità prima della data di applicazione del presente regolamento saranno particolarmente importanti per la sua effettiva attuazione. Ciò vale in modo particolare per i prodotti con elementi digitali importanti rientranti nella classe I. La disponibilità di norme armonizzate consentirà ai fabbricanti di tali prodotti di effettuare le valutazioni della conformità attraverso la procedura di controllo interno e può pertanto evitare strozzature e ritardi nelle attività degli organismi di valutazione della conformità.
(81) Il regolamento (UE) 2019/881 istituisce un quadro volontario europeo di certificazione della cibersicurezza per i prodotti, i servizi e i processi TIC. I sistemi europei di certificazione della cibersicurezza forniscono un quadro comune di fiducia per gli utilizzatori dei prodotti con elementi digitali rientranti nell’ambito del presente regolamento. Il presente regolamento dovrebbe pertanto creare sinergie con il regolamento (UE) 2019/881. Al fine di facilitare la valutazione della conformità ai requisiti stabiliti nel presente regolamento, i prodotti con elementi digitali che sono certificati o per i quali è stata rilasciata una dichiarazione di conformità nell’ambito di un sistema di cibersicurezza europeo a norma del regolamento (UE) 2019/881 che sia stato identificato dalla Commissione in un atto di esecuzione sono considerati conformi ai requisiti essenziali di cibersicurezza di cui al presente regolamento nella misura in cui tali requisiti siano contemplati nel certificato di cibersicurezza o nella dichiarazione di conformità europei o in parti di essi. La necessità di nuovi sistemi europei di certificazione della cibersicurezza per i prodotti con elementi digitali dovrebbe essere valutata alla luce del presente regolamento, anche nell’ambito della preparazione del programma di lavoro progressivo dell’Unione a norma del regolamento (UE) 2019/881. Qualora si renda necessario un nuovo sistema per i prodotti con elementi digitali, anche al fine di agevolare il rispetto del presente regolamento, la Commissione può chiedere all’ENISA di preparare proposte di sistemi conformemente all’articolo 48 del regolamento (UE) 2019/881. Tali futuri sistemi europei di certificazione della cibersicurezza relativi ai prodotti con elementi digitali dovrebbero tenere conto dei requisiti essenziali di cibersicurezza e delle procedure di valutazione della conformità stabiliti nel presente regolamento e facilitare la conformità a quest’ultimo. Per i sistemi europei di certificazione della cibersicurezza che entrano in vigore prima dell’entrata in vigore del presente regolamento, possono rendersi necessarie ulteriori specifiche su aspetti particolari delle modalità di applicazione della presunzione di conformità. Alla Commissione dovrebbe essere conferito il potere di specificare, mediante atti delegati, a quali condizioni i sistemi europei di certificazione della cibersicurezza possono essere utilizzati per dimostrare la conformità ai requisiti essenziali di cibersicurezza stabiliti nel presente regolamento. Inoltre, onde evitare un onere amministrativo indebito a carico dei fabbricanti, non dovrebbe esistere alcun obbligo per i fabbricanti di effettuare una valutazione della conformità da parte di terzi, come previsto dal presente regolamento per i requisiti corrispondenti, se è stato rilasciato un certificato di cibersicurezza europeo nell’ambito di tali sistemi europei di certificazione della cibersicurezza con un livello almeno «sostanziale».
(82) All’entrata in vigore del regolamento di esecuzione (UE) 2024/482 che riguarda i prodotti rientranti nell’ambito del presente regolamento, come i microprocessori e i moduli di sicurezza dell’hardware, la Commissione dovrebbe essere poter specificare, mediante un atto delegato, come tale sistema conferisca una presunzione di conformità ai requisiti essenziali di cibersicurezza di cui al presente regolamento o a sue parti. Inoltre tale atto delegato può specificare in che modo un certificato rilasciato nell’ambito del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni sopprima l’obbligo per i fabbricanti di effettuare una valutazione da parte di terzi, come previsto a norma del presente regolamento per i requisiti corrispondenti.
(83) L’attuale quadro europeo in materia di normalizzazione, basato sui principi della nuova strategia stabiliti nella risoluzione del Consiglio, del 7 maggio 1985, relativa ad una nuova strategia in materia di armonizzazione tecnica e normalizzazione e sul regolamento (UE) n. 1025/2012, rappresenta il quadro predefinito per l’elaborazione di norme che conferiscano una presunzione di conformità ai pertinenti requisiti essenziali di cibersicurezza di cui al presente regolamento. Le norme europee dovrebbero essere orientate al mercato e tenere conto dell’interesse pubblico, nonché degli obiettivi strategici chiaramente indicati nella richiesta della Commissione a una o più organizzazioni europee di normazione di elaborare norme armonizzate entro un termine stabilito, ed essere basate sul consenso. Tuttavia, in assenza di riferimenti pertinenti a norme armonizzate, la Commissione dovrebbe poter adottare atti di esecuzione che stabiliscano specifiche comuni per i requisiti essenziali di cibersicurezza previsti dal presente regolamento, a condizione che nel farlo rispetti debitamente il ruolo e le funzioni delle organizzazioni europee di normazione, quale soluzione eccezionale di ripiego per facilitare l’obbligo del fabbricante di rispettare tali requisiti essenziali di cibersicurezza, laddove il processo di normazione sia bloccato o vi siano ritardi nella definizione di norme armonizzate appropriate. Se tale ritardo è dovuto alla complessità tecnica della norma in questione, la Commissione dovrebbe tenerne conto prima di prendere in considerazione l’eventuale definizione di specifiche comuni.
(84) Al fine di stabilire, nel modo più efficiente possibile, specifiche comuni che contemplino i requisiti essenziali di cibersicurezza di cui al presente regolamento, la Commissione dovrebbe coinvolgere nel processo le parti interessate.
(85) Per «termine ragionevole» si intende, in relazione alla pubblicazione del riferimento alle norme armonizzate nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012, un periodo di tempo durante il quale è prevista la pubblicazione nella Gazzetta ufficiale dell’Unione europea del riferimento alla norma, alla sua rettifica o alla sua modifica e che non dovrebbe superare un anno dal termine per l’elaborazione di un insieme di norme europee fissato conformemente al regolamento (UE) n. 1025/2012.
(86) Per facilitare la valutazione della conformità ai requisiti essenziali di cibersicurezza stabiliti dal presente regolamento, è opportuno che vi sia una presunzione di conformità per i prodotti con elementi digitali conformi alle specifiche comuni adottate dalla Commissione a norma del presente regolamento al fine della formulazione di specifiche tecniche dettagliate in relazione a tali requisiti.
(87) L’applicazione di norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza adottati a norma del regolamento (UE) 2019/881 che conferiscono una presunzione di conformità in relazione ai requisiti essenziali di cibersicurezza applicabili ai prodotti con elementi digitali faciliterà la valutazione della conformità da parte dei fabbricanti. Se sceglie di non applicare tali mezzi per determinati requisiti, il fabbricante deve indicare nella documentazione tecnica in quale altro modo viene raggiunta la conformità. Inoltre, l’applicazione di norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza adottati a norma del regolamento (UE) 2019/881 che conferiscono una presunzione di conformità da parte dei fabbricanti faciliterebbe il controllo della conformità dei prodotti con elementi digitali da parte delle autorità di vigilanza del mercato. I fabbricanti di prodotti con elementi digitali sono pertanto incoraggiati ad applicare tali norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza.
(88) I fabbricanti dovrebbero redigere una dichiarazione di conformità UE che fornisca le informazioni richieste a norma del presente regolamento sulla conformità dei prodotti con elementi digitali ai requisiti essenziali di cibersicurezza stabiliti dal presente regolamento e, ove applicabile, da altri atti pertinenti della normativa di armonizzazione dell’Unione che disciplinano tale prodotto con elementi digitali. I fabbricanti possono altresì essere tenuti a redigere una dichiarazione di conformità UE in base ad altri atti giuridici dell’Unione. Al fine di garantire un accesso efficace alle informazioni per fini di vigilanza del mercato, dovrebbe essere redatta un’unica dichiarazione di conformità UE per quanto riguarda la conformità a tutti gli atti giuridici pertinenti dell’Unione. Al fine di ridurre l’onere amministrativo a carico degli operatori economici, tale dichiarazione di conformità UE unica dovrebbe poter consistere in un fascicolo comprendente le dichiarazioni di conformità individuali pertinenti.
(89) La marcatura CE, che indica la conformità di un prodotto, è la conseguenza visibile di un intero processo che comprende la valutazione della conformità in senso lato. I principi generali che disciplinano la marcatura CE sono indicati nel regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (29) . È opportuno che nel presente regolamento siano fissate le norme relative all’apposizione della marcatura CE sui prodotti con elementi digitali. La marcatura CE dovrebbe essere l’unica marcatura che garantisce la conformità dei prodotti con elementi digitali ai requisiti stabiliti dal presente regolamento.
(90) Per consentire agli operatori economici di dimostrare la conformità ai requisiti essenziali di cibersicurezza stabiliti nel presente regolamento e alle autorità di vigilanza del mercato di garantire che i prodotti con elementi digitali messi a disposizione sul mercato siano conformi a tali requisiti, è necessario prevedere procedure di valutazione della conformità. La decisione n. 768/2008/CE del Parlamento europeo e del Consiglio (30) stabilisce moduli per le procedure di valutazione della conformità proporzionalmente al livello di rischio effettivo e di sicurezza richiesto. Per garantire la coerenza intersettoriale ed evitare varianti ad hoc, le procedure di valutazione della conformità adeguate per verificare la conformità dei prodotti con elementi digitali ai requisiti essenziali di cibersicurezza stabiliti nel presente regolamento dovrebbero essere basate su tali moduli. Le procedure di valutazione della conformità dovrebbero esaminare e verificare sia i requisiti relativi al prodotto sia quelli relativi al processo riguardanti l’intero ciclo di vita dei prodotti con elementi digitali, tra cui la pianificazione, la progettazione, lo sviluppo o la produzione, il collaudo e la manutenzione del prodotto con elementi digitali.
(91) La valutazione della conformità dei prodotti con elementi digitali che non sono elencati come prodotti con elementi digitali importanti o critici nel presente regolamento può essere effettuata dal fabbricante sotto la propria responsabilità, applicando la procedura di controllo interno basata sul modulo A della decisione n. 768/2008/CE conformemente al presente regolamento. Ciò si applica anche ai casi in cui un fabbricante sceglie di non applicare, in tutto o in parte, una norma armonizzata, una specifica comune o un sistema europeo di certificazione della cibersicurezza applicabili. Il fabbricante mantiene la flessibilità di scegliere una procedura di valutazione della conformità più rigorosa che coinvolga terzi. Nell’ambito della procedura di valutazione della conformità di controllo interno, il fabbricante garantisce e dichiara, sotto la propria esclusiva responsabilità, che il prodotto con elementi digitali e i processi messi in atto dal fabbricante soddisfano i requisiti essenziali di cibersicurezza applicabili di cui al presente regolamento. Se un prodotto con elementi digitali importante rientra nella classe I, è necessaria una garanzia supplementare per dimostrare la conformità ai requisiti essenziali di cibersicurezza stabiliti nel presente regolamento. Se intende effettuare la valutazione della conformità sotto la propria responsabilità (modulo A), il fabbricante dovrebbe applicare le norme armonizzate, le specifiche comuni o i sistemi europei di certificazione della cibersicurezza adottati a norma del regolamento (UE) 2019/881 che sono stati identificati dalla Commissione in un atto di esecuzione. Se non applica tali norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza, il fabbricante dovrebbe effettuare una valutazione della conformità che coinvolga terzi (basata sui moduli B e C o sul modulo H). Tenendo conto dell’onere amministrativo a carico dei fabbricanti e del fatto che la cibersicurezza svolge un ruolo importante nella fase di progettazione e sviluppo dei prodotti tangibili e intangibili con elementi digitali, le procedure di valutazione della conformità basate sui moduli B e C o sul modulo H della decisione 768/2008/CE sono state scelte come le più appropriate per valutare la conformità dei prodotti con elementi digitali importanti in modo proporzionato ed efficace. Il fabbricante che effettua la valutazione della conformità da parte di terzi può scegliere la procedura che meglio si adatta al suo processo di progettazione e produzione. Dato il rischio di cibersicurezza ancora maggiore legato all’uso di prodotti con elementi digitali importanti che rientrano nella classe II, la valutazione della conformità dovrebbe sempre coinvolgere terzi, anche se il prodotto è pienamente o parzialmente conforme alle norme armonizzate, alle specifiche comuni o ai sistemi europei di certificazione della cibersicurezza. I fabbricanti di prodotti con elementi digitali importanti che si qualificano come software liberi e open source dovrebbero essere poter seguire la procedura di controllo interno basata sul modulo A, a condizione che mettano la documentazione tecnica a disposizione del pubblico.
(92) Mentre la creazione di prodotti tangibili con elementi digitali richiede di norma un notevole impegno da parte dei fabbricanti nelle fasi di progettazione, sviluppo e produzione, la creazione di prodotti con elementi digitali sotto forma di software si concentra quasi esclusivamente sulla progettazione e sullo sviluppo, mentre la fase di produzione svolge un ruolo minore. Tuttavia in molti casi i prodotti software devono ancora essere compilati, costruiti, pacchettizzati, messi a disposizione per il download o copiati su supporti fisici prima di essere immessi sul mercato. Tali attività dovrebbero essere considerate attività assimilabili alla produzione quando si applicano i moduli di valutazione della conformità pertinenti per verificare la conformità del prodotto ai requisiti essenziali di cibersicurezza stabiliti dal presente regolamento nelle fasi di progettazione, sviluppo e produzione.
(93) Per quanto riguarda le microimprese e le piccole imprese, al fine di garantire la proporzionalità, è opportuno alleviare i costi amministrativi senza incidere sul livello di protezione della cibersicurezza dei prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento o sulla parità di condizioni tra i fabbricanti. È pertanto opportuno che la Commissione istituisca un modulo di documentazione tecnica semplificata che risponda alle esigenze delle microimprese e delle piccole imprese. Il modulo di documentazione tecnica semplificata adottato dalla Commissione dovrebbe coprire tutti gli elementi applicabili relativi alla documentazione tecnica di cui al presente regolamento e specificare in che modo una microimpresa o una piccola impresa può fornire in modo conciso gli elementi richiesti, come la descrizione della progettazione, dello sviluppo e della produzione del prodotto con elementi digitali. In tal modo, il modulo contribuirebbe ad alleviare gli oneri amministrativi di conformità fornendo alle imprese interessate certezza giuridica circa la portata e la precisione delle informazioni da fornire. Le microimprese e le piccole imprese dovrebbero poter scegliere di fornire gli elementi applicabili relativi alla documentazione tecnica in forma estesa e di non ricorrere al modulo tecnico semplificato a loro disposizione.
(94) Al fine di promuovere e proteggere l’innovazione, è importante che si tenga conto specialmente degli interessi dei fabbricanti che sono microimprese o piccole o medie imprese, in particolare delle microimprese e delle piccole imprese, comprese le start-up. A tal fine, gli Stati membri potrebbero sviluppare iniziative rivolte ai fabbricanti che sono microimprese o piccole imprese, anche in materia di formazione, sensibilizzazione, comunicazione delle informazioni e attività di prova e di valutazione della conformità da parte di terzi, nonché la creazione di spazi di sperimentazione. I costi di traduzione relativi alla documentazione obbligatoria, come la documentazione tecnica e le informazioni e le istruzioni per l’utilizzatore richieste a norma del presente regolamento, nonché alla comunicazione con le autorità, possono costituire un costo significativo per i fabbricanti, specie per quelli di dimensioni minori. Gli Stati membri dovrebbero pertanto poter prevedere che una delle lingue da essi indicate e accettate per la documentazione dei fabbricanti pertinenti e per la comunicazione con i fabbricanti sia una lingua ampiamente compresa dal maggior numero possibile di utilizzatori.
(95) Al fine di garantire la corretta applicazione del presente regolamento, gli Stati membri dovrebbero adoperarsi per garantire, prima della sua data di applicazione, che sia disponibile un numero sufficiente di organismi notificati per eseguire le valutazioni della conformità da parte di terzi. La Commissione dovrebbe cercare di assistere gli Stati membri e le altre parti interessate in tale sforzo, al fine di evitare strozzature e ostacoli all’ingresso sul mercato dei fabbricanti. Le attività di formazione mirate condotte dagli Stati membri, se del caso anche con il sostegno della Commissione, possono contribuire alla disponibilità di professionisti qualificati, anche a sostegno delle attività degli organismi notificati a norma del presente regolamento. Inoltre, alla luce dei costi che la valutazione della conformità da parte di terzi può comportare, è opportuno prendere in considerazione iniziative di finanziamento a livello nazionale e dell’Unione volte ad alleviare tali costi per le microimprese e le piccole imprese.
(96) Al fine di garantire la proporzionalità, gli organismi di valutazione della conformità, nel fissare le tariffe per le procedure di valutazione della conformità, dovrebbero tenere conto degli interessi e delle esigenze specifici delle microimprese e delle piccole e medie imprese, comprese le start-up. In particolare, gli organismi di valutazione della conformità dovrebbero applicare la procedura d’esame e le prove pertinenti di cui al presente regolamento solo ove opportuno e seguendo un approccio basato sul rischio.
(97) L’obiettivo degli spazi di sperimentazione normativa dovrebbe essere quello di promuovere l’innovazione e la competitività delle imprese, istituendo ambienti di prova controllati prima dell’immissione sul mercato di prodotti con elementi digitali. Gli spazi di sperimentazione normativa dovrebbero contribuire a migliorare la certezza del diritto per tutti gli attori che rientrano nell’ambito di applicazione del presente regolamento, nonché ad agevolare e accelerare l’accesso al mercato dell’Unione dei prodotti con elementi digitali, in particolare se forniti da microimprese e piccole imprese, comprese le start-up.
(98) Ai fini della valutazione della conformità da parte di terzi dei prodotti con elementi digitali, le autorità nazionali di notifica dovrebbero notificare gli organismi di valutazione della conformità alla Commissione e agli altri Stati membri, a condizione che tali organismi soddisfino una serie di requisiti, in particolare in materia di indipendenza, competenza e assenza di conflitti di interesse.
(99) Per garantire un livello uniforme di qualità nello svolgimento della valutazione della conformità dei prodotti con elementi digitali, è altresì necessario stabilire requisiti da applicare alle autorità di notifica e agli altri organismi che intervengono nella valutazione, nella notifica e nel controllo degli organismi notificati. Il sistema previsto dal presente regolamento dovrebbe essere completato dal sistema di accreditamento di cui al regolamento (CE) n. 765/2008. Poiché l’accreditamento è un mezzo essenziale per la verifica della competenza degli organismi di valutazione della conformità, è opportuno impiegarlo anche ai fini della notifica.
(100) Gli organismi di valutazione della conformità che sono stati accreditati e notificati a norma del diritto dell’Unione che stabilisce requisiti simili a quelli stabiliti nel presente regolamento, come un organismo di valutazione della conformità notificato per un sistema europeo di certificazione della cibersicurezza adottato a norma del regolamento (UE) 2019/881 o notificato a norma del regolamento delegato (UE) 2022/30, dovrebbero essere oggetto di una nuova valutazione e notifica a norma del presente regolamento. Tuttavia, le autorità competenti possono definire sinergie per quanto riguarda eventuali sovrapposizioni di requisiti, al fine di evitare inutili oneri finanziari e amministrativi e di garantire un processo di notifica agevole e tempestivo.
(101) L’accreditamento trasparente, quale previsto dal regolamento (CE) n. 765/2008, che garantisce il necessario livello di fiducia nei certificati di conformità, dovrebbe essere considerato dalle autorità pubbliche nazionali in tutta l’Unione lo strumento preferito per dimostrare la competenza tecnica di tali organismi. Tuttavia le autorità nazionali possono ritenere di possedere gli strumenti idonei a eseguire da sé tale valutazione. In tal caso, onde assicurare l’opportuno livello di credibilità delle valutazioni effettuate dalle altre autorità nazionali, dovrebbero fornire alla Commissione e agli altri Stati membri le necessarie prove documentali che dimostrino che gli organismi di valutazione della conformità valutati rispettano i pertinenti requisiti.
(102) Spesso gli organismi di valutazione della conformità subappaltano parti delle loro attività connesse alla valutazione della conformità o fanno ricorso ad un’affiliata. Al fine di salvaguardare il livello di tutela richiesto per un prodotto con elementi digitali da immettere sul mercato, è indispensabile che i subappaltatori e le affiliate di valutazione della conformità rispettino gli stessi requisiti applicati agli organismi notificati in relazione allo svolgimento di compiti di valutazione della conformità.
(103) La notifica di un organismo di valutazione della conformità dovrebbe essere inviata dall’autorità di notifica alla Commissione e agli altri Stati membri tramite il sistema informativo NANDO ( New Approach Notified and Designated Organisations ). Il sistema informativo NANDO è lo strumento elettronico di notifica elaborato e gestito dalla Commissione in cui è possibile trovare un elenco di tutti gli organismi notificati.
(104) Poiché gli organismi notificati possono offrire i propri servizi in tutta l’Unione, è opportuno conferire agli altri Stati membri e alla Commissione la possibilità di sollevare obiezioni relative a un organismo notificato. È pertanto importante prevedere un periodo durante il quale sia possibile chiarire eventuali dubbi o preoccupazioni circa la competenza degli organismi di valutazione della conformità prima che essi inizino ad operare in qualità di organismi notificati.
(105) Nell’interesse della competitività, è fondamentale che gli organismi notificati applichino le procedure di valutazione della conformità senza creare un onere superfluo per gli operatori economici. Analogamente, e per garantire parità di trattamento agli operatori economici dovrebbe essere garantita un’applicazione tecnica coerente delle procedure di valutazione della conformità. Essa dovrebbe essere ottenuta più agevolmente mediante un coordinamento e una cooperazione appropriati tra organismi notificati.
(106) La vigilanza del mercato è un’attività essenziale per garantire l’applicazione corretta ed uniforme del diritto dell’Unione. Di conseguenza è opportuno istituire un quadro giuridico entro il quale la vigilanza del mercato possa svolgersi in maniera adeguata. Le norme sulla vigilanza del mercato dell’Unione e sul controllo dei prodotti che entrano nel mercato dell’Unione di cui al regolamento (UE) 2019/1020 si applicano ai prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento.
(107) Conformemente al regolamento (UE) 2019/1020, un’autorità di vigilanza del mercato effettua la vigilanza del mercato nel territorio dello Stato membro da cui è designata. Il presente regolamento non dovrebbe impedire agli Stati membri di scegliere le autorità competenti incaricate dello svolgimento dei compiti di vigilanza del mercato. Ogni Stato membro dovrebbe designare una o più autorità di vigilanza del mercato nel proprio territorio. Gli Stati membri dovrebbero poter scegliere di designare qualsiasi autorità già esistente o una nuova autorità che agisca come autorità di vigilanza del mercato, comprese le autorità competenti designate o istituite a norma dell’articolo 8 della direttiva (UE) 2022/2555, le autorità nazionali di certificazione della cibersicurezza designate a norma dell’articolo 58 del regolamento (UE) 2019/881 o le autorità di vigilanza del mercato designate ai fini della direttiva 2014/53/UE. Gli operatori economici dovrebbero collaborare pienamente con le autorità di vigilanza del mercato e con le altre autorità competenti. Ogni Stato membro dovrebbe informare la Commissione e gli altri Stati membri circa le sue autorità di vigilanza del mercato e gli ambiti di competenza di ciascuna autorità e garantire le risorse e le competenze necessarie per svolgere i compiti di vigilanza del mercato relativi al presente regolamento. A norma dell’articolo 10, paragrafi 2 e 3, del regolamento (UE) 2019/1020, ogni Stato membro dovrebbe designare un ufficio unico di collegamento responsabile, tra l’altro, di rappresentare la posizione coordinata delle autorità di vigilanza del mercato e di fornire sostegno alla cooperazione tra le autorità di vigilanza del mercato di diversi Stati membri.
(108) È opportuno istituire un ADCO per la ciberresilienza dei prodotti con elementi digitali per l’applicazione uniforme del presente regolamento, a norma dell’articolo 30, paragrafo 2, del regolamento (UE) 2019/1020. L’ADCO dovrebbe essere composto da rappresentanti delle autorità di vigilanza del mercato designate e, se del caso, da rappresentanti degli uffici unici di collegamento. La Commissione dovrebbe sostenere e incoraggiare la cooperazione tra le autorità di vigilanza del mercato attraverso la rete dell’Unione per la conformità dei prodotti istituita a norma dell’articolo 29 del regolamento (UE) 2019/1020 e composta da rappresentanti di ciascuno Stato membro, inclusi un rappresentante degli uffici unici di collegamento di cui all’articolo 10 di tale regolamento, e un esperto nazionale opzionale, i presidenti degli ADCO e rappresentanti della Commissione. La Commissione dovrebbe partecipare alle riunioni della rete dell’Unione per la conformità dei prodotti, dei suoi sottogruppi e dell’ADCO. Dovrebbe inoltre assistere quest’ultimo attraverso una segreteria esecutiva che fornisce supporto tecnico e logistico. L’ADCO può anche invitare esperti indipendenti a partecipare e mantenere i contatti con altri ADCO, come quello istituito a norma della direttiva 2014/53/UE.
(109) Le autorità di vigilanza del mercato, attraverso l’ADCO istituito a norma del presente regolamento, dovrebbero cooperare strettamente e poter elaborare documenti di orientamento per agevolare le attività di vigilanza del mercato a livello nazionale, ad esempio sviluppando migliori pratiche e indicatori per verificare efficacemente la conformità dei prodotti con elementi digitali al presente regolamento.
(110) Al fine di garantire misure tempestive, proporzionate ed efficaci in relazione ai prodotti con elementi digitali che presentano un rischio di cibersicurezza significativo, è opportuno prevedere una procedura di salvaguardia dell’Unione in base alla quale le parti interessate siano informate delle misure che si intendono adottare per quanto riguarda tali prodotti. Ciò dovrebbe consentire inoltre alle autorità di vigilanza del mercato, in cooperazione con gli operatori economici interessati, di intervenire in una fase precoce, ove necessario. Nei casi in cui gli Stati membri e la Commissione concordino sul fatto che una misura presa da uno Stato membro sia giustificata, dovrebbero essere previsti ulteriori interventi da parte della Commissione, tranne qualora la non conformità possa essere attribuita a carenze di una norma armonizzata.
(111) In alcuni casi un prodotto con elementi digitali conforme al presente regolamento può tuttavia presentare un rischio di cibersicurezza significativo o comportare un rischio per la salute o la sicurezza delle persone, per la conformità agli obblighi previsti dal diritto dell’Unione o nazionale a tutela dei diritti fondamentali, per la disponibilità, l’autenticità, l’integrità o la riservatezza dei servizi offerti utilizzando un sistema di informazione elettronico da parte di soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555 o per altri aspetti della tutela dell’interesse pubblico. È quindi necessario stabilire norme che garantiscano l’attenuazione di tali rischi. Di conseguenza le autorità di vigilanza del mercato dovrebbero adottare misure per imporre all’operatore economico di garantire che il prodotto non presenti più tale rischio oppure di richiamarlo o di ritirarlo, a seconda del rischio. Non appena un’autorità di vigilanza del mercato limita o vieta in tal modo la libera circolazione di un prodotto con elementi digitali, lo Stato membro dovrebbe notificare senza indugio alla Commissione e agli altri Stati membri le misure provvisorie, indicando motivi e giustificazioni della decisione. Qualora un’autorità di vigilanza del mercato adotti tali misure contro prodotti con elementi digitali che presentano un rischio, la Commissione dovrebbe avviare senza indugio consultazioni con gli Stati membri e con l’operatore o gli operatori economici interessati e valutare la misura nazionale. In base ai risultati di tale valutazione, la Commissione dovrebbe decidere se la misura nazionale sia giustificata o meno. La Commissione dovrebbe indirizzare la sua decisione a tutti gli Stati membri e comunicarla immediatamente ad essi e all’operatore o agli operatori economici interessati. Se la misura è considerata giustificata, la Commissione dovrebbe anche valutare se adottare proposte per rivedere il pertinente diritto dell’Unione.
(112) Per i prodotti con elementi digitali che presentano un rischio di cibersicurezza significativo e qualora vi sia motivo di ritenere che non siano conformi al presente regolamento o per i prodotti conformi al presente regolamento, ma che presentano altri rischi gravi, quali i rischi per la salute o la sicurezza delle persone, per il rispetto degli obblighi previsti dal diritto dell’Unione o nazionale volti a tutelare i diritti fondamentali o per la disponibilità, l’autenticità, l’integrità o la riservatezza dei servizi offerti utilizzando un sistema di informazione elettronico da parte dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555, la Commissione dovrebbe poter chiedere all’ENISA di effettuare una valutazione. Sulla base di tale valutazione, la Commissione dovrebbe poter adottare, mediante atti di esecuzione, misure correttive o restrittive a livello dell’Unione, tra cui imporre l’obbligo di ritirare dal mercato o di richiamare i prodotti con elementi digitali interessati, entro un termine ragionevole, proporzionato alla natura del rischio. La Commissione dovrebbe poter ricorrere a tale intervento solo in circostanze eccezionali che giustifichino un intervento immediato per preservare il corretto funzionamento del mercato interno e solo nel caso in cui le autorità di vigilanza del mercato non abbiano adottato misure efficaci per porre rimedio alla situazione. Tali circostanze eccezionali possono essere situazioni di emergenza in cui, ad esempio, il fabbricante mette ampiamente a disposizione, in diversi Stati membri, un prodotto con elementi digitali non conforme che è utilizzato anche in settori essenziali dai soggetti che rientrano nell’ambito di applicazione della direttiva (UE) 2022/2555 e che contiene vulnerabilità note sfruttate da soggetti malintenzionati, per le quali il fabbricante non prevede la disponibilità di patch. La Commissione dovrebbe poter intervenire in tali situazioni di emergenza solo per la durata delle circostanze eccezionali e se la non conformità al presente regolamento o i gravi rischi presentati persistono.
(113) Qualora vi siano indicazioni di non conformità al presente regolamento in diversi Stati membri, le autorità di vigilanza del mercato dovrebbero poter svolgere attività congiunte con altre autorità al fine di verificare la conformità e individuare i rischi di cibersicurezza dei prodotti con elementi digitali.
(114) Le azioni di controllo coordinate e simultanee («indagini a tappeto»), che sono intraprese dalle autorità di vigilanza del mercato con l’obiettivo specifico di controllare l’osservanza delle norme, possono migliorare ulteriormente la sicurezza dei prodotti. In particolare dovrebbero essere condotte indagini a tappeto laddove le tendenze del mercato, i reclami dei consumatori o altri elementi indichino che talune categorie di prodotti con elementi digitali spesso presentano rischi di cibersicurezza. Inoltre, nel determinare le categorie di prodotti da sottoporre a indagini a tappeto, le autorità di vigilanza del mercato dovrebbero tenere conto anche di circostanze relative ai fattori di rischio non tecnici. A tal fine, le autorità di vigilanza del mercato dovrebbero poter tenere conto dei risultati delle valutazioni dei rischi per la sicurezza coordinate a livello di Unione delle catene di approvvigionamento critiche effettuate a norma dell’articolo 22 della direttiva (UE) 2022/2555, comprese le circostanze relative ai fattori di rischio non tecnici. L’ENISA dovrebbe presentare alle autorità di vigilanza del mercato proposte di categorie di prodotti con elementi digitali per le quali potrebbero essere organizzate indagini a tappeto, basandosi, tra l’altro, sulle notifiche ricevute riguardanti le vulnerabilità e gli incidenti.
(115) Alla luce delle sue competenze e il suo mandato, l’ENISA dovrebbe poter sostenere il processo di attuazione del presente regolamento. In particolare, l’ENISA dovrebbe poter proporre attività congiunte che saranno svolte dalle autorità di vigilanza del mercato sulla base di indicazioni o informazioni riguardanti la potenziale non conformità al presente regolamento di prodotti con elementi digitali in diversi Stati membri o di individuare categorie di prodotti per le quali dovrebbero essere organizzati controlli a tappeto. In circostanze eccezionali, su richiesta della Commissione, l’ENISA dovrebbe poter effettuare valutazioni su specifici prodotti con elementi digitali che presentano un rischio di cibersicurezza significativo, qualora sia necessario un intervento immediato per preservare il corretto funzionamento del mercato interno.
(116) Il presente regolamento conferisce all’ENISA taluni compiti che richiedono risorse adeguate, sia in termini di competenze che di risorse umane, per consentirle di svolgere efficacemente tali compiti. In sede di preparazione del progetto di bilancio generale dell’Unione, la Commissione proporrà le necessarie risorse di bilancio per la tabella dell’organico dell’ENISA, conformemente alla procedura di cui all’articolo 29 del regolamento (UE) 2019/881. Nel corso di tale processo, la Commissione prenderà in considerazione le risorse complessive dell’ENISA per consentirle di svolgere i suoi compiti, compresi quelli conferitile a norma del presente regolamento.
(117) Al fine di garantire che il quadro normativo possa essere adattato ove necessario, è opportuno delegare alla Commissione il potere di adottare atti conformemente all’articolo 290 del trattato sul funzionamento dell’Unione europea (TFUE) per aggiornare un allegato del presente regolamento che elenca i prodotti con elementi digitali importanti. È opportuno delegare alla Commissione il potere di adottare atti conformemente a tale articolo per individuare i prodotti con elementi digitali disciplinati da altre norme dell’Unione che conseguono lo stesso livello di protezione del presente regolamento, specificando se sia necessaria una limitazione o un’esclusione dall’ambito di applicazione del presente regolamento nonché la portata di tale limitazione, ove applicabile. È opportuno delegare alla Commissione il potere di adottare atti conformemente a tale articolo anche per quanto riguarda l’eventuale obbligo di certificazione nell’ambito di un sistema europeo di certificazione della cibersicurezza dei prodotti con elementi digitali critici in allegato al presente regolamento, nonché per aggiornare l’elenco dei prodotti con elementi digitali critici sulla base dei criteri di criticità di cui al presente regolamento e per specificare i sistemi europei di certificazione della cibersicurezza adottati a norma del regolamento (UE) 2019/881 che possono essere utilizzati per dimostrare la conformità ai requisiti essenziali di cibersicurezza o a parti di essi stabiliti in allegato al presente regolamento. È opportuno delegare alla Commissione il potere di adottare atti per specificare il periodo minimo di assistenza per specifiche categorie di prodotti qualora i dati di sorveglianza del mercato suggeriscano periodi di assistenza inadeguati, nonché per specificare i termini e le condizioni per l’applicazione dei motivi connessi alla cibersicurezza relativamente al ritardo nella diffusione delle notifiche riguardo alle vulnerabilità attivamente sfruttate. Inoltre, è opportuno delegare alla Commissione il potere di adottare atti per istituire programmi volontari di attestazione di sicurezza per valutare la conformità dei prodotti con elementi digitali che si qualificano come software liberi e open source a tutti o a determinati requisiti essenziali di cibersicurezza o ad altri obblighi stabiliti nel presente regolamento, nonché per specificare il contenuto minimo della dichiarazione di conformità UE e integrare gli elementi da includere nella documentazione tecnica. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (31) . In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati. Il potere di adottare atti delegati a norma del presente regolamento dovrebbe essere conferito alla Commissione per un periodo di cinque anni dalla data di entrata in vigore del presente regolamento. La Commissione dovrebbe elaborare una relazione sulla delega di potere al più tardi nove mesi prima della scadenza del periodo di cinque anni. La delega di potere dovrebbe essere tacitamente prorogata per periodi di identica durata, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga al più tardi tre mesi prima della scadenza di ciascun periodo.
(118) Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, è opportuno attribuire alla Commissione competenze di esecuzione per specificare la descrizione tecnica delle categorie di prodotti con elementi digitali importanti in allegato al presente regolamento, specificare il formato e gli elementi della distinta base del software, specificare ulteriormente il formato e la procedura delle notifiche riguardo alle vulnerabilità attivamente sfruttate e agli incidenti gravi che incidono sulla sicurezza dei prodotti con elementi digitali presentate dai fabbricanti, stabilire specifiche comuni riguardanti i requisiti tecnici che forniscono i mezzi per conformarsi ai requisiti essenziali di cibersicurezza in allegato al presente regolamento, stabilire le specifiche tecniche per le etichette, i pittogrammi o qualsiasi altro marchio relativo alla sicurezza dei prodotti con elementi digitali, il periodo di sostegno e i meccanismi per promuoverne l’uso e sensibilizzare maggiormente il pubblico in merito alla sicurezza dei prodotti con elementi digitali, definire il modulo di documentazione semplificata rivolto alle esigenze delle microimprese e delle piccole imprese e decidere in merito a misure correttive o restrittive a livello dell’Unione in circostanze eccezionali che giustifichino un intervento immediato per preservare il corretto funzionamento del mercato interno. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (32) .
(119) Al fine di garantire una cooperazione fiduciosa e costruttiva delle autorità di vigilanza del mercato a livello nazionale e dell’Unione, è opportuno che tutte le parti coinvolte nell’applicazione del presente regolamento rispettino la riservatezza delle informazioni e dei dati ottenuti nello svolgimento dei loro compiti.
(120) Per garantire l’effettiva applicazione degli obblighi previsti dal presente regolamento, ogni autorità di vigilanza del mercato dovrebbe avere il potere di imporre o richiedere l’imposizione di sanzioni amministrative pecuniarie. È pertanto opportuno stabilire i livelli massimi delle sanzioni amministrative pecuniarie che devono essere previste negli ordinamenti nazionali in caso di mancato rispetto degli obblighi stabiliti dal presente regolamento. Nel decidere l’importo della sanzione amministrativa pecuniaria in ogni singolo caso si dovrebbe tenere conto di tutte le circostanze pertinenti della situazione specifica e, come minimo, di quelle esplicitamente stabilite nel presente regolamento, compresa l’eventualità che il fabbricante sia una microimpresa o una piccola o media impresa, compresa una start-up, e che le stesse o altre autorità di vigilanza del mercato abbiano già applicato sanzioni amministrative pecuniarie allo stesso operatore economico per una violazione analoga. Tali circostanze potrebbero costituire un’aggravante, nel caso in cui la violazione da parte dello stesso operatore economico si ripeta sul territorio di Stati membri diversi da quello in cui è già stata applicata una sanzione amministrativa pecuniaria, o un’attenuante, in quanto garantiscono che qualsiasi altra sanzione amministrativa pecuniaria presa in considerazione da un’altra autorità di vigilanza del mercato per lo stesso operatore economico o per lo stesso tipo di violazione tenga già conto, insieme ad altre circostanze specifiche pertinenti, di una sanzione e del suo importo imposti in altri Stati membri. In tutti questi casi la sanzione amministrativa pecuniaria cumulativa che le autorità di vigilanza del mercato di diversi Stati membri potrebbero applicare allo stesso operatore economico per lo stesso tipo di violazione dovrebbe garantire il rispetto del principio di proporzionalità. Dato che le sanzioni amministrative pecuniarie non si applicano alle microimprese o alle piccole imprese per il mancato rispetto del termine di 24 ore per la notifica di preallarme di vulnerabilità attivamente sfruttate o di incidenti gravi che hanno un impatto sulla sicurezza del prodotto con elementi digitali, né ai gestori di software open source per qualsiasi violazione del presente regolamento, e fatto salvo il principio secondo cui le sanzioni dovrebbero essere effettive, proporzionate e dissuasive, gli Stati membri non dovrebbero imporre a tali soggetti altri tipi di sanzioni a carattere pecuniario.
(121) Se le sanzioni amministrative pecuniarie sono inflitte a una persona che non è un’impresa, l’autorità competente dovrebbe tenere conto del livello generale di reddito nello Stato membro come pure della situazione economica della persona nel valutare l’importo appropriato della sanzione pecuniaria. Dovrebbe spettare agli Stati membri determinare se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie.
(122) Gli Stati membri dovrebbero esaminare, tenendo conto delle circostanze nazionali, la possibilità di utilizzare i proventi derivanti dalle sanzioni di cui al presente regolamento o il loro equivalente finanziario per sostenere politiche in materia di cibersicurezza e aumentare il livello di cibersicurezza nell’Unione, tra l’altro aumentando il numero di professionisti qualificati della cibersicurezza, rafforzando lo sviluppo di capacità per le microimprese e le piccole e medie imprese e migliorando la consapevolezza del pubblico in merito alle minacce informatiche.
(123) Nei suoi rapporti con i paesi terzi l’Unione si sforza di promuovere il commercio internazionale di prodotti soggetti a regolamentazione. Per agevolare gli scambi è possibile applicare un’ampia gamma di misure, tra cui diversi strumenti giuridici come gli accordi sul reciproco riconoscimento (ARR) bilaterali (intergovernativi) in materia di valutazione della conformità e marcatura dei prodotti soggetti a regolamentazione. Gli ARR sono conclusi tra l’Unione e i paesi terzi che presentano un livello comparabile di sviluppo tecnico e un approccio compatibile riguardo alla valutazione della conformità. Questi accordi si basano sulla reciproca accettazione di certificati, marchi di conformità e rapporti di prova rilasciati dagli organismi di valutazione della conformità di una parte conformemente alla normativa dell’altra parte. Attualmente sono in vigore ARR con diversi paesi terzi. Tali ARR sono conclusi in alcuni settori specifici, che possono variare da paese terzo a paese terzo. Al fine di agevolare ulteriormente gli scambi e riconoscendo che le catene di approvvigionamento dei prodotti con elementi digitali sono globali, l’Unione può concludere ARR relativi alla valutazione della conformità per i prodotti disciplinati dal presente regolamento, conformemente all’articolo 218 TFUE. Anche la cooperazione con i paesi terzi partner è importante per aumentare la ciberresilienza a livello globale, poiché a lungo termine ciò contribuirà a rafforzare il quadro della cibersicurezza sia all’interno che all’esterno dell’Unione.
(124) I consumatori dovrebbero poter far valere i propri diritti in relazione agli obblighi incombenti agli operatori economici ai sensi del presente regolamento attraverso azioni rappresentative ai sensi della direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio (33) . A tal fine, il presente regolamento dovrebbe prevedere che la direttiva (UE) 2020/1828 sia applicabile alle azioni rappresentative riguardanti violazioni del presente regolamento che ledono o possono ledere gli interessi collettivi dei consumatori. Occorre quindi modificare in tal senso l’allegato I di tale direttiva. Spetta agli Stati membri garantire che tali modifiche si riflettano nelle misure di recepimento adottate conformemente a tale direttiva, sebbene l’adozione di misure nazionali di recepimento a tale riguardo non sia una condizione per l’applicabilità di detta direttiva a tali azioni rappresentative. L’applicabilità di tale direttiva alle azioni rappresentative intentate nei confronti di violazioni di requisiti del presente regolamento da parte di operatori economici che ledono o potrebbero ledere gli interessi collettivi dei consumatori dovrebbe decorrere dall’11 dicembre 2027.
(125) È opportuno che la Commissione valuti e riesamini il presente regolamento periodicamente, in consultazione con i pertinenti portatori di interessi, in particolare al fine di valutare la necessità di modifiche alla luce dei cambiamenti delle condizioni sociali, politiche, tecnologiche o del mercato. Il presente regolamento faciliterà il rispetto degli obblighi di sicurezza della catena di approvvigionamento da parte dei soggetti che rientrano nell’ambito di applicazione del regolamento (UE) 2022/2554 e della direttiva (UE) 2022/2555 e utilizzano prodotti con elementi digitali. La Commissione dovrebbe valutare, nell’ambito di tale riesame periodico, gli effetti combinati del quadro dell’Unione in materia di cibersicurezza.
(126) Agli operatori economici dovrebbe essere concesso un periodo di tempo sufficiente per adeguarsi ai requisiti stabiliti nel presente regolamento. Il presente regolamento dovrebbe applicarsi a decorrere dall’11 dicembre 2027, ad eccezione degli obblighi di segnalazione delle vulnerabilità attivamente sfruttate e degli incidenti gravi aventi un impatto sulla sicurezza dei prodotti con elementi digitali, che dovrebbero applicarsi a decorrere dall’11 settembre 2026 e delle disposizioni sulla notifica degli organismi di valutazione della conformità che dovrebbero applicarsi a decorrere dall’11 giugno 2026.
(127) È importante fornire sostegno alle microimprese e alle piccole e medie imprese, comprese le start-up, nell’attuazione del presente regolamento e ridurre al minimo i rischi per l’attuazione derivanti dalla mancanza di conoscenze e competenze sul mercato nonché al fine di facilitare il rispetto, da parte dei fabbricanti, degli obblighi stabiliti nel presente regolamento. Il programma Europa digitale e altri programmi pertinenti dell’Unione forniscono sostegno finanziario e tecnico che consente a tali imprese di contribuire alla crescita dell’economia dell’Unione e al rafforzamento del livello comune di cibersicurezza nell’Unione. Anche il Centro europeo di competenza per la cibersicurezza, i centri nazionali di coordinamento e i poli europei dell’innovazione digitale istituiti dalla Commissione e dagli Stati membri a livello nazionale o dell’Unione potrebbero sostenere le imprese e le organizzazioni del settore pubblico e contribuire all’attuazione del presente regolamento. Nell’ambito delle rispettive missioni e ambiti di competenza, potrebbero fornire sostegno tecnico e scientifico alle microimprese e alle piccole e medie imprese, ad esempio per le attività di prova e le valutazioni della conformità da parte di terzi. Potrebbero inoltre promuovere la diffusione di strumenti per facilitare l’attuazione del presente regolamento.
(128) Inoltre, gli Stati membri dovrebbero prendere in considerazione azioni complementari volte a fornire orientamento e sostegno alle microimprese e alle piccole e medie imprese, come l’istituzione di spazi di sperimentazione normativa e canali appositi per la comunicazione. Al fine di rafforzare il livello di cibersicurezza nell’Unione, gli Stati membri possono anche prendere in considerazione la possibilità di fornire sostegno per sviluppare capacità e competenze relative alla cibersicurezza dei prodotti con elementi digitali, migliorare la ciberresilienza degli operatori economici, in particolare delle microimprese e delle piccole e medie imprese, e sensibilizzare l’opinione pubblica in merito alla cibersicurezza dei prodotti con elementi digitali.
(129) Poiché l’obiettivo del presente regolamento non può essere conseguito in misura sufficiente dagli Stati membri ma, a motivo degli effetti dell’azione in oggetto, può essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
(130) Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (34), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 9 novembre 2022 (35) .