Vai al contenuto

Capo I — Disposizioni generali

Articolo 1 — Oggetto

Il presente regolamento stabilisce:

a) norme per la messa a disposizione sul mercato di prodotti con elementi digitali per garantire la cibersicurezza di tali prodotti;

b) requisiti essenziali di cibersicurezza per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti per quanto riguarda la cibersicurezza;

c) requisiti essenziali di cibersicurezza per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante il periodo in cui si prevede che i prodotti siano in uso e obblighi per gli operatori economici in relazione a tali processi;

d) norme sulla vigilanza del mercato, compreso il monitoraggio, e sull’applicazione delle norme e dei requisiti di cui al presente articolo.

Articolo 2 — Ambito di applicazione

  1. Il presente regolamento si applica ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete.

  2. Il presente regolamento non si applica ai prodotti con elementi digitali a cui si applicano i seguenti atti giuridici dell’Unione:

    a) regolamento (UE) 2017/745;

    b) regolamento (UE) 2017/746;

    c) regolamento (UE) 2019/2144.

  3. Il presente regolamento non si applica ai prodotti con elementi digitali che sono stati certificati in conformità del regolamento (UE) 2018/1139.

  4. Il presente regolamento non si applica all’equipaggiamento che rientra nell’ambito di applicazione della direttiva n. 2014/90/UE del Parlamento europeo e del Consiglio (36) .

  5. L’applicazione del presente regolamento ai prodotti con elementi digitali contemplati da altre norme dell’Unione, che stabiliscono requisiti che affrontano tutti o alcuni rischi contemplati dai requisiti essenziali di cibersicurezza di cui all’allegato I, può essere limitata o esclusa, qualora:

    a) tale limitazione o esclusione sia coerente con il quadro normativo generale applicabile a tali prodotti; e

    b) le norme settoriali conseguano lo stesso livello o un livello maggiore di protezione rispetto a quanto previsto dal presente regolamento.

    Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per integrare il presente regolamento specificando se tale limitazione o esclusione sia necessaria, i prodotti e le norme interessati, nonché l’ambito della limitazione, se pertinente.

  6. Il presente regolamento non si applica ai pezzi di ricambio messi a disposizione sul mercato per sostituire componenti identici in prodotti con elementi digitali e fabbricati secondo le stesse specifiche dei componenti che sono destinati a sostituire.

  7. Il presente regolamento non si applica ai prodotti con elementi digitali sviluppati o modificati esclusivamente per scopi di sicurezza nazionale o di difesa o ai prodotti specificamente progettati per trattare informazioni classificate.

  8. Gli obblighi definiti nel presente regolamento non comportano la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali degli Stati membri in materia di sicurezza nazionale, pubblica sicurezza o difesa.

Articolo 3 — Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1) «prodotto con elementi digitali»: qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immesso sul mercato separatamente;

2) «elaborazione dati da remoto»: qualsiasi elaborazione dati a distanza per la quale il software è stato progettato e sviluppato dal fabbricante o sotto la sua responsabilità e la cui assenza impedirebbe al prodotto con elementi digitali di svolgere una delle sue funzioni;

3) «cibersicurezza»: la cibersicurezza quale definita all’articolo 2, punto 1), del regolamento (UE) 2019/881;

4) «software»: la parte di un sistema di informazione elettronico costituita da un codice informatico;

5) «hardware»: un sistema di informazione elettronico fisico, o parti di esso, in grado di trattare, conservare o trasmettere dati digitali;

6) «componente»: il software o l’hardware destinato a essere integrato in un sistema di informazione elettronico;

7) «sistema di informazione elettronico»: un sistema, comprese le apparecchiature elettriche o elettroniche, in grado di trattare, conservare o trasmettere dati digitali;

8) «connessione logica»: una rappresentazione virtuale di una connessione dati realizzata attraverso un’interfaccia software;

9) «connessione fisica»: qualsiasi connessione tra sistemi di informazione elettronici o componenti realizzata con mezzi fisici, anche attraverso interfacce elettriche, ottiche o meccaniche, fili od onde radio;

10) «connessione indiretta»: una connessione a un dispositivo o a una rete che non avviene direttamente, ma piuttosto nell’ambito di un sistema più ampio che è direttamente collegabile a tale dispositivo o rete;

11) «terminale»: qualsiasi dispositivo connesso a una rete e che funge da punto di accesso a tale rete;

12) «operatore economico»: il fabbricante, il rappresentante autorizzato, l’importatore o il distributore, il fornitore di servizi di logistica o un’altra persona fisica o giuridica soggetta a obblighi in relazione alla fabbricazione di prodotti con elementi digitali o in relazione alla messa a disposizione sul mercato di prodotti con elementi digitali in conformità del presente regolamento;

13) «fabbricante»: una persona fisica o giuridica che sviluppa o fabbrica prodotti con elementi digitali o che fa progettare, sviluppare o fabbricare prodotti con elementi digitali e li commercializza con il proprio nome o marchio, a titolo oneroso, di monetizzazione o gratuito;

14) «gestore di software open source»: una persona giuridica, diversa dal fabbricante, che ha la finalità o l’obiettivo di fornire un sostegno sistematico e duraturo per lo sviluppo di prodotti specifici con elementi digitali, che si qualificano come software liberi e open source e destinati ad attività commerciali, e che garantisce la sostenibilità economica di tali prodotti;

15) «rappresentante autorizzato»: una persona fisica o giuridica stabilita nell’Unione che abbia ricevuto da un fabbricante un mandato scritto che la autorizza ad agire per suo conto in relazione a determinati compiti;

16) «importatore»: una persona fisica o giuridica stabilita nell’Unione che immette sul mercato un prodotto con elementi digitali recante il nome o il marchio di una persona fisica o giuridica stabilita al di fuori dell’Unione;

17) «distributore»: una persona fisica o giuridica nella catena di approvvigionamento, diversa dal fabbricante o dall’importatore, che mette a disposizione un prodotto con elementi digitali sul mercato dell’Unione senza modificarne le proprietà;

18) «consumatore»: una persona fisica che agisce per scopi estranei alla propria attività commerciale, imprenditoriale, artigianale o professionale;

19) «microimprese», «piccole imprese» e «medie imprese», rispettivamente: le micro imprese, le piccole imprese e le medie imprese quali definite nell’allegato alla raccomandazione 2003/361/CE;

20) «periodo di assistenza»: il periodo durante il quale un fabbricante garantisce che le vulnerabilità di un prodotto con elementi digitali siano gestite in modo efficace e conformemente ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II;

21) «immissione sul mercato»: la prima messa a disposizione di un prodotto con elementi digitali sul mercato dell’Unione;

22) «messa a disposizione sul mercato»: la fornitura, a titolo oneroso o gratuito, di un prodotto con elementi digitali perché sia distribuito o usato sul mercato dell’Unione nel corso di un’attività commerciale;

23) «finalità prevista»: l’uso di un prodotto con elementi digitali previsto dal fabbricante, compresi il contesto e le condizioni d’uso specifici, come dettagliati nelle informazioni comunicate dal fabbricante nelle istruzioni per l’uso, nel materiale promozionale o di vendita e nelle dichiarazioni, nonché nella documentazione tecnica;

24) «uso ragionevolmente prevedibile»: un uso che non corrisponde necessariamente alla finalità prevista dal fabbricante nelle istruzioni per l’uso, nel materiale promozionale o di vendita e nelle dichiarazioni, nonché nella documentazione tecnica, ma che è probabile possa derivare da un comportamento umano o da operazioni o interazioni tecniche ragionevolmente prevedibili;

25) «uso improprio ragionevolmente prevedibile»: l’uso di un prodotto con elementi digitali in un modo non conforme alla sua finalità prevista, ma che può derivare da un comportamento umano o da un’interazione con altri sistemi ragionevolmente prevedibili;

26) «autorità di notifica»: l’autorità nazionale responsabile dell’istituzione e dell’esecuzione delle procedure necessarie per la valutazione, la designazione e la notifica degli organismi di valutazione della conformità e per il loro monitoraggio;

27) «valutazione della conformità»: il processo atto a verificare il rispetto dei requisiti essenziali di cibersicurezza di cui all’allegato I;

28) «organismo di valutazione della conformità»: organismo di valutazione della conformità quale definito all’articolo 2, punto 13), del regolamento (CE) n. 765/2008.

29) «organismo notificato»: un organismo di valutazione della conformità designato in conformità del presente regolamento e di altre pertinenti normative di armonizzazione dell’Unione;

30) «modifica sostanziale»: una modifica del prodotto con elementi digitali a seguito della sua immissione sul mercato che incide sulla conformità del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, o che comporta una modifica della finalità prevista per la quale il prodotto con elementi digitali è stato valutato;

31) «marcatura CE»: una marcatura mediante cui un fabbricante indica che un prodotto con elementi digitali e i processi messi in atto dal fabbricante sono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I e ad altre normative di armonizzazione applicabili dell’Unione e che ne prevedono l’apposizione;

32) «normativa di armonizzazione dell’Unione»: la normativa dell’Unione elencata nell’allegato I del regolamento (UE) 2019/1020 e qualsiasi altra normativa dell’Unione che armonizza le condizioni di commercializzazione dei prodotti cui si applica tale regolamento;

33) «autorità di vigilanza del mercato»: un’autorità di vigilanza del mercato quale definita all’articolo 3, punto 4), del regolamento (UE) 2019/1020;

34) «norma internazionale»: una norma internazionale quale definita all’articolo 2, punto 1), lettera a), del regolamento (UE) n. 1025/2012;

35) «norma europea»: una norma europea quale definita all’articolo 2, punto 1), lettera b), del regolamento (UE) n. 1025/2012;

36) «norma armonizzata»: una norma armonizzata, quale definita all’articolo 2, punto 1), lettera c), del regolamento (UE) n. 1025/2012;

37) «rischio di cibersicurezza»: la potenziale perdita o perturbazione causata da un incidente da esprimersi come combinazione dell’entità di tale perdita o perturbazione e della probabilità che si verifichi l’incidente;

38) «rischio di cibersicurezza significativo»: un rischio di cibersicurezza che, in base alle sue caratteristiche tecniche, si può presumere abbia una probabilità elevata di provocare un incidente che potrebbe avere un impatto negativo grave, causando anche notevoli perdite o perturbazioni materiali o non materiali;

39) «distinta base del software»: un registro formale contenente i dettagli e le relazioni della catena di approvvigionamento dei componenti inclusi negli elementi software di un prodotto con elementi digitali;

40) «vulnerabilità»: un punto debole, una suscettibilità o un difetto di prodotti TIC o servizi TIC che può essere sfruttato da una minaccia informatica;

41) «vulnerabilità sfruttabile»: una vulnerabilità che può essere utilizzata efficacemente da un avversario in condizioni operative pratiche;

42) «vulnerabilità attivamente sfruttata»: una vulnerabilità per la quale esistono prove attendibili che un soggetto malintenzionato l’ha sfruttata in un sistema senza l’autorizzazione del proprietario del sistema;

43) «incidente»: un incidente quale definito all’articolo 6, punto 6), della direttiva (UE) 2022/2555;

44) «incidente che ha un impatto sulla sicurezza del prodotto con elementi digitali»: un incidente che incide negativamente o è in grado di incidere negativamente sulla capacità di un prodotto con elementi digitali di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza di dati o funzioni;

45) «quasi incidente»: un quasi incidente quale definito all’articolo 6, punto 5), della direttiva (UE) 2022/2555;

46) «minaccia informatica»: una minaccia informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881;

47) «dati personali»: i dati personali ai sensi dell’articolo 4, punto 1), del regolamento (UE) 2016/679;

48) «software libero e open source»: un software il cui codice sorgente è condiviso apertamente e che è messo a disposizione nell’ambito di una licenza gratuita e open source che prevede tutti i diritti per renderlo liberamente accessibile, utilizzabile, modificabile e ridistribuibile;

49) «richiamo»: un richiamo ai sensi dell’articolo 3, punto 22), del regolamento (UE) 2019/1020;

50) «ritiro»: un ritiro quale definito all’articolo 3, punto 23), del regolamento (UE) 2019/1020;

51) «CSIRT designato come coordinatore»: un CSIRT designato come coordinatore a norma dell’articolo 12, paragrafo 1, della direttiva (UE) 2022/2555.

Articolo 4 — Libera circolazione

  1. Gli Stati membri non impediscono, per gli aspetti disciplinati dal presente regolamento, la messa a disposizione sul mercato di prodotti con elementi digitali che sono conformi al presente regolamento.

  2. In occasione di fiere, mostre e dimostrazioni o eventi analoghi, gli Stati membri non impediscono la presentazione e l’uso di un prodotto con elementi digitali non conforme al presente regolamento, compresi i suoi prototipi, a condizione che il prodotto presenti un’indicazione visibile che specifichi chiaramente che esso non è conforme al presente regolamento e che non deve essere messo a disposizione sul mercato finché non lo sarà.

  3. Gli Stati membri non impediscono la messa a disposizione sul mercato di un software non finito non conforme al presente regolamento, a condizione che il software sia reso disponibile solo per un periodo limitato necessario ai fini di prova e con un’indicazione visibile che specifichi chiaramente che esso non è conforme al presente regolamento e che non sarà disponibile sul mercato per fini diversi dalla prova.

  4. Il paragrafo 3 non si applica ai componenti di sicurezza di cui alla normativa di armonizzazione dell’Unione diversa dal presente regolamento.

Articolo 5 — Acquisto o utilizzo di prodotti con elementi digitali

  1. Il presente regolamento non osta a che gli Stati membri assoggettino i prodotti con elementi digitali a requisiti di cibersicurezza supplementari per l’acquisto o l’utilizzo di tali prodotti per fini specifici, anche nel caso in cui tali prodotti siano acquistati o utilizzati per scopi di sicurezza nazionale o di difesa, purché tali requisiti siano coerenti con gli obblighi degli Stati membri stabiliti dal diritto dell’Unione e siano necessari e proporzionati al conseguimento di tali scopi.

  2. Fatte salve le direttive 2014/24/UE e 2014/25/UE, in caso di acquisto di prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento, gli Stati membri garantiscono che la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I del presente regolamento, compresa la capacità dei fabbricanti di gestire efficacemente le vulnerabilità, sia presa in considerazione nella procedura di appalto.

Articolo 6 — Requisiti per i prodotti con elementi digitali

I prodotti con elementi digitali sono messi a disposizione sul mercato soltanto se:

a) soddisfano i requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, a condizione che siano correttamente installati, siano oggetto di un’adeguata manutenzione e siano utilizzati conformemente alla loro finalità prevista o in condizioni ragionevolmente prevedibili e, se applicabile, siano stati installati i necessari aggiornamenti di sicurezza, e

b) i processi messi in atto dal fabbricante sono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.

Articolo 7 — Prodotti con elementi digitali importanti

  1. I prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti di cui all’allegato III sono considerati prodotti con elementi digitali importanti e sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3. L’integrazione di un prodotto con elementi digitali che ha la funzionalità principale di una categoria di prodotti di cui all’allegato III non rende di per sé il prodotto in cui è integrato assoggettato alle procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3.

  2. Le categorie di prodotti con elementi digitali di cui al paragrafo 1 del presente articolo, suddivise nelle classi I e II di cui all’allegato III, soddisfano almeno uno dei criteri seguenti:

    a) il prodotto con elementi digitali svolge principalmente funzioni essenziali per la cibersicurezza di altri prodotti, reti o servizi, tra cui la sicurezza dell’autenticazione e dell’accesso, la prevenzione e il rilevamento delle intrusioni, la sicurezza dei terminali o la protezione della rete;

    b) il prodotto con elementi digitali svolge una funzione che comporta un rischio significativo di avere effetti negativi in ragione della sua intensità e capacità di perturbare, controllare o danneggiare un gran numero di altri prodotti o la salute, la sicurezza o l’incolumità dei suoi utenti attraverso la manipolazione diretta, come una funzione centrale di sistema, compresi la gestione della rete, il controllo di configurazione, la virtualizzazione o il trattamento dei dati personali.

  3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 al fine di modificare l’allegato III, includendo nell’elenco una nuova categoria all’interno di ciascuna classe di categorie di prodotti con elementi digitali e specificandone la definizione, spostando una categoria di prodotti da una classe all’altra o eliminandone una categoria esistente. Nel valutare la necessità di modificare l’elenco di cui all’allegato III, la Commissione tiene conto delle funzionalità relative alla cibersicurezza o della funzione e del livello di rischio di cibersicurezza posto dai prodotti con elementi digitali come stabilito dai criteri di cui al paragrafo 2 del presente articolo.

    Gli atti delegati di cui al primo comma del presente paragrafo prevedono, se del caso, un periodo di transizione minimo di 12 mesi, in particolare qualora una nuova categoria di prodotti con elementi digitali importanti sia aggiunta alla classe I o II o sia spostata dalla classe I alla classe II di cui all’allegato III, prima che inizino ad applicarsi le pertinenti procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3, a meno che un periodo di transizione più breve non sia giustificato da imperativi motivi di urgenza.

  4. Entro l’11 dicembre 2025 la Commissione adotta un atto di esecuzione che specifica la descrizione tecnica delle categorie di prodotti con elementi digitali delle classi I e II di cui all’allegato III e la descrizione tecnica delle categorie di prodotti con elementi digitali di cui all’allegato IV. Tale atto di esecuzione è adottato conformemente alla procedura d’esame di cui all’articolo 62, paragrafo 2.

Articolo 8 — Prodotti con elementi digitali critici

  1. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 al fine di integrare il presente regolamento per determinare quali prodotti con elementi digitali aventi la funzionalità principale di una categoria di prodotti di cui all’allegato IV del presente regolamento debbano essere tenuti a ottenere un certificato europeo di cibersicurezza a un livello di affidabilità almeno «sostanziale» nell’ambito di un sistema europeo di certificazione della cibersicurezza adottato a norma del regolamento (UE) 2019/881, al fine di dimostrare la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I del presente regolamento o parti di essi, a condizione che un sistema europeo di certificazione della cibersicurezza che copra tali categorie di prodotti con elementi digitali sia stato adottato a norma del regolamento (UE) 2019/881 e sia a disposizione dei fabbricanti. Tali atti delegati specificano il livello di affidabilità richiesto che è proporzionato al livello di rischio di cibersicurezza associato ai prodotti con elementi digitali e tengono conto della loro finalità prevista, compresa la dipendenza critica da essi da parte dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555.

    Prima di adottare tali atti delegati, la Commissione effettua una valutazione del potenziale impatto sul mercato delle misure previste e procede a consultazioni con i portatori di interessi pertinenti, compreso il gruppo europeo per la certificazione della cibersicurezza istituto a norma del regolamento (UE) 2019/881. La valutazione tiene conto della preparazione e del livello di capacità degli Stati membri per l’attuazione del pertinente sistema europeo di certificazione della cibersicurezza. Qualora non siano stati adottati gli atti delegati di cui al primo comma del presente paragrafo, i prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti di cui all’allegato IV sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafo 3.

    Gli atti delegati di cui al primo comma prevedono un periodo di transizione minimo di sei mesi, a meno che un periodo di transizione più breve non sia giustificato da imperativi motivi di urgenza.

  2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per modificare l’allegato IV aggiungendo o ritirando categorie di prodotti con elementi digitali critici. Nel determinare tali categorie di prodotti con elementi digitali critici e il livello di affidabilità richiesto, conformemente al paragrafo 1 del presente articolo, la Commissione tiene conto dei criteri di cui all’articolo 7, paragrafo 2, e garantisce che le categorie di prodotti con elementi digitali soddisfano almeno uno dei criteri seguenti:

    a) vi è una dipendenza critica dei soggetti essenziali di cui all’articolo 3 della direttiva (UE) 2022/2555 dalla categoria di prodotti con elementi digitali;

    b) gli incidenti e le vulnerabilità sfruttate riguardanti la categoria di prodotti con elementi digitali potrebbero causare gravi perturbazioni delle catene di approvvigionamento critiche in tutto il mercato interno.

    Prima di adottare tali atti delegati, la Commissione effettua una valutazione del tipo di cui al paragrafo 1.

    Gli atti delegati di cui al primo comma prevedono un periodo di transizione minimo di sei mesi, a meno che un periodo di transizione più breve non sia giustificato da imperativi motivi di urgenza.

Articolo 9 — Consultazione dei portatori di interessi

  1. Nell’elaborare misure per l’attuazione del presente regolamento, la Commissione consulta e tiene conto dei pareri dei pertinenti portatori di interessi, quali le autorità competenti degli Stati membri, le imprese del settore privato, comprese le microimprese e le piccole e medie imprese, la comunità del software open source, le associazioni dei consumatori, il mondo accademico e le agenzie e gli organismi pertinenti dell’Unione, nonché i gruppi di esperti istituiti a livello dell’Unione. In particolare, la Commissione consulta e raccoglie i pareri di tali portatori di interessi in modo strutturato, se del caso, quando:

    a) elabora gli orientamenti di cui all’articolo 26;

    b) prepara le descrizioni tecniche delle categorie di prodotti di cui all’allegato III conformemente all’articolo 7, paragrafo 4, valuta la necessità di potenziali aggiornamenti dell’elenco delle categorie di prodotti conformemente all’articolo 7, paragrafo 3, e all’articolo 8, paragrafo 2, o effettua la valutazione del potenziale impatto sul mercato di cui all’articolo 8, paragrafo 1, fatto salvo l’articolo 61;

    c) svolge lavori preparatori per la valutazione e il riesame del presente regolamento.

  2. La Commissione organizza periodicamente sessioni di consultazione e informazione, almeno una volta all’anno, per raccogliere i pareri delle parti interessate di cui al paragrafo 1 sull’attuazione del presente regolamento.

Articolo 10 — Migliorare le competenze in un ambiente digitale ciberresiliente

Ai fini del presente regolamento e per rispondere alle esigenze dei professionisti a sostegno dell’attuazione del presente regolamento, gli Stati membri, se del caso, con il sostegno della Commissione, del Centro europeo di competenza per la cibersicurezza e dell’ENISA, nel pieno rispetto della responsabilità degli Stati membri nel settore dell’istruzione, promuovono misure e strategie volte a:

a) sviluppare competenze in materia di cibersicurezza e creare strumenti organizzativi e tecnologici per garantire una disponibilità sufficiente di professionisti qualificati al fine di sostenere le attività delle autorità di vigilanza del mercato e degli organismi di valutazione della conformità;

b) ad aumentare la collaborazione tra il settore privato, gli operatori economici, anche attraverso la riqualificazione o il miglioramento delle competenze dei dipendenti dei fabbricanti, i consumatori, gli erogatori di istruzione e formazione e le pubbliche amministrazioni, ampliando le possibilità per i giovani di accedere a posti di lavoro nel settore della cibersicurezza.

Articolo 11 — Sicurezza generale dei prodotti

In deroga all’articolo 2, paragrafo 1, terzo comma, lettera b), del regolamento (UE) 2023/988, il capo III, sezione 1, i capi V e VII e i capi da IX a XI di tale regolamento si applicano ai prodotti con elementi digitali per quanto riguarda gli aspetti e i rischi o le categorie di rischio non contemplati dal presente regolamento qualora tali prodotti non siano soggetti a requisiti specifici di sicurezza imposti da altra «normativa di armonizzazione dell’Unione» ai sensi dell’articolo 3, punto 27), del regolamento (UE) 2023/988.

Articolo 12 — Sistemi di IA ad alto rischio

  1. Fatti salvi i requisiti relativi all’accuratezza e alla robustezza di cui all’articolo 15 del regolamento (UE) 2024/1689, i prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento e sono classificati come sistemi di IA ad alto rischio ai sensi dell’articolo 6 di tale regolamento sono considerati conformi ai requisiti relativi alla cibersicurezza di cui all’articolo 15 di tale regolamento qualora:

    a) tali prodotti soddisfino i requisiti essenziali di cibersicurezza di cui all’allegato I, parte I;

    b) i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II; e

    c) il conseguimento del livello di protezione della cibersicurezza richiesta a norma dell’articolo 15 del regolamento (UE) 2024/1689 sia dimostrato nella dichiarazione di conformità UE rilasciata a norma del presente regolamento.

  2. Per quanto riguarda i prodotti con elementi digitali e i requisiti di cibersicurezza di cui al paragrafo 1, del presente articolo si applica la pertinente procedura di valutazione della conformità prevista dall’articolo 43 del regolamento (UE) 2024/1689. Ai fini di tale valutazione, gli organismi notificati che sono competenti a controllare la conformità dei sistemi di IA ad alto rischio a norma del regolamento (UE) 2024/1689 sono anche competenti a controllare la conformità dei sistemi di IA ad alto rischio che rientrano nell’ambito di applicazione del presente regolamento ai requisiti di cui all’allegato I del presente regolamento, a condizione che la conformità di tali organismi notificati ai requisiti di cui all’articolo 39 del presente regolamento sia stata valutata nel contesto della procedura di notifica di cui al regolamento (UE) 2024/1689.

  3. In deroga al paragrafo 2 del presente articolo, i prodotti con elementi digitali importanti di cui all’allegato III del presente regolamento che sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafo 2, lettere a) e b), e paragrafo 3, del presente regolamento e i prodotti con elementi digitali critici elencati nell’allegato IV del presente regolamento che sono tenuti a ottenere un certificato europeo di cibersicurezza ai sensi dell’articolo 8, paragrafo 1, del presente regolamento o, in assenza di tale certificato, sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafo 3, del presente regolamento, e che sono anche classificati come sistemi di IA ad alto rischio ai sensi dell’articolo 6 del regolamento (UE) 2024/1689 e ai quali si applica la procedura di valutazione della conformità basata sul controllo interno di cui all’allegato VI del regolamento (UE) 2024/1689, sono soggetti alle procedure di valutazione della conformità previste dal presente regolamento per quanto riguarda i requisiti essenziali di cibersicurezza stabiliti nel presente regolamento.

  4. I fabbricanti di prodotti con elementi digitali di cui al paragrafo 1 del presente regolamento possono partecipare agli spazi di sperimentazione normativa per l’IA di cui all’articolo 57 del regolamento (UE) 2024/1689.