Capo II — Obblighi degli operatori economici e disposizioni in materia di software liberi e open source

Articolo 13 — Obblighi dei fabbricanti¶

1. All’atto dell’immissione sul mercato di un prodotto con elementi digitali, i fabbricanti assicurano che esso sia stato progettato, sviluppato e prodotto conformemente ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I.

2. Ai fini della conformità al paragrafo 1, i fabbricanti effettuano una valutazione dei rischi di cibersicurezza associati a un prodotto con elementi digitali e tengono conto dei risultati di tale valutazione durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto con elementi digitali, allo scopo di ridurre al minimo i rischi di cibersicurezza, prevenire gli incidenti e ridurne al minimo il loro impatto, anche in relazione alla salute e alla sicurezza degli utilizzatori.

3. La valutazione dei rischi di cibersicurezza è documentata e aggiornata, se del caso, durante un periodo di assistenza da determinare conformemente al paragrafo 8 del presente articolo. Tale valutazione comprende almeno un’analisi dei rischi di cibersicurezza basata sulla finalità prevista e sull’uso ragionevolmente prevedibile del prodotto con elementi digitali, nonché sulle sue condizioni d’uso, quali l’ambiente operativo o gli attivi da proteggere, tenendo conto della durata di utilizzo del prodotto prevista. La valutazione dei rischi di cibersicurezza indica se, ed eventualmente in che modo, i requisiti di sicurezza di cui all’allegato I, parte I, punto 2, sono applicabili al pertinente prodotto con elementi digitali e le modalità di attuazione di tali requisiti sulla base della valutazione dei rischi di cibersicurezza. Indica inoltre le modalità con cui il fabbricante intende applicare l’allegato I, parte I, punto 1, e i requisiti di gestione delle vulnerabilità di cui all’allegato I, parte II.

4. All’atto dell’immissione sul mercato di un prodotto con elementi digitali, il fabbricante include la valutazione dei rischi di cibersicurezza di cui al paragrafo 3 del presente articolo nella documentazione tecnica richiesta a norma dell’articolo 31 e dell’allegato VII. Per i prodotti con elementi digitali di cui all’articolo 12, che sono soggetti anche ad altri atti giuridici dell’Unione, la valutazione dei rischi di cibersicurezza può far parte della valutazione dei rischi prevista da tali atti giuridici dell’Unione. Se alcuni requisiti essenziali di cibersicurezza non sono applicabili al prodotto con elementi digitali, il fabbricante fornisce una chiara giustificazione in tal senso nella suddetta documentazione tecnica.

5. Ai fini dell’adempimento dell’obbligo di cui al paragrafo 1, i fabbricanti esercitano la dovuta diligenza quando integrano componenti provenienti da terzi affinché tali componenti non compromettano la cibersicurezza del prodotto con elementi digitali, anche quando integrano componenti di software liberi e open source che non sono stati messi a disposizione sul mercato nel corso di un’attività commerciale.

6. Quando è individuata una vulnerabilità in un componente, compreso un componente open source, integrato nel prodotto con elementi digitali, i fabbricanti la segnalano alla persona o al soggetto che si occupa della fabbricazione o della manutenzione del componente e affrontano e correggono la vulnerabilità conformemente ai requisiti di gestione delle vulnerabilità di cui all’allegato I, parte II. Qualora abbiano sviluppato una modifica del software o dell’hardware per affrontare la vulnerabilità di tale componente, i fabbricanti condividono il codice o la documentazione pertinenti con la persona o il soggetto che si occupa della fabbricazione o della manutenzione del componente, se del caso in un formato leggibile da un dispositivo automatico.

7. I fabbricanti documentano sistematicamente, in modo proporzionato alla natura e ai rischi di cibersicurezza, gli aspetti pertinenti di cibersicurezza relativi al prodotto con elementi digitali, comprese le vulnerabilità di cui vengono a conoscenza e qualsiasi informazione pertinente fornita da terzi e, se del caso, aggiornano la valutazione dei rischi di cibersicurezza del prodotto.

8. All’atto dell’immissione sul mercato di un prodotto con elementi digitali e per la durata del periodo di assistenza, i fabbricanti garantiscono che le vulnerabilità di tale prodotto, compresi i suoi componenti, siano gestite in modo efficace e in conformità dei requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.

   I fabbricanti determinano il periodo di assistenza in modo che rifletta la durata di utilizzo prevista del prodotto, tenendo conto, in particolare, delle ragionevoli aspettative degli utilizzatori, della natura del prodotto, compresa la sua finalità prevista, nonché del pertinente diritto dell’Unione che determina la durata di vita dei prodotti con elementi digitali. Nel determinare il periodo di assistenza, i fabbricanti possono tenere conto anche dei periodi di assistenza dei prodotti con elementi digitali che offrono funzionalità analoghe immessi sul mercato da altri fabbricanti, della disponibilità dell’ambiente operativo, dei periodi di assistenza dei componenti integrati che forniscono funzioni essenziali e che provengono da terzi, nonché degli orientamenti pertinenti forniti dall’apposito gruppo di cooperazione amministrativa (ADCO) istituito a norma dell’articolo 52, paragrafo 15, e dalla Commissione. Le questioni da prendere in considerazione per determinare il periodo di assistenza sono prese in considerazione in modo da garantire la proporzionalità.

   Fatto salvo il secondo comma, il periodo di assistenza è di almeno cinque anni. Se si prevede che il prodotto con elementi digitali sarà utilizzato per meno di cinque anni, il periodo di assistenza corrisponde alla durata di utilizzo prevista.

   Tenendo conto delle raccomandazioni dell’ADCO di cui all’articolo 52, paragrafo 16, la Commissione può adottare atti delegati conformemente all’articolo 61 al fine di integrare il presente regolamento specificando il periodo minimo di assistenza per determinate categorie di prodotti qualora i dati di vigilanza del mercato suggeriscano l’inadeguatezza dei periodi di assistenza.

   I fabbricanti includono nella documentazione tecnica di cui all’allegato VII le informazioni prese in considerazione per determinare il periodo di assistenza di un prodotto con elementi digitali.

   I fabbricanti dispongono di politiche e procedure adeguate, comprese politiche di divulgazione coordinata delle vulnerabilità, di cui all’allegato I, parte II, punto 5, per trattare e correggere potenziali vulnerabilità del prodotto con elementi digitali segnalate da fonti interne o esterne.

9. I fabbricanti garantiscono che ciascun aggiornamento di sicurezza di cui all’allegato I, parte II, punto 8, che è stato messo a disposizione degli utilizzatori durante il periodo di assistenza, rimanga disponibile dopo il rilascio per un minimo di dieci anni o per il restante periodo di assistenza, se quest’ultimo è superiore.

10. Il fabbricante che abbia immesso sul mercato versioni successive sostanzialmente modificate di un software può garantire la conformità al requisito essenziale di cibersicurezza di cui all’allegato I, parte II, punto 2, solo per l’ultima versione immessa sul mercato, a condizione che gli utilizzatori delle versioni precedentemente immesse sul mercato abbiano accesso gratuito all’ultima versione immessa sul mercato e non debbano sostenere costi aggiuntivi per adeguare l’ambiente hardware e software in cui utilizzano la versione originale del prodotto.

11. I fabbricanti possono tenere archivi pubblici di software per migliorare l’accesso degli utilizzatori alle versioni precedenti. In questi casi, gli utilizzatori sono informati in modo chiaro e facilmente accessibile dei rischi associati all’uso di software privi di assistenza.

12. Prima di immettere un prodotto con elementi digitali sul mercato, i fabbricanti redigono la documentazione tecnica di cui all’articolo 31.

    Essi seguono o fanno eseguire le procedure di valutazione della conformità prescelte di cui all’articolo 32.

    Se tale procedura di valutazione della conformità dimostra la conformità del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e dei processi messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II, i fabbricanti redigono la dichiarazione di conformità UE conformemente all’articolo 28 e appongono la marcatura CE conformemente all’articolo 30.

13. I fabbricanti tengono la documentazione tecnica e la dichiarazione di conformità UE a disposizione delle autorità di vigilanza del mercato per un periodo di almeno dieci anni dalla data di immissione sul mercato del prodotto con elementi digitali o per il periodo di assistenza, se quest’ultimo è superiore.

14. I fabbricanti si assicurano che siano predisposte le procedure necessarie affinché i prodotti con elementi digitali fabbricati nell’ambito di una produzione in serie rimangano conformi al presente regolamento. I fabbricanti tengono adeguatamente conto delle modifiche del processo di sviluppo e di produzione o della progettazione o delle caratteristiche del prodotto con elementi digitali, nonché delle modifiche delle norme armonizzate, dei sistemi europei di certificazione della cibersicurezza o delle specifiche comuni di cui all’articolo 27 con riferimento alle quali è dichiarata la conformità del prodotto con elementi digitali o mediante applicazione delle quali tale conformità è verificata.

15. I fabbricanti garantiscono che i loro prodotti con elementi digitali rechino un numero di tipo, di lotto o di serie o qualsiasi altro elemento che ne consenta l’identificazione, oppure, qualora ciò non sia possibile, che tali informazioni siano fornite sull’imballaggio o in un documento di accompagnamento del prodotto con elementi digitali.

16. I fabbricanti indicano il loro nome, la loro denominazione commerciale registrata o il loro marchio registrato, l’indirizzo postale, l’indirizzo di posta elettronica o altri dati di contatto digitale nonché, se disponibile, il sito web presso cui possono essere contattati, sul prodotto con elementi digitali, sull’imballaggio o in un documento di accompagnamento del prodotto con elementi digitali. Tali informazioni sono incluse anche nelle informazioni e nelle istruzioni per l’utilizzatore di cui all’allegato II. I dati di recapito sono redatti in una lingua facilmente comprensibile dagli utilizzatori e dalle autorità di vigilanza del mercato.

17. Ai fini del presente regolamento, i fabbricanti designano un punto di contatto unico che consenta agli utilizzatori di comunicare direttamente e rapidamente con loro, anche per facilitare la segnalazione di vulnerabilità del prodotto con elementi digitali.

    I fabbricanti garantiscono che il punto di contatto unico sia facilmente identificabile dagli utilizzatori. Essi includono inoltre il punto di contatto unico nelle informazioni e istruzioni per l’utilizzatore di cui all’allegato II.

    Il punto di contatto unico consente agli utilizzatori di scegliere i mezzi di comunicazione preferiti, senza limitarli agli strumenti automatizzati.

18. I fabbricanti provvedono affinché i prodotti con elementi digitali siano accompagnati dalle informazioni e dalle istruzioni per l’utilizzatore di cui all’allegato II in forma cartacea o elettronica. Tali informazioni e istruzioni sono fornite in una lingua facilmente comprensibile dagli utilizzatori e dalle autorità di vigilanza del mercato. Sono chiare, comprensibili, intelligibili e leggibili. Consentono un’installazione, un funzionamento e un utilizzo sicuri dei prodotti con elementi digitali. I fabbricanti mantengono a disposizione degli utilizzatori e delle autorità di vigilanza del mercato le informazioni e istruzioni per l’utilizzatore di cui all’allegato II per un periodo di almeno dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore. Qualora tali informazioni e istruzioni siano fornite online, i fabbricanti garantiscono che siano accessibili, di facile uso e disponibili online per un periodo di almeno dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore.

19. I fabbricanti garantiscono che la data finale del periodo di assistenza di cui al paragrafo 8, comprendente almeno il mese e l’anno, sia specificata in modo chiaro e comprensibile al momento dell’acquisto in modo facilmente accessibile e, se del caso, sul prodotto con elementi digitali, sul suo imballaggio o con mezzi digitali.

    Ove tecnicamente fattibile alla luce della natura del prodotto con elementi digitali, i fabbricanti inviano una notifica agli utilizzatori per informarli che il loro prodotto con elementi digitali ha raggiunto la fine del periodo di assistenza.

20. I fabbricanti forniscono una copia della dichiarazione di conformità UE o una dichiarazione di conformità UE semplificata con il prodotto con elementi digitali. Se è fornita una dichiarazione di conformità UE semplificata, questa contiene l’esatto indirizzo Internet dove è possibile accedere alla dichiarazione di conformità UE completa.

21. A partire dall’immissione sul mercato e per la durata del periodo di assistenza, i fabbricanti che hanno la certezza o motivo di credere che il prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I adottano immediatamente le misure correttive necessarie per rendere conformi il prodotto con elementi digitali o i processi del fabbricante oppure, a seconda dei casi, per ritirare o richiamare il prodotto.

22. I fabbricanti, su richiesta motivata di un’autorità di vigilanza del mercato, forniscono a tale autorità, in una lingua che può essere facilmente compresa da quest’ultima, tutte le informazioni e la documentazione, in formato cartaceo o elettronico, necessarie a dimostrare la conformità del prodotto con elementi digitali e dei processi messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I. I fabbricanti cooperano con tale autorità, su richiesta di quest’ultima, in merito a qualsiasi misura adottata per eliminare i rischi di cibersicurezza presentati dal prodotto con elementi digitali che hanno immesso sul mercato.

23. Il fabbricante che cessa l’attività e di conseguenza non è in grado di conformarsi al presente regolamento informa, prima che la cessazione dell’attività abbia effetto, le autorità di vigilanza del mercato competenti, nonché, con ogni mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti pertinenti con elementi digitali interessati immessi sul mercato, dell’imminente cessazione dell’attività.

24. La Commissione può, mediante atti di esecuzione che tengano conto delle norme e delle migliori pratiche europee o internazionali, specificare il formato e gli elementi della distinta base del software di cui all’allegato I, parte II, punto 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

25. Al fine di valutare la dipendenza degli Stati membri e dell’Unione nel suo complesso dai componenti software e, in particolare, dai componenti che si qualificano come software liberi e open source, l’ADCO può decidere di condurre una valutazione della dipendenza a livello dell’Unione per determinate categorie di prodotti con elementi digitali. A tal fine, le autorità di vigilanza del mercato possono chiedere ai fabbricanti di tali categorie di prodotti con elementi digitali di fornire le distinte base del software pertinenti di cui all’allegato I, parte II, punto 1. Sulla base di tali informazioni, le autorità di vigilanza del mercato possono fornire all’ADCO informazioni anonimizzate e aggregate sulle dipendenze in materia di software. L’ADCO presenta una relazione sui risultati della valutazione delle dipendenze al gruppo di cooperazione istituito a norma dell’articolo 14 della direttiva (UE) 2022/2555.

Articolo 14 — Obblighi di segnalazione dei fabbricanti¶

1. Un fabbricante notifica simultaneamente al CSIRT designato come coordinatore, conformemente al paragrafo 7 del presente articolo, e all’ENISA, qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali di cui viene a conoscenza. Il fabbricante notifica tale vulnerabilità attivamente sfruttata tramite la piattaforma unica di segnalazione istituita a norma dell’articolo 16.

2. Ai fini della notifica di cui al paragrafo 1, il fabbricante presenta:

   a) una notifica di preallarme di una vulnerabilità attivamente sfruttata, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui il fabbricante ne è venuto a conoscenza, che indichi, se del caso, gli Stati membri sul cui territorio il fabbricante sia al corrente del fatto che il suo prodotto con elementi digitali è stato messo a disposizione;

   b) a meno che non siano già state fornite le informazioni pertinenti, una notifica delle vulnerabilità, senza indebito ritardo e in ogni caso entro 72 ore dal momento in cui il fabbricante è venuto a conoscenza della vulnerabilità attivamente sfruttata, che fornisca informazioni generali, se disponibili, sul prodotto con elementi digitali interessato, sulla natura generale dello sfruttamento e della vulnerabilità in questione, nonché sulle eventuali misure correttive o di attenuazione adottate e sulle misure correttive o di attenuazione che gli utilizzatori possono adottare, e che indichi anche, se del caso, il grado di sensibilità attribuito dal fabbricante alle informazioni notificate;

   c) a meno che non siano già state fornite le informazioni pertinenti, una relazione finale, entro 14 giorni dalla messa a disposizione di una misura correttiva o di attenuazione, che comprenda almeno:

   i) una descrizione della vulnerabilità, compresi la sua gravità e il suo impatto;

   ii) se disponibili, informazioni relative a qualsiasi soggetto malintenzionato che abbia sfruttato o che sfrutti la vulnerabilità;

   iii) informazioni dettagliate relative all’aggiornamento di sicurezza o ad altre misure correttive messe a disposizione per porre rimedio alla vulnerabilità.

3. Un fabbricante notifica simultaneamente al CSIRT designato come coordinatore, conformemente al paragrafo 7 del presente articolo, e all’ENISA, qualsiasi incidente grave che abbia un impatto sulla sicurezza del prodotto con elementi digitali di cui viene a conoscenza. Il fabbricante notifica tale incidente tramite la piattaforma unica di segnalazione istituita a norma dell’articolo 16.

4. Ai fini della notifica di cui al paragrafo 3, il fabbricante presenta:

   a) una notifica di preallarme di un incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui il fabbricante ne è venuto a conoscenza, che precisi, come minimo, se si sospetta che l’incidente sia il risultato di atti illegittimi o malevoli, e che indichi, se del caso, gli Stati membri sul cui territorio il fabbricante sia al corrente del fatto che il suo prodotto con elementi digitali è stato messo a disposizione;

   b) a meno che non siano già state fornite le informazioni pertinenti, una notifica dell’incidente, senza indebito ritardo e in ogni caso entro 72 ore dal momento in cui il fabbricante ne è venuto a conoscenza, che fornisca informazioni generali, se disponibili, sulla natura dell’incidente, una valutazione iniziale dell’incidente, nonché le eventuali misure correttive o di attenuazione adottate e le misure correttive o di attenuazione che gli utilizzatori possono adottare, e che indichi anche, se del caso, il grado di sensibilità attribuito dal fabbricante alle informazioni notificate;

   c) a meno che non siano già state fornite le informazioni pertinenti, una relazione finale entro un mese dalla trasmissione della notifica di incidente di cui alla lettera b), che comprenda almeno:

   i) una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto;

   ii) il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente;

   iii) le misure di attenuazione adottate e in corso;

5. Ai fini del paragrafo 3, un incidente che ha un impatto sulla sicurezza del prodotto con elementi digitali è considerato grave se:

   a) incide negativamente o è in grado di incidere negativamente sulla capacità di un prodotto con elementi digitali di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza di dati o funzioni sensibili o importanti; o

   b) ha portato o è in grado di portare all’introduzione o all’esecuzione di un codice maligno in un prodotto con elementi digitali o nei sistemi informativi e di rete di un utilizzatore del prodotto con elementi digitali.

6. Se necessario, il CSIRT designato come coordinatore che ha ricevuto per primo la notifica può chiedere ai fabbricanti di fornire una relazione intermedia sui pertinenti aggiornamenti della situazione sulla vulnerabilità attivamente sfruttata o sull’incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali.

7. Le notifiche di cui ai paragrafi 1 e 3 del presente articolo sono trasmesse attraverso la piattaforma unica di segnalazione di cui all’articolo 16 utilizzando uno dei terminali per la notifica elettronica di cui all’articolo 16, paragrafo 1. La notifica è trasmessa utilizzando il terminale per la notifica elettronica del CSIRT designato come coordinatore dello Stato membro in cui i fabbricanti hanno lo stabilimento principale nell’Unione ed è contemporaneamente accessibile all’ENISA.

   a) lo Stato membro in cui è stabilito il rappresentante autorizzato che agisce per conto del fabbricante per il maggior numero di prodotti con elementi digitali di tale fabbricante;

   b) lo Stato membro in cui è stabilito l’importatore che immette sul mercato il maggior numero di prodotti con elementi digitali di tale fabbricante;

   c) lo Stato membro in cui è stabilito il distributore che mette a disposizione sul mercato il maggior numero di prodotti con elementi digitali di tale fabbricante;

   d) lo Stato membro in cui è situato il maggior numero di utilizzatori di prodotti con elementi digitali di tale fabbricante.

   Ai fini del presente regolamento, si considera che un fabbricante abbia il suo stabilimento principale nell’Unione nello Stato membro in cui sono prevalentemente adottate le decisioni relative alla cibersicurezza dei suoi prodotti con elementi digitali. Se non è possibile determinare detto Stato membro, si considera che lo stabilimento principale sia nello Stato membro in cui il fabbricante ha lo stabilimento con il maggior numero di dipendenti nell’Unione.

   Se non ha uno stabilimento principale nell’Unione, il fabbricante trasmette le notifiche di cui ai paragrafi 1 e 3 utilizzando il terminale per la notifica elettronica del CSIRT designato come coordinatore nello Stato membro determinato secondo l’ordine seguente e sulla base delle informazioni a disposizione del fabbricante:

   In relazione al terzo comma, lettera d), un fabbricante può presentare notifiche relative a qualsiasi successiva vulnerabilità attivamente sfruttata o incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali allo stesso CSIRT designato come coordinatore a cui ha presentato la prima notifica.

8. Dal momento in cui è venuto a conoscenza di una vulnerabilità attivamente sfruttata o di un incidente grave avente un impatto sulla sicurezza del prodotto con elementi digitali, il fabbricante informa gli utilizzatori interessati del prodotto con elementi digitali e, se del caso, tutti gli utilizzatori, di tale vulnerabilità o incidente e, se necessario, di qualsiasi attenuazione dei rischi e misure correttive che gli utilizzatori possono adottare per attenuare l’impatto di tale vulnerabilità o incidente, se del caso in un formato strutturato, leggibile da un dispositivo automatico e che possa essere facilmente elaborato automaticamente. Se il fabbricante non informa tempestivamente gli utilizzatori del prodotto con elementi digitali, i CSIRT designati come coordinatori che hanno ricevuto la notifica possono fornire tali informazioni agli utilizzatori se ritenuto proporzionato e necessario per prevenire o attenuare l’impatto di tale vulnerabilità o incidente.

9. Entro l’11 dicembre 2025 la Commissione adotta atti delegati conformemente all’articolo 61 per integrare il presente regolamento specificando i termini e le condizioni per l’applicazione dei motivi connessi alla cibersicurezza relativamente al ritardo nella diffusione delle notifiche di cui all’articolo 16, paragrafo 2. La Commissione coopera con la rete di CSIRT istituita a norma dell’articolo 15 della direttiva (UE) 2022/2555 e con l’ENISA nella preparazione dei progetti di atti delegati.

10. La Commissione può, mediante atti di esecuzione, specificare ulteriormente il formato e le procedure di trasmissione delle notifiche di cui al presente articolo, nonché agli articoli 15 e 16. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2. La Commissione coopera con la rete di CSIRT e con l’ENISA nella preparazione del progetto di atto delegato.

Articolo 15 — Segnalazione volontaria¶

1. I fabbricanti e altre persone fisiche o giuridiche possono notificare a un CSIRT designato come coordinatore o all’ENISA, su base volontaria, qualsiasi vulnerabilità contenuta in un prodotto con elementi digitali nonché le minacce informatiche che potrebbero incidere sul profilo di rischio di un prodotto con elementi digitali.

2. I fabbricanti e altre persone fisiche o giuridiche possono notificare a un CSIRT designato come coordinatore o all’ENISA, su base volontaria, qualsiasi incidente che abbia un impatto sulla sicurezza del prodotto con elementi digitali e qualsiasi quasi incidente che avrebbe potuto tradursi in un simile incidente.

3. Il CSIRT designato come coordinatore o l’ENISA trattano le notifiche di cui ai paragrafi 1 e 2 del presente articolo secondo la procedura di cui all’articolo 16.

   Il CSIRT designato come coordinatore può trattare le notifiche obbligatorie in via prioritaria rispetto alle notifiche volontarie.

4. Qualora una persona fisica o giuridica diversa dal fabbricante notifichi una vulnerabilità attivamente sfruttata o un incidente grave che ha un impatto sulla sicurezza di un prodotto con elementi digitali conformemente al paragrafo 1 o 2, il CSIRT designato come coordinatore ne informa senza indebito ritardo il fabbricante.

5. I CSIRT designati come coordinatori e l’ENISA garantiscono la riservatezza e la protezione adeguata delle informazioni fornite da una persona fisica o giuridica notificante. Fatti salvi la prevenzione, l’indagine, l’accertamento e il perseguimento di reati, la segnalazione volontaria non ha l’effetto di imporre alla persona fisica o giuridica notificante alcun obbligo aggiuntivo a cui non sarebbe stata sottoposta se non avesse trasmesso la notifica.

Articolo 16 — Istituzione di una piattaforma unica di segnalazione¶

1. Ai fini delle notifiche di cui all’articolo 14, paragrafi 1 e 3, e all’articolo 15, paragrafi 1 e 2, e per semplificare gli obblighi di segnalazione dei fabbricanti, l’ENISA istituisce una piattaforma unica di segnalazione. Le operazioni quotidiane di tale piattaforma unica di segnalazione sono gestite e mantenute dall’ENISA. L’architettura della piattaforma unica di segnalazione consente agli Stati membri e all’ENISA di predisporre i propri terminali per la notifica elettronica.

2. Dopo aver ricevuto una notifica, il CSIRT designato come coordinatore che ha ricevuto per primo la notifica la diffonde senza ritardo attraverso la piattaforma unica di segnalazione ai CSIRT designati come coordinatori sul cui territorio il fabbricante ha indicato che il prodotto con elementi digitali è stato messo a disposizione.

   a) che la vulnerabilità notificata è stata attivamente sfruttata da un soggetto malintenzionato e, in base alle informazioni disponibili, non è stata sfruttata in altri Stati membri oltre a quello del CSIRT designato come coordinatore al quale il fabbricante ha notificato la vulnerabilità;

   b) che un’ulteriore diffusione immediata della vulnerabilità notificata comporterebbe probabilmente la fornitura di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali di tale Stato membro; o

   c) che l’ulteriore diffusione della vulnerabilità notificata si tradurrebbe in un rischio di cibersicurezza elevato e imminente;

   In circostanze eccezionali e, in particolare, su richiesta del fabbricante e alla luce del grado di sensibilità delle informazioni notificate indicato dal fabbricante a norma dell’articolo 14, paragrafo 2, lettera a), del presente regolamento, la diffusione della notifica può essere ritardata per motivi connessi alla cibersicurezza per un periodo di tempo strettamente necessario, anche nel caso in cui una vulnerabilità sia oggetto di una procedura di divulgazione coordinata delle vulnerabilità di cui all’articolo 12, paragrafo 1, della direttiva (UE) 2022/2555. Qualora un CSIRT decida di trattenere una notifica, informa immediatamente l’ENISA della decisione e fornisce sia una giustificazione per il trattenimento della notifica sia un’indicazione di quando diffonderà la notifica secondo la procedura di diffusione di cui al presente paragrafo. L’ENISA può sostenere il CSIRT nell’applicazione dei motivi connessi alla cibersicurezza relativamente al ritardo nella diffusione della notifica.

   In circostanze particolarmente eccezionali, se il fabbricante indica nella notifica di cui all’articolo 14, paragrafo 2, lettera b):

   unicamente l’informazione dell’avvenuta notifica da parte del fabbricante, le informazioni generali sul prodotto, le informazioni sulla natura generale dello sfruttamento e l’informazione che sono stati sollevati motivi di sicurezza, devono essere rese simultaneamente disponibili a l’ENISA fino a quando la notifica completa non viene diffusa ai CSIRT interessati e all’ENISA. Se l’ENISA, sulla base di tali informazioni, ritiene che vi sia un rischio sistemico capace di incidere sulla sicurezza del mercato interno, raccomanda al CSIRT ricevente di diffondere la notifica completa agli altri CSIRT designati come coordinatori e all’ENISA stessa.

3. Dopo aver ricevuto la notifica di una vulnerabilità attivamente sfruttata in un prodotto con elementi digitali o di un incidente grave che ha un impatto sulla sicurezza di un prodotto con elementi digitali, i CSIRT designati come coordinatori forniscono alle autorità di vigilanza del mercato dei rispettivi Stati membri le informazioni notificate necessarie alle autorità di vigilanza del mercato per adempiere ai loro obblighi a norma del presente regolamento.

4. L’ENISA adotta misure adeguate e proporzionate dal punto di vista tecnico, operativo e organizzativo per gestire i rischi posti alla sicurezza della piattaforma unica di segnalazione e alle informazioni trasmesse o diffuse attraverso la stessa. Essa notifica senza indebito ritardo alla rete di CSIRT e alla Commissione qualsiasi incidente di sicurezza che incida sulla piattaforma unica di segnalazione.

5. L’ENISA, in cooperazione con la rete di CSIRT, fornisce e attua specifiche sulle misure tecniche, operative e organizzative relative all’istituzione, alla manutenzione e al funzionamento sicuro della piattaforma unica di segnalazione di cui al paragrafo 1, comprese almeno le disposizioni in materia di sicurezza relative all’istituzione, al funzionamento e alla manutenzione della piattaforma unica di segnalazione, nonché i terminali per la notifica elettronica istituiti dai CSIRT designati come coordinatori a livello nazionale e dall’ENISA a livello di Unione, compresi gli aspetti procedurali per garantire che, qualora per una vulnerabilità notificata non siano disponibili misure correttive o di attenuazione, le informazioni su tale vulnerabilità siano condivise nel rispetto di rigorosi protocolli di sicurezza e in funzione della necessità di conoscere.

6. Qualora un CSIRT designato come coordinatore sia stato informato di una vulnerabilità attivamente sfruttata nell’ambito di una procedura di divulgazione coordinata delle vulnerabilità di cui all’articolo 12, paragrafo 1, della direttiva (UE) 2022/2555, il CSIRT designato come coordinatore che ha ricevuto per primo la notifica può ritardare la diffusione della notifica in questione attraverso la piattaforma unica di segnalazione sulla base di motivi giustificati legati alla cibersicurezza per un periodo non superiore a quello strettamente necessario e fino a quando non sia stato dato il consenso alla divulgazione dalle parti coinvolte nella divulgazione coordinata delle vulnerabilità. Tale requisito non impedisce ai fabbricanti di notificare tale vulnerabilità su base volontaria secondo la procedura di cui al presente articolo.

Articolo 17 — Altre disposizioni relative alla segnalazione¶

1. L’ENISA può trasmettere alla rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe), istituita a norma dell’articolo 16 della direttiva (UE) 2022/2555, le informazioni notificate a norma dell’articolo 14, paragrafi 1 e 3, e dell’articolo 15, paragrafi 1 e 2, del presente regolamento se tali informazioni sono pertinenti per la gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala a livello operativo. Al fine di determinare tale pertinenza, l’ENISA può prendere in considerazione le analisi tecniche effettuate dalla rete di CSIRT, se disponibili.

2. Qualora sia necessario sensibilizzare il pubblico per prevenire o attenuare un incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali o per gestire un incidente in corso, o qualora la divulgazione dell’incidente sia altrimenti nell’interesse pubblico, il CSIRT designato come coordinatore dello Stato membro pertinente può, previa consultazione del fabbricante interessato e, se del caso, in cooperazione con l’ENISA, informare il pubblico in merito all’incidente o chiedere al fabbricante di farlo.

3. L’ENISA, sulla base delle notifiche ricevute a norma dell’articolo 14, paragrafi 1 e 3, e dell’articolo 15, paragrafi 1 e 2, del presente regolamento elabora, ogni 24 mesi, una relazione tecnica sulle tendenze emergenti in materia di rischi di cibersicurezza nei prodotti con elementi digitali e la presenta al gruppo di cooperazione istituito dall’articolo 14 della direttiva (UE) 2022/2555. La prima relazione di questo tipo è presentata entro 24 mesi dalla data di applicazione degli obblighi stabiliti all’articolo 14, paragrafi 1 e 3. L’ENISA integra le informazioni pertinenti tratte dalle sue relazioni tecniche nella sua relazione sullo stato della cibersicurezza nell’Unione, presentata a norma dell’articolo 18 della direttiva (UE) 2022/2555.

4. La sola notifica in conformità dell’articolo 14, paragrafi 1 e 3, o dell’articolo 15, paragrafi 1 e 2, non sottopone la persona fisica o giuridica notificante a una maggiore responsabilità.

5. Dopo la messa a disposizione di un aggiornamento di sicurezza o l’adozione di un’altra forma di misure correttive o di attenuazione, l’ENISA, d’intesa con il fabbricante del prodotto con elementi digitali interessato, aggiunge la vulnerabilità notificata a norma dell’articolo 14, paragrafo 1, o dell’articolo 15, paragrafo 1, del presente regolamento alla banca dati europea delle vulnerabilità istituita a norma dell’articolo 12 della direttiva (UE) 2022/2555.

6. I CSIRT designati come coordinatori prestano assistenza tecnica in relazione agli obblighi di segnalazione a norma dell’articolo 14 ai fabbricanti e in particolare ai fabbricanti che si qualificano come microimprese o piccole o medie imprese.

Articolo 18 — Rappresentanti autorizzati¶

1. Un fabbricante può nominare, mediante mandato scritto, un rappresentante autorizzato.

2. Gli obblighi di cui all’articolo 13, paragrafi da 1 a 11, paragrafo 12, primo comma, e paragrafo 14, non rientrano nel mandato del rappresentante autorizzato.

3. Il rappresentante autorizzato esegue i compiti specificati nel mandato ricevuto dal fabbricante. Il rappresentante autorizzato fornisce una copia del mandato alle autorità di vigilanza del mercato su richiesta. Tale mandato consente al rappresentante autorizzato di svolgere almeno i seguenti compiti:

   a) mantenere a disposizione delle autorità di vigilanza del mercato la dichiarazione di conformità UE di cui all’articolo 28 e la documentazione tecnica di cui all’articolo 31 per un periodo di almeno dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per la durata del periodo di assistenza, se quest’ultimo è superiore;

   b) a seguito di una richiesta motivata di un’autorità di vigilanza del mercato, fornire a tale autorità tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali;

   c) collaborare con le autorità di vigilanza del mercato, su richiesta di queste ultime, a qualsiasi azione intrapresa per eliminare i rischi posti da un prodotto con elementi digitali che rientra nel suo mandato.

Articolo 19 — Obblighi degli importatori¶

1. Gli importatori immettono sul mercato solo prodotti con elementi digitali conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e laddove i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.

2. Prima di immettere un prodotto con elementi digitali sul mercato gli importatori si accertano che:

   a) il fabbricante abbia eseguito le procedure di valutazione della conformità appropriate di cui all’articolo 32;

   b) il fabbricante abbia redatto la documentazione tecnica;

   c) il prodotto con elementi digitali rechi la marcatura CE di cui all’articolo 30 e sia accompagnato dalla dichiarazione di conformità UE di cui all’articolo 13, paragrafo 20, e dalle informazioni e dalle istruzioni per l’utilizzatore di cui all’allegato II, redatte in una lingua facilmente comprensibile per gli utilizzatori e le autorità di vigilanza del mercato;

   d) il fabbricante abbia soddisfatto i requisiti di cui all’articolo 13, paragrafi 15, 16 e 19.

   Ai fini del presente paragrafo, gli importatori sono in grado di fornire la documentazione necessaria a comprovare il rispetto dei requisiti di cui al presente articolo.

3. Qualora ritenga o abbia motivo di credere che un prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi al presente regolamento, l’importatore non immette il prodotto sul mercato fino a quando il prodotto o i processi messi in atto dal fabbricante non siano stati resi conformi al presente regolamento. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, l’importatore ne informa il fabbricante e le autorità di vigilanza del mercato.

   Qualora abbia motivo di credere che un prodotto con elementi digitali possa presentare un rischio di cibersicurezza significativo alla luce di fattori di rischio non tecnici, l’importatore ne informa le autorità di vigilanza del mercato. Non appena ricevute tali informazioni, le autorità di vigilanza del mercato seguono le procedure di cui all’articolo 54, paragrafo 2.

4. Gli importatori indicano il loro nome, la loro denominazione commerciale registrata o il loro marchio registrato, l’indirizzo postale, l’indirizzo di posta elettronica o altro contatto digitale nonché, se disponibile, il sito web ai quali possono essere contattati sul prodotto con elementi digitali oppure sull’imballaggio o in un documento di accompagnamento del prodotto con elementi digitali. I dati di recapito sono redatti in una lingua facilmente comprensibile dagli utilizzatori e dalle autorità di vigilanza del mercato.

5. Gli importatori che hanno la certezza o hanno motivo di credere che un prodotto con elementi digitali che hanno immesso sul mercato non sia conforme al presente regolamento adottano immediatamente le misure correttive necessarie per far sì che tale prodotto con elementi digitali sia reso conforme al presente regolamento, oppure, se del caso, per ritirare o richiamare il prodotto.

   Quando vengono a conoscenza di una vulnerabilità nel prodotto con elementi digitali, gli importatori ne informano il fabbricante senza indebito ritardo. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, gli importatori ne informano immediatamente le autorità di vigilanza del mercato degli Stati membri in cui hanno messo a disposizione sul mercato il prodotto con elementi digitali, dando in particolare informazioni dettagliate sulla non conformità e su eventuali misure correttive adottate.

6. Gli importatori mantengono una copia della dichiarazione di conformità UE a disposizione delle autorità di vigilanza del mercato per un periodo di almeno dieci anni dalla data di immissione sul mercato del prodotto con elementi digitali o per la durata del periodo di assistenza, se quest’ultimo è superiore, e si accertano che la documentazione tecnica possa essere messa a disposizione di tali autorità, su richiesta.

7. A seguito di una richiesta motivata di un’autorità di vigilanza del mercato, gli importatori forniscono a quest’ultima, in formato cartaceo o elettronico, tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, nonché la conformità dei processi messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II, in una lingua che possa essere facilmente compresa da tale autorità. Essi cooperano con tale autorità, su sua richiesta, a qualsiasi misura adottata per eliminare i rischi di cibersicurezza presentati da un prodotto con elementi digitali da essi immesso sul mercato.

8. Qualora venga a conoscenza del fatto che il fabbricante di un prodotto con elementi digitali ha cessato l’attività e di conseguenza non è in grado di rispettare gli obblighi previsti dal presente regolamento, l’importatore di tale prodotto ne informa le autorità di vigilanza del mercato competenti nonché, con qualsiasi mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti con elementi digitali immessi sul mercato.

Articolo 20 — Obblighi dei distributori¶

1. Quando mettono un prodotto con elementi digitali a disposizione sul mercato, i distributori esercitano la dovuta diligenza per rispettare i requisiti stabiliti dal presente regolamento.

2. Prima di mettere un prodotto con elementi digitali a disposizione sul mercato, i distributori verificano che:

   a) il prodotto con elementi digitali rechi la marcatura CE;

   b) il fabbricante e l’importatore abbiano rispettato gli obblighi previsti dall’articolo 13, paragrafi 15, 16, 18, 19 e 20, e dall’articolo 19, paragrafo 4, e abbiano trasmesso tutta la documentazione necessaria al distributore.

3. Se un distributore ritiene o ha motivo di credere, sulla base delle informazioni in suo possesso, che un prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, il distributore non mette il prodotto con elementi digitali a disposizione sul mercato fino a quando il prodotto o i processi messi in atto dal fabbricante non siano stati resi conformi al presente regolamento. Inoltre, quando il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, il distributore ne informa, senza indebito ritardo, il fabbricante e le autorità di vigilanza del mercato.

4. I distributori che hanno la certezza o hanno motivo di credere, sulla base delle informazioni in loro possesso, che un prodotto con elementi digitali che hanno messo a disposizione sul mercato o i processi messi in atto dal suo fabbricante non siano conformi al presente regolamento si assicurano che siano adottate le misure correttive necessarie per rendere conformi tale prodotto con elementi digitali o i processi messi in atto dal suo fabbricante oppure, se del caso, per ritirare o richiamare il prodotto.

   Quando vengono a conoscenza di una vulnerabilità nel prodotto con elementi digitali, i distributori ne informano il fabbricante senza indebito ritardo. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, i distributori ne informano immediatamente le autorità di vigilanza del mercato degli Stati membri in cui hanno messo a disposizione sul mercato il prodotto con elementi digitali, dando in particolare informazioni dettagliate sulla non conformità e su eventuali misure correttive adottate.

5. A seguito di una richiesta motivata di un’autorità di vigilanza del mercato, i distributori forniscono, in formato cartaceo o elettronico, tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali e dei processi messi in atto dal suo fabbricante al presente regolamento in una lingua che possa essere facilmente compresa da tale autorità. Essi cooperano con tale autorità, su sua richiesta, a qualsiasi misura adottata per eliminare i rischi di cibersicurezza presentati da un prodotto con elementi digitali da essi messo a disposizione sul mercato.

6. Qualora venga a conoscenza, sulla base delle informazioni in suo possesso, del fatto che il fabbricante di un prodotto con elementi digitali ha cessato l’attività e di conseguenza non è in grado di rispettare gli obblighi previsti dal presente regolamento, il distributore di tale prodotto ne informa, senza indebito ritardo, le autorità di vigilanza del mercato competenti nonché, con qualsiasi mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti con elementi digitali immessi sul mercato.

Articolo 21 — Casi in cui gli obblighi dei fabbricanti si applicano agli importatori e ai distributori¶

Un importatore o distributore è ritenuto un fabbricante ai fini del presente regolamento, ed è soggetto agli obblighi di cui agli articoli 13 e 14, quando immette sul mercato un prodotto con elementi digitali con il proprio nome o marchio commerciale o apporta una modifica sostanziale a un prodotto con elementi digitali già immesso sul mercato.

Articolo 22 — Altri casi in cui si applicano gli obblighi dei fabbricanti¶

1. Una persona fisica o giuridica, diversa dal fabbricante, dall’importatore o dal distributore, che apporta una modifica sostanziale a un prodotto con elementi digitali e mette tale prodotto a disposizione sul mercato è considerata un fabbricante ai fini del presente regolamento.

2. La persona di cui al paragrafo 1 del presente articolo è soggetta agli obblighi di cui agli articoli 13 e 14 per la parte del prodotto con elementi digitali interessata da tale modifica sostanziale oppure, se la modifica sostanziale incide sulla cibersicurezza del prodotto con elementi digitali nel suo complesso, per l’intero prodotto.

Articolo 23 — Identificazione degli operatori economici¶

1. Gli operatori economici, su richiesta, forniscono alle autorità di vigilanza del mercato le informazioni seguenti:

   a) il nome e l’indirizzo di qualsiasi operatore economico che abbia fornito loro un prodotto con elementi digitali;

   b) se disponibili, il nome e l’indirizzo di qualsiasi operatore economico cui essi abbiano fornito un prodotto con elementi digitali.

2. Gli operatori economici si assicurano di essere in grado di presentare le informazioni di cui al paragrafo 1 per dieci anni dal momento in cui sia stato loro fornito un prodotto con elementi digitali e per dieci anni dal momento in cui essi abbiano fornito il prodotto con elementi digitali.

Articolo 24 — Obblighi dei gestori di software open source¶

1. I gestori di software open source mettono in atto e documentano in modo verificabile una politica in materia di cibersicurezza per promuovere lo sviluppo di un prodotto con elementi digitali sicuro nonché una gestione efficace delle vulnerabilità da parte degli sviluppatori di tale prodotto. Tale politica promuove inoltre la segnalazione volontaria di vulnerabilità di cui all’articolo 15 da parte degli sviluppatori di tale prodotto e tiene conto della natura specifica del software open source e delle disposizioni giuridiche e organizzative cui è soggetto. La politica include, in particolare, aspetti relativi alla documentazione, al trattamento e alla correzione delle vulnerabilità e promuove la condivisione di informazioni relative alle vulnerabilità individuate nell’ambito della comunità open source.

2. I gestori di software open source cooperano con le autorità di vigilanza del mercato, su loro richiesta, al fine di attenuare i rischi di cibersicurezza presentati da un prodotto con elementi digitali che si qualificano come software liberi e open source.

   A seguito di una richiesta motivata di un’autorità di vigilanza del mercato, i gestori di software open source forniscono a tale autorità, in una lingua che possa essere facilmente compresa da quest’ultima, la documentazione di cui al paragrafo 1, in formato cartaceo o elettronico.

3. Gli obblighi di cui all’articolo 14, paragrafo 1, si applicano ai gestori di software open source nella misura in cui sono coinvolti nello sviluppo dei prodotti con elementi digitali. Gli obblighi di cui all’articolo 14, paragrafi 3 e 8, si applicano ai gestori di software open source nella misura in cui incidenti gravi che hanno un impatto sulla sicurezza dei prodotti con elementi digitali incidano sui sistemi informativi e di rete forniti da tali gestori di software open source per lo sviluppo di tali prodotti.

Articolo 25 — Attestazione di sicurezza dei software liberi e open source¶

Al fine di agevolare l’obbligo di dovuta diligenza di cui all’articolo 13, paragrafo 5, in particolare per quanto riguarda i fabbricanti che integrano componenti software liberi e open source nei loro prodotti con elementi digitali, alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 al fine di integrare il presente regolamento istituendo programmi volontari di attestazione di sicurezza che consentano agli sviluppatori o agli utilizzatori di prodotti con elementi digitali che si qualificano come software liberi e open source, nonché ad altri soggetti terzi, di valutare la conformità di tali prodotti a tutti o a determinati requisiti essenziali di cibersicurezza o ad altri obblighi di cui al presente regolamento.

Articolo 26 — Orientamenti¶

1. Al fine di agevolare l’attuazione e di assicurarne la coerenza, la Commissione pubblica orientamenti per assistere gli operatori economici nell’applicazione del presente regolamento, con particolare attenzione all’agevolazione della conformità da parte delle microimprese e delle piccole e medie imprese.

2. Qualora intenda fornire gli orientamenti di cui al paragrafo 1, la Commissione affronta almeno gli aspetti seguenti:

   a) l’ambito di applicazione del presente regolamento, con particolare attenzione alle soluzioni di elaborazione dati da remoto e ai software liberi e open-source;

   b) l’applicazione di periodi di assistenza in relazione a particolari categorie di prodotti con elementi digitali;

   c) orientamenti destinati ai fabbricanti soggetti al presente regolamento che sono anche soggetti ad altre normative di armonizzazione dell’Unione diverse dal presente regolamento o ad altri atti giuridici dell’Unione correlati;

   d) il concetto di modifica sostanziale.

   La Commissione mantiene inoltre un elenco facilmente fruibile degli atti delegati e di esecuzione adottati a norma del presente regolamento.

3. Nell’elaborare gli orientamenti a norma del presente articolo, la Commissione consulta i portatori di interessi pertinenti.