Vai al contenuto

Capo III — Conformità del prodotto con elementi digitali

Articolo 27 — Presunzione di conformità

  1. I prodotti con elementi digitali e i processi messi in atto dal fabbricante che sono conformi alle norme armonizzate o a parti di esse i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I oggetto di tali norme o parti di esse.

    In conformità dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate per i requisiti essenziali di cibersicurezza di cui all’allegato I del presente regolamento. Nel preparare richieste di normazione per il presente regolamento, la Commissione si adopera per tenere conto delle norme europee ed internazionali esistenti in materia di cibersicurezza, siano esse in vigore o in corso di elaborazione, al fine di semplificare lo sviluppo delle norme armonizzate, ai sensi del regolamento (UE) n. 1025/2012.

  2. Alla Commissione è conferito il potere di adottare atti di esecuzione che stabiliscono specifiche comuni relative ai requisiti tecnici che forniscono i mezzi per soddisfare i requisiti essenziali di cibersicurezza di cui all’allegato I per i prodotti con elementi digitali rientranti nell’ambito di applicazione del presente regolamento.

    a) la Commissione ha richiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di redigere una norma armonizzata per i requisiti essenziali di cibersicurezza di cui all’allegato I, e:

    i) la richiesta non è stata accettata;

    ii) le norme armonizzate relative a tale richiesta non sono fornite entro il termine stabilito conformemente all’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012; o

    iii) le norme armonizzate non sono conformi alla richiesta; e

    b) nessun riferimento a norme armonizzate che contemplano i requisiti essenziali di cibersicurezza pertinenti di cui all’allegato I del presente regolamento è stato pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole.

    Tali atti di esecuzione sono adottati solo laddove siano soddisfatte le condizioni seguenti:

    Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

  3. Prima di preparare il progetto di atto di esecuzione di cui al paragrafo 2 del presente articolo, la Commissione informa il comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 di ritenere soddisfatte le condizioni di cui al paragrafo 2 del presente articolo.

  4. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 2, la Commissione tiene conto dei pareri degli organi competenti e consulta debitamente tutti i portatori di interessi pertinenti.

  5. I prodotti con elementi digitali e i processi messi in atto dal fabbricante che sono conformi alle specifiche comuni stabilite dagli atti di esecuzione di cui al paragrafo 2 del presente articolo, o a parti di esse, si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I oggetto di tali specifiche comuni o di loro parti.

  6. Qualora una norma armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione al fine di pubblicarne il riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma armonizzata conformemente al regolamento (UE) n. 1025/2012. Quando un riferimento a una norma armonizzata è pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 2 del presente articolo, o parti di essi, che riguardano gli stessi requisiti essenziali di cibersicurezza contemplati da tale norma armonizzata.

  7. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamente i requisiti essenziali di cibersicurezza di cui all’allegato I, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

  8. I prodotti con elementi digitali e i processi messi in atto dal fabbricante per i quali sono stati rilasciati un certificato o una dichiarazione di conformità UE nell’ambito di un sistema europeo di certificazione della cibersicurezza adottato a norma del regolamento (UE) 2019/881 si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, nella misura in cui tali requisiti siano contemplati dal certificato europeo di cibersicurezza o dalla dichiarazione di conformità UE o da loro parti.

  9. Alla Commissione è conferito il potere di adottare atti delegati ai sensi dell’articolo 61 del presente regolamento per integrare il presente regolamento specificando i sistemi europei di certificazione della cibersicurezza adottati a norma del regolamento (UE) 2019/881 che possono essere utilizzati per dimostrare la conformità dei prodotti con elementi digitali ai requisiti essenziali di cibersicurezza o a parti di essi di cui all’allegato I del presente regolamento. Inoltre l’emissione di un certificato europeo di cibersicurezza rilasciato nell’ambito di tali sistemi con un livello di affidabilità almeno «sostanziale» sopprime l’obbligo per un fabbricante di effettuare una valutazione della conformità da parte di terzi per i requisiti corrispondenti, come previsto dall’articolo 32, paragrafo 2, lettere a) e b), e dall’articolo 32, paragrafo 3), lettere a) e b), del presente regolamento.

Articolo 28 — Dichiarazione di conformità UE

  1. La dichiarazione di conformità UE è redatta dai fabbricanti in conformità dell’articolo 13, paragrafo 12, e attesta il rispetto dei requisiti essenziali di cibersicurezza applicabili di cui all’allegato I.

  2. La dichiarazione di conformità UE ha la struttura tipo di cui all’allegato V e contiene gli elementi specificati nelle pertinenti procedure di valutazione della conformità di cui all’allegato VIII. Tale dichiarazione è opportunamente aggiornata. È resa disponibile nelle lingue richieste dallo Stato membro sul cui mercato il prodotto con elementi digitali è immesso o messo a disposizione sul mercato.

    La dichiarazione di conformità UE semplificata di cui all’articolo 13, paragrafo 20, ha la struttura tipo di cui all’allegato VI. È resa disponibile nelle lingue richieste dallo Stato membro sul cui mercato il prodotto con elementi digitali è immesso o messo a disposizione sul mercato.

  3. Se al prodotto con elementi digitali si applicano più atti giuridici dell’Unione che prescrivono una dichiarazione di conformità UE, è redatta un’unica dichiarazione di conformità UE in relazione a tutti questi atti giuridici dell’Unione. La dichiarazione contiene gli estremi degli atti giuridici dell’Unione in questione, compresi i riferimenti della loro pubblicazione.

  4. Con la dichiarazione di conformità UE il fabbricante si assume la responsabilità della conformità del prodotto con elementi digitali.

  5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per integrare il presente regolamento aggiungendo elementi al contenuto minimo della dichiarazione di conformità UE di cui all’allegato V per tenere conto degli sviluppi tecnologici.

Articolo 29 — Principi generali della marcatura CE

La marcatura CE è soggetta ai principi generali stabiliti all’articolo 30 del regolamento (CE) n. 765/2008.

Articolo 30 — Regole e condizioni per l’apposizione della marcatura CE

  1. La marcatura CE è apposta sul prodotto con elementi digitali in modo visibile, leggibile e indelebile. Qualora ciò non sia possibile o la natura del prodotto con elementi digitali non lo consenta, essa è apposta sull’imballaggio e sulla dichiarazione di conformità UE di cui all’articolo 28 che accompagna il prodotto con elementi digitali. Per i prodotti con elementi digitali sotto forma di software, la marcatura CE è apposta sulla dichiarazione di conformità UE di cui all’articolo 28 o sul sito web che accompagna il prodotto software. In quest’ultimo caso, la sezione pertinente del sito web è facilmente e direttamente accessibile ai consumatori.

  2. A seconda della natura del prodotto con elementi digitali, l’altezza della marcatura CE apposta su di esso può essere inferiore a 5 mm, purché rimanga visibile e leggibile.

  3. La marcatura CE è apposta sul prodotto con elementi digitali prima della sua immissione sul mercato. Può essere seguita da un pittogramma o da qualsiasi altro marchio che indichi un rischio di cibersicurezza o un impiego particolar stabilito negli atti di esecuzione di cui al paragrafo 6.

  4. La marcatura CE è seguita dal numero di identificazione dell’organismo notificato, qualora quest’ultimo partecipi alla procedura di valutazione della conformità basata sulla garanzia della qualità totale (basata sul modulo H) di cui all’articolo 32.

    Il numero di identificazione dell’organismo notificato è apposto dall’organismo stesso o, in base alle istruzioni di quest’ultimo, dal fabbricante o dal rappresentante autorizzato del fabbricante.

  5. Gli Stati membri si avvalgono dei meccanismi esistenti per garantire un’applicazione corretta del regime che disciplina la marcatura CE e promuovono le azioni opportune contro l’uso improprio di tale marcatura. Qualora il prodotto con elementi digitali sia soggetto ad altre normative di armonizzazione dell’Unione diverse dal presente regolamento che prevedono l’apposizione della marcatura CE, questa indica che il prodotto rispetta anche i requisiti stabiliti in tali altre normative di armonizzazione dell’Unione.

  6. La Commissione può, mediante atti di esecuzione, stabilire specifiche tecniche per le etichette, i pittogrammi o qualsiasi altro marchio relativo alla sicurezza dei prodotti con elementi digitali, i loro periodi di assistenza e meccanismi per promuoverne l’uso, nonché per sensibilizzare il pubblico in merito alla sicurezza dei prodotti con elementi digitali. Nell’elaborare i progetti di atti di esecuzione, la Commissione consulta i portatori di interessi pertinenti e, laddove sia stato già stabilito a norma dell’articolo 52, paragrafo 15, l’ADCO. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

Articolo 31 — Documentazione tecnica

  1. La documentazione tecnica contiene tutti i dati o i dettagli pertinenti relativi ai mezzi utilizzati dal fabbricante per garantire che il prodotto con elementi digitali e i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I. Essa contiene almeno gli elementi di cui all’allegato VII.

  2. La documentazione tecnica è redatta prima dell’immissione sul mercato del prodotto con elementi digitali ed è costantemente aggiornata, se del caso, almeno per tutta la durata del periodo di assistenza.

  3. Per i prodotti con elementi digitali di cui all’articolo 12 che sono soggetti anche ad altri atti giuridici dell’Unione che prevedono documentazione tecnica, è redatta un’unica documentazione tecnica contenente le informazioni di cui all’allegato VII e le informazioni richieste dai rispettivi atti giuridici dell’Unione.

  4. La documentazione tecnica e la corrispondenza relativa a qualsiasi procedura di valutazione della conformità sono redatte in una delle lingue ufficiali dello Stato membro in cui è stabilito l’organismo notificato o in una lingua accettata da quest’ultimo.

  5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per integrare il presente regolamento aggiungendo elementi da includere nella documentazione tecnica di cui all’allegato VII, al fine di tenere conto degli sviluppi tecnologici e degli sviluppi riscontrati nel processo di attuazione del presente regolamento. A tal fine la Commissione si adopera affinché gli oneri amministrativi a carico delle microimprese e delle piccole e medie imprese siano proporzionati.

Articolo 32 — Procedure di valutazione della conformità per prodotti con elementi digitali

  1. Il fabbricante effettua una valutazione della conformità del prodotto con elementi digitali e dei processi messi in atto dal fabbricante per determinare se sono soddisfatti i requisiti essenziali di cibersicurezza di cui all’allegato I. Il fabbricante dimostra la conformità ai requisiti essenziali di cibersicurezza utilizzando una delle procedure seguenti:

    a) la procedura di controllo interno (basata sul modulo A) di cui all’allegato VIII;

    b) la procedura di esame UE del tipo (basata sul modulo B) di cui all’allegato VIII, seguita dalla conformità al tipo UE basata sul controllo interno della produzione (basata sul modulo C) di cui all’allegato VIII;

    c) una valutazione della conformità basata sulla garanzia della qualità totale (basata sul modulo H) di cui all’allegato VIII; o

    d) ove disponibile e applicabile, un sistema europeo di certificazione della cibersicurezza a norma dell’articolo 27, paragrafo 9.

  2. Se per la valutazione della conformità del prodotto con elementi digitali importante rientrante nella classe I di cui all’allegato III e dei processi messi in atto dal suo fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I il fabbricante non ha applicato o ha applicato solo in parte norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza con un livello di affidabilità almeno «sostanziale» di cui all’articolo 27, o nel caso in cui non esistano tali norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza, il prodotto con elementi digitali in questione e i processi messi in atto dal fabbricante sono sottoposti, per verificarne la conformità a tali requisiti essenziali di cibersicurezza, a una delle procedure seguenti:

    a) la procedura di esame UE del tipo (basata sul modulo B) di cui all’allegato VIII, seguita dalla conformità al tipo UE basata sul controllo interno della produzione (basata sul modulo C) di cui all’allegato VIII; o

    b) la valutazione della conformità basata sulla garanzia della qualità totale (basata sul modulo H) di cui all’allegato VIII.

  3. Se il prodotto è un prodotto con elementi digitali importante rientrante nella classe II, come indicato nell’allegato III, il fabbricante dimostra la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I utilizzando una delle procedure seguenti:

    a) la procedura di esame UE del tipo (basata sul modulo B) di cui all’allegato VIII, seguita dalla conformità al tipo UE basata sul controllo interno della produzione (basata sul modulo C) di cui all’allegato VIII;

    b) la valutazione della conformità basata sulla garanzia della qualità totale (basata sul modulo H) di cui all’allegato VIII; o

    c) ove disponibile e applicabile, un sistema europeo di certificazione della cibersicurezza a norma dell’articolo 27, paragrafo 9, del presente regolamento con un livello di affidabilità almeno «sostanziale» ai sensi del regolamento (UE) 2019/881.

  4. I prodotti con elementi digitali critici di classe II elencati nell’allegato IV dimostrano la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I utilizzando una delle procedure seguenti:

    a) un sistema europeo di certificazione della cibersicurezza a norma dell’articolo 8, paragrafo 1; o

    b) se le condizioni di cui all’articolo 8, paragrafo 1, non sono soddisfatte, una delle procedure di cui al paragrafo 3 del presente articolo.

  5. I fabbricanti di prodotti con elementi digitali che si qualificano come software liberi e open-source che rientrano nelle categorie di cui all’allegato III sono in grado di dimostrare la conformità ai requisiti essenziali i cibersicurezza di cui all’allegato I utilizzando una delle procedure di cui al paragrafo 1 del presente articolo, a condizione che la documentazione tecnica di cui all’articolo 31 sia messa a disposizione del pubblico al momento dell’immissione sul mercato di tali prodotti.

  6. Si dovrebbe tener conto degli interessi e delle esigenze specifici delle microimprese e delle piccole e medie imprese, comprese le start-up, nel definire le tariffe per le procedure di valutazione della conformità e tali tariffe sono ridotte proporzionalmente agli interessi e alle esigenze specifici di tali imprese.

Articolo 33 — Misure di sostegno per le microimprese e le piccole e medie imprese, comprese le start-up

  1. Gli Stati membri intraprendono, se del caso, le azioni seguenti, adattate alle esigenze delle microimprese e delle piccole imprese:

    a) organizzano attività specifiche di sensibilizzazione e formazione circa l’applicazione del presente regolamento;

    b) istituiscono un canale dedicato per la comunicazione con le microimprese e le piccole imprese e, se del caso, con le autorità pubbliche locali per fornire consulenza e rispondere alle domande sull’attuazione del presente regolamento;

    c) sostengono le attività di prova e di valutazione della conformità, se del caso anche con il sostegno del Centro europeo di competenza per la cibersicurezza.

  2. Gli Stati membri possono, se del caso, istituire spazi di sperimentazione normativa per la ciberresilienza. Tali spazi di sperimentazione normativa prevedono ambienti di prova controllati per prodotti innovativi con elementi digitali al fine di facilitarne lo sviluppo, la progettazione, la convalida e le prove ai fini della conformità al presente regolamento per un periodo di tempo limitato precedente all’immissione sul mercato. La Commissione e, se del caso, l’ENISA possono fornire sostegno tecnico, consulenza e strumenti per l’istituzione e il funzionamento degli spazi di sperimentazione normativa. Essi sono istituiti sotto la supervisione, l’orientamento e il sostegno diretti delle autorità di vigilanza del mercato. Gli Stati membri informano la Commissione e le altre autorità di vigilanza del mercato dell’istituzione di uno spazio di sperimentazione normativa attraverso l’ADCO. Gli spazi di sperimentazione normativa non pregiudicano i poteri correttivi e di sorveglianza delle autorità competenti. Gli Stati membri garantiscono un accesso aperto, equo e trasparente agli spazi di sperimentazione normativa e, in particolare, ne facilitano l’accesso delle microimprese e delle piccole imprese, comprese le start-up.

  3. Conformemente all’articolo 26, la Commissione fornisce orientamenti alle microimprese e alle piccole e medie imprese in relazione all’attuazione del presente regolamento.

  4. La Commissione promuove il sostegno finanziario disponibile nel quadro normativo dei programmi dell’Unione esistenti, in particolare al fine di alleggerire l’onere finanziario per le microimprese e le piccole imprese.

  5. Le microimprese e le piccole imprese possono fornire tutti gli elementi della documentazione tecnica specificata nell’allegato VII avvalendosi di un formato semplificato. A tal fine la Commissione specifica, mediante atti di esecuzione, il modulo di documentazione tecnica semplificata destinato alle esigenze delle microimprese e delle piccole imprese, comprese le modalità in cui devono essere forniti gli elementi di cui all’allegato VII. Se una microimpresa o una piccola impresa sceglie di fornire le informazioni di cui all’allegato VII in modo semplificato, utilizza il modulo di cui al presente paragrafo. Gli organismi notificati accettano tale modulo ai fini della valutazione della conformità.

    Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

Articolo 34 — Accordi sul reciproco riconoscimento

Tenuto conto del livello di sviluppo tecnico e dell’approccio in materia di valutazione della conformità di un paese terzo, l’Unione può concludere accordi sul reciproco riconoscimento con paesi terzi, conformemente all’articolo 218 TFUE, al fine di promuovere e agevolare il commercio internazionale.