Il regolamento sulla ciberresilienza

Oggetto

Il presente regolamento stabilisce:

Ambito di applicazione

1. Il presente regolamento si applica ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete.

2. Il presente regolamento non si applica ai prodotti con elementi digitali a cui si applicano i seguenti atti giuridici dell’Unione:

3. Il presente regolamento non si applica ai prodotti con elementi digitali che sono stati certificati in conformità del regolamento (UE) 2018/1139.

4. Il presente regolamento non si applica all’equipaggiamento che rientra nell’ambito di applicazione della direttiva n. 2014/90/UE del Parlamento europeo e del Consiglio (36).

5. L’applicazione del presente regolamento ai prodotti con elementi digitali contemplati da altre norme dell’Unione, che stabiliscono requisiti che affrontano tutti o alcuni rischi contemplati dai requisiti essenziali di cibersicurezza di cui all’allegato I, può essere limitata o esclusa, qualora:

Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per integrare il presente regolamento specificando se tale limitazione o esclusione sia necessaria, i prodotti e le norme interessati, nonché l’ambito della limitazione, se pertinente.

6. Il presente regolamento non si applica ai pezzi di ricambio messi a disposizione sul mercato per sostituire componenti identici in prodotti con elementi digitali e fabbricati secondo le stesse specifiche dei componenti che sono destinati a sostituire.

7. Il presente regolamento non si applica ai prodotti con elementi digitali sviluppati o modificati esclusivamente per scopi di sicurezza nazionale o di difesa o ai prodotti specificamente progettati per trattare informazioni classificate.

8. Gli obblighi definiti nel presente regolamento non comportano la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali degli Stati membri in materia di sicurezza nazionale, pubblica sicurezza o difesa.

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

Libera circolazione

1. Gli Stati membri non impediscono, per gli aspetti disciplinati dal presente regolamento, la messa a disposizione sul mercato di prodotti con elementi digitali che sono conformi al presente regolamento.

2. In occasione di fiere, mostre e dimostrazioni o eventi analoghi, gli Stati membri non impediscono la presentazione e l’uso di un prodotto con elementi digitali non conforme al presente regolamento, compresi i suoi prototipi, a condizione che il prodotto presenti un’indicazione visibile che specifichi chiaramente che esso non è conforme al presente regolamento e che non deve essere messo a disposizione sul mercato finché non lo sarà.

3. Gli Stati membri non impediscono la messa a disposizione sul mercato di un software non finito non conforme al presente regolamento, a condizione che il software sia reso disponibile solo per un periodo limitato necessario ai fini di prova e con un’indicazione visibile che specifichi chiaramente che esso non è conforme al presente regolamento e che non sarà disponibile sul mercato per fini diversi dalla prova.

4. Il paragrafo 3 non si applica ai componenti di sicurezza di cui alla normativa di armonizzazione dell’Unione diversa dal presente regolamento.

Acquisto o utilizzo di prodotti con elementi digitali

1. Il presente regolamento non osta a che gli Stati membri assoggettino i prodotti con elementi digitali a requisiti di cibersicurezza supplementari per l’acquisto o l’utilizzo di tali prodotti per fini specifici, anche nel caso in cui tali prodotti siano acquistati o utilizzati per scopi di sicurezza nazionale o di difesa, purché tali requisiti siano coerenti con gli obblighi degli Stati membri stabiliti dal diritto dell’Unione e siano necessari e proporzionati al conseguimento di tali scopi.

2. Fatte salve le direttive 2014/24/UE e 2014/25/UE, in caso di acquisto di prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento, gli Stati membri garantiscono che la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I del presente regolamento, compresa la capacità dei fabbricanti di gestire efficacemente le vulnerabilità, sia presa in considerazione nella procedura di appalto.

Requisiti per i prodotti con elementi digitali

I prodotti con elementi digitali sono messi a disposizione sul mercato soltanto se:

Prodotti con elementi digitali importanti

1. I prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti di cui all’allegato III sono considerati prodotti con elementi digitali importanti e sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3. L’integrazione di un prodotto con elementi digitali che ha la funzionalità principale di una categoria di prodotti di cui all’allegato III non rende di per sé il prodotto in cui è integrato assoggettato alle procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3.

2. Le categorie di prodotti con elementi digitali di cui al paragrafo 1 del presente articolo, suddivise nelle classi I e II di cui all’allegato III, soddisfano almeno uno dei criteri seguenti:

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 al fine di modificare l’allegato III, includendo nell’elenco una nuova categoria all’interno di ciascuna classe di categorie di prodotti con elementi digitali e specificandone la definizione, spostando una categoria di prodotti da una classe all’altra o eliminandone una categoria esistente. Nel valutare la necessità di modificare l’elenco di cui all’allegato III, la Commissione tiene conto delle funzionalità relative alla cibersicurezza o della funzione e del livello di rischio di cibersicurezza posto dai prodotti con elementi digitali come stabilito dai criteri di cui al paragrafo 2 del presente articolo.

Gli atti delegati di cui al primo comma del presente paragrafo prevedono, se del caso, un periodo di transizione minimo di 12 mesi, in particolare qualora una nuova categoria di prodotti con elementi digitali importanti sia aggiunta alla classe I o II o sia spostata dalla classe I alla classe II di cui all’allegato III, prima che inizino ad applicarsi le pertinenti procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3, a meno che un periodo di transizione più breve non sia giustificato da imperativi motivi di urgenza.

4. Entro l’11 dicembre 2025 la Commissione adotta un atto di esecuzione che specifica la descrizione tecnica delle categorie di prodotti con elementi digitali delle classi I e II di cui all’allegato III e la descrizione tecnica delle categorie di prodotti con elementi digitali di cui all’allegato IV. Tale atto di esecuzione è adottato conformemente alla procedura d’esame di cui all’articolo 62, paragrafo 2.

Prodotti con elementi digitali critici

1. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 al fine di integrare il presente regolamento per determinare quali prodotti con elementi digitali aventi la funzionalità principale di una categoria di prodotti di cui all’allegato IV del presente regolamento debbano essere tenuti a ottenere un certificato europeo di cibersicurezza a un livello di affidabilità almeno «sostanziale» nell’ambito di un sistema europeo di certificazione della cibersicurezza adottato a norma del regolamento (UE) 2019/881, al fine di dimostrare la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I del presente regolamento o parti di essi, a condizione che un sistema europeo di certificazione della cibersicurezza che copra tali categorie di prodotti con elementi digitali sia stato adottato a norma del regolamento (UE) 2019/881 e sia a disposizione dei fabbricanti. Tali atti delegati specificano il livello di affidabilità richiesto che è proporzionato al livello di rischio di cibersicurezza associato ai prodotti con elementi digitali e tengono conto della loro finalità prevista, compresa la dipendenza critica da essi da parte dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555.

Prima di adottare tali atti delegati, la Commissione effettua una valutazione del potenziale impatto sul mercato delle misure previste e procede a consultazioni con i portatori di interessi pertinenti, compreso il gruppo europeo per la certificazione della cibersicurezza istituto a norma del regolamento (UE) 2019/881. La valutazione tiene conto della preparazione e del livello di capacità degli Stati membri per l’attuazione del pertinente sistema europeo di certificazione della cibersicurezza. Qualora non siano stati adottati gli atti delegati di cui al primo comma del presente paragrafo, i prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti di cui all’allegato IV sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafo 3.

Gli atti delegati di cui al primo comma prevedono un periodo di transizione minimo di sei mesi, a meno che un periodo di transizione più breve non sia giustificato da imperativi motivi di urgenza.

2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per modificare l’allegato IV aggiungendo o ritirando categorie di prodotti con elementi digitali critici. Nel determinare tali categorie di prodotti con elementi digitali critici e il livello di affidabilità richiesto, conformemente al paragrafo 1 del presente articolo, la Commissione tiene conto dei criteri di cui all’articolo 7, paragrafo 2, e garantisce che le categorie di prodotti con elementi digitali soddisfano almeno uno dei criteri seguenti:

Prima di adottare tali atti delegati, la Commissione effettua una valutazione del tipo di cui al paragrafo 1.

Gli atti delegati di cui al primo comma prevedono un periodo di transizione minimo di sei mesi, a meno che un periodo di transizione più breve non sia giustificato da imperativi motivi di urgenza.

Consultazione dei portatori di interessi

1. Nell’elaborare misure per l’attuazione del presente regolamento, la Commissione consulta e tiene conto dei pareri dei pertinenti portatori di interessi, quali le autorità competenti degli Stati membri, le imprese del settore privato, comprese le microimprese e le piccole e medie imprese, la comunità del software open source, le associazioni dei consumatori, il mondo accademico e le agenzie e gli organismi pertinenti dell’Unione, nonché i gruppi di esperti istituiti a livello dell’Unione. In particolare, la Commissione consulta e raccoglie i pareri di tali portatori di interessi in modo strutturato, se del caso, quando:

2. La Commissione organizza periodicamente sessioni di consultazione e informazione, almeno una volta all’anno, per raccogliere i pareri delle parti interessate di cui al paragrafo 1 sull’attuazione del presente regolamento.

Migliorare le competenze in un ambiente digitale ciberresiliente

Ai fini del presente regolamento e per rispondere alle esigenze dei professionisti a sostegno dell’attuazione del presente regolamento, gli Stati membri, se del caso, con il sostegno della Commissione, del Centro europeo di competenza per la cibersicurezza e dell’ENISA, nel pieno rispetto della responsabilità degli Stati membri nel settore dell’istruzione, promuovono misure e strategie volte a:

Sicurezza generale dei prodotti

In deroga all’articolo 2, paragrafo 1, terzo comma, lettera b), del regolamento (UE) 2023/988, il capo III, sezione 1, i capi V e VII e i capi da IX a XI di tale regolamento si applicano ai prodotti con elementi digitali per quanto riguarda gli aspetti e i rischi o le categorie di rischio non contemplati dal presente regolamento qualora tali prodotti non siano soggetti a requisiti specifici di sicurezza imposti da altra «normativa di armonizzazione dell’Unione» ai sensi dell’articolo 3, punto 27), del regolamento (UE) 2023/988.

Sistemi di IA ad alto rischio

1. Fatti salvi i requisiti relativi all’accuratezza e alla robustezza di cui all’articolo 15 del regolamento (UE) 2024/1689, i prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento e sono classificati come sistemi di IA ad alto rischio ai sensi dell’articolo 6 di tale regolamento sono considerati conformi ai requisiti relativi alla cibersicurezza di cui all’articolo 15 di tale regolamento qualora:

2. Per quanto riguarda i prodotti con elementi digitali e i requisiti di cibersicurezza di cui al paragrafo 1, del presente articolo si applica la pertinente procedura di valutazione della conformità prevista dall’articolo 43 del regolamento (UE) 2024/1689. Ai fini di tale valutazione, gli organismi notificati che sono competenti a controllare la conformità dei sistemi di IA ad alto rischio a norma del regolamento (UE) 2024/1689 sono anche competenti a controllare la conformità dei sistemi di IA ad alto rischio che rientrano nell’ambito di applicazione del presente regolamento ai requisiti di cui all’allegato I del presente regolamento, a condizione che la conformità di tali organismi notificati ai requisiti di cui all’articolo 39 del presente regolamento sia stata valutata nel contesto della procedura di notifica di cui al regolamento (UE) 2024/1689.

3. In deroga al paragrafo 2 del presente articolo, i prodotti con elementi digitali importanti di cui all’allegato III del presente regolamento che sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafo 2, lettere a) e b), e paragrafo 3, del presente regolamento e i prodotti con elementi digitali critici elencati nell’allegato IV del presente regolamento che sono tenuti a ottenere un certificato europeo di cibersicurezza ai sensi dell’articolo 8, paragrafo 1, del presente regolamento o, in assenza di tale certificato, sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafo 3, del presente regolamento, e che sono anche classificati come sistemi di IA ad alto rischio ai sensi dell’articolo 6 del regolamento (UE) 2024/1689 e ai quali si applica la procedura di valutazione della conformità basata sul controllo interno di cui all’allegato VI del regolamento (UE) 2024/1689, sono soggetti alle procedure di valutazione della conformità previste dal presente regolamento per quanto riguarda i requisiti essenziali di cibersicurezza stabiliti nel presente regolamento.

4. I fabbricanti di prodotti con elementi digitali di cui al paragrafo 1 del presente regolamento possono partecipare agli spazi di sperimentazione normativa per l’IA di cui all’articolo 57 del regolamento (UE) 2024/1689.

Obblighi dei fabbricanti

1. All’atto dell’immissione sul mercato di un prodotto con elementi digitali, i fabbricanti assicurano che esso sia stato progettato, sviluppato e prodotto conformemente ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I.

2. Ai fini della conformità al paragrafo 1, i fabbricanti effettuano una valutazione dei rischi di cibersicurezza associati a un prodotto con elementi digitali e tengono conto dei risultati di tale valutazione durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto con elementi digitali, allo scopo di ridurre al minimo i rischi di cibersicurezza, prevenire gli incidenti e ridurne al minimo il loro impatto, anche in relazione alla salute e alla sicurezza degli utilizzatori.

3. La valutazione dei rischi di cibersicurezza è documentata e aggiornata, se del caso, durante un periodo di assistenza da determinare conformemente al paragrafo 8 del presente articolo. Tale valutazione comprende almeno un’analisi dei rischi di cibersicurezza basata sulla finalità prevista e sull’uso ragionevolmente prevedibile del prodotto con elementi digitali, nonché sulle sue condizioni d’uso, quali l’ambiente operativo o gli attivi da proteggere, tenendo conto della durata di utilizzo del prodotto prevista. La valutazione dei rischi di cibersicurezza indica se, ed eventualmente in che modo, i requisiti di sicurezza di cui all’allegato I, parte I, punto 2, sono applicabili al pertinente prodotto con elementi digitali e le modalità di attuazione di tali requisiti sulla base della valutazione dei rischi di cibersicurezza. Indica inoltre le modalità con cui il fabbricante intende applicare l’allegato I, parte I, punto 1, e i requisiti di gestione delle vulnerabilità di cui all’allegato I, parte II.

4. All’atto dell’immissione sul mercato di un prodotto con elementi digitali, il fabbricante include la valutazione dei rischi di cibersicurezza di cui al paragrafo 3 del presente articolo nella documentazione tecnica richiesta a norma dell’articolo 31 e dell’allegato VII. Per i prodotti con elementi digitali di cui all’articolo 12, che sono soggetti anche ad altri atti giuridici dell’Unione, la valutazione dei rischi di cibersicurezza può far parte della valutazione dei rischi prevista da tali atti giuridici dell’Unione. Se alcuni requisiti essenziali di cibersicurezza non sono applicabili al prodotto con elementi digitali, il fabbricante fornisce una chiara giustificazione in tal senso nella suddetta documentazione tecnica.

5. Ai fini dell’adempimento dell’obbligo di cui al paragrafo 1, i fabbricanti esercitano la dovuta diligenza quando integrano componenti provenienti da terzi affinché tali componenti non compromettano la cibersicurezza del prodotto con elementi digitali, anche quando integrano componenti di software liberi e open source che non sono stati messi a disposizione sul mercato nel corso di un’attività commerciale.

6. Quando è individuata una vulnerabilità in un componente, compreso un componente open source, integrato nel prodotto con elementi digitali, i fabbricanti la segnalano alla persona o al soggetto che si occupa della fabbricazione o della manutenzione del componente e affrontano e correggono la vulnerabilità conformemente ai requisiti di gestione delle vulnerabilità di cui all’allegato I, parte II. Qualora abbiano sviluppato una modifica del software o dell’hardware per affrontare la vulnerabilità di tale componente, i fabbricanti condividono il codice o la documentazione pertinenti con la persona o il soggetto che si occupa della fabbricazione o della manutenzione del componente, se del caso in un formato leggibile da un dispositivo automatico.

7. I fabbricanti documentano sistematicamente, in modo proporzionato alla natura e ai rischi di cibersicurezza, gli aspetti pertinenti di cibersicurezza relativi al prodotto con elementi digitali, comprese le vulnerabilità di cui vengono a conoscenza e qualsiasi informazione pertinente fornita da terzi e, se del caso, aggiornano la valutazione dei rischi di cibersicurezza del prodotto.

8. All’atto dell’immissione sul mercato di un prodotto con elementi digitali e per la durata del periodo di assistenza, i fabbricanti garantiscono che le vulnerabilità di tale prodotto, compresi i suoi componenti, siano gestite in modo efficace e in conformità dei requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.

I fabbricanti determinano il periodo di assistenza in modo che rifletta la durata di utilizzo prevista del prodotto, tenendo conto, in particolare, delle ragionevoli aspettative degli utilizzatori, della natura del prodotto, compresa la sua finalità prevista, nonché del pertinente diritto dell’Unione che determina la durata di vita dei prodotti con elementi digitali. Nel determinare il periodo di assistenza, i fabbricanti possono tenere conto anche dei periodi di assistenza dei prodotti con elementi digitali che offrono funzionalità analoghe immessi sul mercato da altri fabbricanti, della disponibilità dell’ambiente operativo, dei periodi di assistenza dei componenti integrati che forniscono funzioni essenziali e che provengono da terzi, nonché degli orientamenti pertinenti forniti dall’apposito gruppo di cooperazione amministrativa (ADCO) istituito a norma dell’articolo 52, paragrafo 15, e dalla Commissione. Le questioni da prendere in considerazione per determinare il periodo di assistenza sono prese in considerazione in modo da garantire la proporzionalità.

Fatto salvo il secondo comma, il periodo di assistenza è di almeno cinque anni. Se si prevede che il prodotto con elementi digitali sarà utilizzato per meno di cinque anni, il periodo di assistenza corrisponde alla durata di utilizzo prevista.

Tenendo conto delle raccomandazioni dell’ADCO di cui all’articolo 52, paragrafo 16, la Commissione può adottare atti delegati conformemente all’articolo 61 al fine di integrare il presente regolamento specificando il periodo minimo di assistenza per determinate categorie di prodotti qualora i dati di vigilanza del mercato suggeriscano l’inadeguatezza dei periodi di assistenza.

I fabbricanti includono nella documentazione tecnica di cui all’allegato VII le informazioni prese in considerazione per determinare il periodo di assistenza di un prodotto con elementi digitali.

I fabbricanti dispongono di politiche e procedure adeguate, comprese politiche di divulgazione coordinata delle vulnerabilità, di cui all’allegato I, parte II, punto 5, per trattare e correggere potenziali vulnerabilità del prodotto con elementi digitali segnalate da fonti interne o esterne.

9. I fabbricanti garantiscono che ciascun aggiornamento di sicurezza di cui all’allegato I, parte II, punto 8, che è stato messo a disposizione degli utilizzatori durante il periodo di assistenza, rimanga disponibile dopo il rilascio per un minimo di dieci anni o per il restante periodo di assistenza, se quest’ultimo è superiore.

10. Il fabbricante che abbia immesso sul mercato versioni successive sostanzialmente modificate di un software può garantire la conformità al requisito essenziale di cibersicurezza di cui all’allegato I, parte II, punto 2, solo per l’ultima versione immessa sul mercato, a condizione che gli utilizzatori delle versioni precedentemente immesse sul mercato abbiano accesso gratuito all’ultima versione immessa sul mercato e non debbano sostenere costi aggiuntivi per adeguare l’ambiente hardware e software in cui utilizzano la versione originale del prodotto.

11. I fabbricanti possono tenere archivi pubblici di software per migliorare l’accesso degli utilizzatori alle versioni precedenti. In questi casi, gli utilizzatori sono informati in modo chiaro e facilmente accessibile dei rischi associati all’uso di software privi di assistenza.

12. Prima di immettere un prodotto con elementi digitali sul mercato, i fabbricanti redigono la documentazione tecnica di cui all’articolo 31.

Essi seguono o fanno eseguire le procedure di valutazione della conformità prescelte di cui all’articolo 32.

Se tale procedura di valutazione della conformità dimostra la conformità del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e dei processi messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II, i fabbricanti redigono la dichiarazione di conformità UE conformemente all’articolo 28 e appongono la marcatura CE conformemente all’articolo 30.

13. I fabbricanti tengono la documentazione tecnica e la dichiarazione di conformità UE a disposizione delle autorità di vigilanza del mercato per un periodo di almeno dieci anni dalla data di immissione sul mercato del prodotto con elementi digitali o per il periodo di assistenza, se quest’ultimo è superiore.

14. I fabbricanti si assicurano che siano predisposte le procedure necessarie affinché i prodotti con elementi digitali fabbricati nell’ambito di una produzione in serie rimangano conformi al presente regolamento. I fabbricanti tengono adeguatamente conto delle modifiche del processo di sviluppo e di produzione o della progettazione o delle caratteristiche del prodotto con elementi digitali, nonché delle modifiche delle norme armonizzate, dei sistemi europei di certificazione della cibersicurezza o delle specifiche comuni di cui all’articolo 27 con riferimento alle quali è dichiarata la conformità del prodotto con elementi digitali o mediante applicazione delle quali tale conformità è verificata.

15. I fabbricanti garantiscono che i loro prodotti con elementi digitali rechino un numero di tipo, di lotto o di serie o qualsiasi altro elemento che ne consenta l’identificazione, oppure, qualora ciò non sia possibile, che tali informazioni siano fornite sull’imballaggio o in un documento di accompagnamento del prodotto con elementi digitali.

16. I fabbricanti indicano il loro nome, la loro denominazione commerciale registrata o il loro marchio registrato, l’indirizzo postale, l’indirizzo di posta elettronica o altri dati di contatto digitale nonché, se disponibile, il sito web presso cui possono essere contattati, sul prodotto con elementi digitali, sull’imballaggio o in un documento di accompagnamento del prodotto con elementi digitali. Tali informazioni sono incluse anche nelle informazioni e nelle istruzioni per l’utilizzatore di cui all’allegato II. I dati di recapito sono redatti in una lingua facilmente comprensibile dagli utilizzatori e dalle autorità di vigilanza del mercato.

17. Ai fini del presente regolamento, i fabbricanti designano un punto di contatto unico che consenta agli utilizzatori di comunicare direttamente e rapidamente con loro, anche per facilitare la segnalazione di vulnerabilità del prodotto con elementi digitali.

I fabbricanti garantiscono che il punto di contatto unico sia facilmente identificabile dagli utilizzatori. Essi includono inoltre il punto di contatto unico nelle informazioni e istruzioni per l’utilizzatore di cui all’allegato II.

Il punto di contatto unico consente agli utilizzatori di scegliere i mezzi di comunicazione preferiti, senza limitarli agli strumenti automatizzati.

18. I fabbricanti provvedono affinché i prodotti con elementi digitali siano accompagnati dalle informazioni e dalle istruzioni per l’utilizzatore di cui all’allegato II in forma cartacea o elettronica. Tali informazioni e istruzioni sono fornite in una lingua facilmente comprensibile dagli utilizzatori e dalle autorità di vigilanza del mercato. Sono chiare, comprensibili, intelligibili e leggibili. Consentono un’installazione, un funzionamento e un utilizzo sicuri dei prodotti con elementi digitali. I fabbricanti mantengono a disposizione degli utilizzatori e delle autorità di vigilanza del mercato le informazioni e istruzioni per l’utilizzatore di cui all’allegato II per un periodo di almeno dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore. Qualora tali informazioni e istruzioni siano fornite online, i fabbricanti garantiscono che siano accessibili, di facile uso e disponibili online per un periodo di almeno dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore.

19. I fabbricanti garantiscono che la data finale del periodo di assistenza di cui al paragrafo 8, comprendente almeno il mese e l’anno, sia specificata in modo chiaro e comprensibile al momento dell’acquisto in modo facilmente accessibile e, se del caso, sul prodotto con elementi digitali, sul suo imballaggio o con mezzi digitali.

Ove tecnicamente fattibile alla luce della natura del prodotto con elementi digitali, i fabbricanti inviano una notifica agli utilizzatori per informarli che il loro prodotto con elementi digitali ha raggiunto la fine del periodo di assistenza.

20. I fabbricanti forniscono una copia della dichiarazione di conformità UE o una dichiarazione di conformità UE semplificata con il prodotto con elementi digitali. Se è fornita una dichiarazione di conformità UE semplificata, questa contiene l’esatto indirizzo Internet dove è possibile accedere alla dichiarazione di conformità UE completa.

21. A partire dall’immissione sul mercato e per la durata del periodo di assistenza, i fabbricanti che hanno la certezza o motivo di credere che il prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I adottano immediatamente le misure correttive necessarie per rendere conformi il prodotto con elementi digitali o i processi del fabbricante oppure, a seconda dei casi, per ritirare o richiamare il prodotto.

22. I fabbricanti, su richiesta motivata di un’autorità di vigilanza del mercato, forniscono a tale autorità, in una lingua che può essere facilmente compresa da quest’ultima, tutte le informazioni e la documentazione, in formato cartaceo o elettronico, necessarie a dimostrare la conformità del prodotto con elementi digitali e dei processi messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I. I fabbricanti cooperano con tale autorità, su richiesta di quest’ultima, in merito a qualsiasi misura adottata per eliminare i rischi di cibersicurezza presentati dal prodotto con elementi digitali che hanno immesso sul mercato.

23. Il fabbricante che cessa l’attività e di conseguenza non è in grado di conformarsi al presente regolamento informa, prima che la cessazione dell’attività abbia effetto, le autorità di vigilanza del mercato competenti, nonché, con ogni mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti pertinenti con elementi digitali interessati immessi sul mercato, dell’imminente cessazione dell’attività.

24. La Commissione può, mediante atti di esecuzione che tengano conto delle norme e delle migliori pratiche europee o internazionali, specificare il formato e gli elementi della distinta base del software di cui all’allegato I, parte II, punto 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

25. Al fine di valutare la dipendenza degli Stati membri e dell’Unione nel suo complesso dai componenti software e, in particolare, dai componenti che si qualificano come software liberi e open source, l’ADCO può decidere di condurre una valutazione della dipendenza a livello dell’Unione per determinate categorie di prodotti con elementi digitali. A tal fine, le autorità di vigilanza del mercato possono chiedere ai fabbricanti di tali categorie di prodotti con elementi digitali di fornire le distinte base del software pertinenti di cui all’allegato I, parte II, punto 1. Sulla base di tali informazioni, le autorità di vigilanza del mercato possono fornire all’ADCO informazioni anonimizzate e aggregate sulle dipendenze in materia di software. L’ADCO presenta una relazione sui risultati della valutazione delle dipendenze al gruppo di cooperazione istituito a norma dell’articolo 14 della direttiva (UE) 2022/2555.

Obblighi di segnalazione dei fabbricanti

1. Un fabbricante notifica simultaneamente al CSIRT designato come coordinatore, conformemente al paragrafo 7 del presente articolo, e all’ENISA, qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali di cui viene a conoscenza. Il fabbricante notifica tale vulnerabilità attivamente sfruttata tramite la piattaforma unica di segnalazione istituita a norma dell’articolo 16.

2. Ai fini della notifica di cui al paragrafo 1, il fabbricante presenta:

3. Un fabbricante notifica simultaneamente al CSIRT designato come coordinatore, conformemente al paragrafo 7 del presente articolo, e all’ENISA, qualsiasi incidente grave che abbia un impatto sulla sicurezza del prodotto con elementi digitali di cui viene a conoscenza. Il fabbricante notifica tale incidente tramite la piattaforma unica di segnalazione istituita a norma dell’articolo 16.

4. Ai fini della notifica di cui al paragrafo 3, il fabbricante presenta:

5. Ai fini del paragrafo 3, un incidente che ha un impatto sulla sicurezza del prodotto con elementi digitali è considerato grave se:

6. Se necessario, il CSIRT designato come coordinatore che ha ricevuto per primo la notifica può chiedere ai fabbricanti di fornire una relazione intermedia sui pertinenti aggiornamenti della situazione sulla vulnerabilità attivamente sfruttata o sull’incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali.

7. Le notifiche di cui ai paragrafi 1 e 3 del presente articolo sono trasmesse attraverso la piattaforma unica di segnalazione di cui all’articolo 16 utilizzando uno dei terminali per la notifica elettronica di cui all’articolo 16, paragrafo 1. La notifica è trasmessa utilizzando il terminale per la notifica elettronica del CSIRT designato come coordinatore dello Stato membro in cui i fabbricanti hanno lo stabilimento principale nell’Unione ed è contemporaneamente accessibile all’ENISA.

Ai fini del presente regolamento, si considera che un fabbricante abbia il suo stabilimento principale nell’Unione nello Stato membro in cui sono prevalentemente adottate le decisioni relative alla cibersicurezza dei suoi prodotti con elementi digitali. Se non è possibile determinare detto Stato membro, si considera che lo stabilimento principale sia nello Stato membro in cui il fabbricante ha lo stabilimento con il maggior numero di dipendenti nell’Unione.

Se non ha uno stabilimento principale nell’Unione, il fabbricante trasmette le notifiche di cui ai paragrafi 1 e 3 utilizzando il terminale per la notifica elettronica del CSIRT designato come coordinatore nello Stato membro determinato secondo l’ordine seguente e sulla base delle informazioni a disposizione del fabbricante:

In relazione al terzo comma, lettera d), un fabbricante può presentare notifiche relative a qualsiasi successiva vulnerabilità attivamente sfruttata o incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali allo stesso CSIRT designato come coordinatore a cui ha presentato la prima notifica.

8. Dal momento in cui è venuto a conoscenza di una vulnerabilità attivamente sfruttata o di un incidente grave avente un impatto sulla sicurezza del prodotto con elementi digitali, il fabbricante informa gli utilizzatori interessati del prodotto con elementi digitali e, se del caso, tutti gli utilizzatori, di tale vulnerabilità o incidente e, se necessario, di qualsiasi attenuazione dei rischi e misure correttive che gli utilizzatori possono adottare per attenuare l’impatto di tale vulnerabilità o incidente, se del caso in un formato strutturato, leggibile da un dispositivo automatico e che possa essere facilmente elaborato automaticamente. Se il fabbricante non informa tempestivamente gli utilizzatori del prodotto con elementi digitali, i CSIRT designati come coordinatori che hanno ricevuto la notifica possono fornire tali informazioni agli utilizzatori se ritenuto proporzionato e necessario per prevenire o attenuare l’impatto di tale vulnerabilità o incidente.

9. Entro l’11 dicembre 2025 la Commissione adotta atti delegati conformemente all’articolo 61 per integrare il presente regolamento specificando i termini e le condizioni per l’applicazione dei motivi connessi alla cibersicurezza relativamente al ritardo nella diffusione delle notifiche di cui all’articolo 16, paragrafo 2. La Commissione coopera con la rete di CSIRT istituita a norma dell’articolo 15 della direttiva (UE) 2022/2555 e con l’ENISA nella preparazione dei progetti di atti delegati.

10. La Commissione può, mediante atti di esecuzione, specificare ulteriormente il formato e le procedure di trasmissione delle notifiche di cui al presente articolo, nonché agli articoli 15 e 16. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2. La Commissione coopera con la rete di CSIRT e con l’ENISA nella preparazione del progetto di atto delegato.

Segnalazione volontaria

1. I fabbricanti e altre persone fisiche o giuridiche possono notificare a un CSIRT designato come coordinatore o all’ENISA, su base volontaria, qualsiasi vulnerabilità contenuta in un prodotto con elementi digitali nonché le minacce informatiche che potrebbero incidere sul profilo di rischio di un prodotto con elementi digitali.

2. I fabbricanti e altre persone fisiche o giuridiche possono notificare a un CSIRT designato come coordinatore o all’ENISA, su base volontaria, qualsiasi incidente che abbia un impatto sulla sicurezza del prodotto con elementi digitali e qualsiasi quasi incidente che avrebbe potuto tradursi in un simile incidente.

3. Il CSIRT designato come coordinatore o l’ENISA trattano le notifiche di cui ai paragrafi 1 e 2 del presente articolo secondo la procedura di cui all’articolo 16.

Il CSIRT designato come coordinatore può trattare le notifiche obbligatorie in via prioritaria rispetto alle notifiche volontarie.

4. Qualora una persona fisica o giuridica diversa dal fabbricante notifichi una vulnerabilità attivamente sfruttata o un incidente grave che ha un impatto sulla sicurezza di un prodotto con elementi digitali conformemente al paragrafo 1 o 2, il CSIRT designato come coordinatore ne informa senza indebito ritardo il fabbricante.

5. I CSIRT designati come coordinatori e l’ENISA garantiscono la riservatezza e la protezione adeguata delle informazioni fornite da una persona fisica o giuridica notificante. Fatti salvi la prevenzione, l’indagine, l’accertamento e il perseguimento di reati, la segnalazione volontaria non ha l’effetto di imporre alla persona fisica o giuridica notificante alcun obbligo aggiuntivo a cui non sarebbe stata sottoposta se non avesse trasmesso la notifica.

Istituzione di una piattaforma unica di segnalazione

1. Ai fini delle notifiche di cui all’articolo 14, paragrafi 1 e 3, e all’articolo 15, paragrafi 1 e 2, e per semplificare gli obblighi di segnalazione dei fabbricanti, l’ENISA istituisce una piattaforma unica di segnalazione. Le operazioni quotidiane di tale piattaforma unica di segnalazione sono gestite e mantenute dall’ENISA. L’architettura della piattaforma unica di segnalazione consente agli Stati membri e all’ENISA di predisporre i propri terminali per la notifica elettronica.

2. Dopo aver ricevuto una notifica, il CSIRT designato come coordinatore che ha ricevuto per primo la notifica la diffonde senza ritardo attraverso la piattaforma unica di segnalazione ai CSIRT designati come coordinatori sul cui territorio il fabbricante ha indicato che il prodotto con elementi digitali è stato messo a disposizione.

In circostanze eccezionali e, in particolare, su richiesta del fabbricante e alla luce del grado di sensibilità delle informazioni notificate indicato dal fabbricante a norma dell’articolo 14, paragrafo 2, lettera a), del presente regolamento, la diffusione della notifica può essere ritardata per motivi connessi alla cibersicurezza per un periodo di tempo strettamente necessario, anche nel caso in cui una vulnerabilità sia oggetto di una procedura di divulgazione coordinata delle vulnerabilità di cui all’articolo 12, paragrafo 1, della direttiva (UE) 2022/2555. Qualora un CSIRT decida di trattenere una notifica, informa immediatamente l’ENISA della decisione e fornisce sia una giustificazione per il trattenimento della notifica sia un’indicazione di quando diffonderà la notifica secondo la procedura di diffusione di cui al presente paragrafo. L’ENISA può sostenere il CSIRT nell’applicazione dei motivi connessi alla cibersicurezza relativamente al ritardo nella diffusione della notifica.

In circostanze particolarmente eccezionali, se il fabbricante indica nella notifica di cui all’articolo 14, paragrafo 2, lettera b):

unicamente l’informazione dell’avvenuta notifica da parte del fabbricante, le informazioni generali sul prodotto, le informazioni sulla natura generale dello sfruttamento e l’informazione che sono stati sollevati motivi di sicurezza, devono essere rese simultaneamente disponibili a l’ENISA fino a quando la notifica completa non viene diffusa ai CSIRT interessati e all’ENISA. Se l’ENISA, sulla base di tali informazioni, ritiene che vi sia un rischio sistemico capace di incidere sulla sicurezza del mercato interno, raccomanda al CSIRT ricevente di diffondere la notifica completa agli altri CSIRT designati come coordinatori e all’ENISA stessa.

3. Dopo aver ricevuto la notifica di una vulnerabilità attivamente sfruttata in un prodotto con elementi digitali o di un incidente grave che ha un impatto sulla sicurezza di un prodotto con elementi digitali, i CSIRT designati come coordinatori forniscono alle autorità di vigilanza del mercato dei rispettivi Stati membri le informazioni notificate necessarie alle autorità di vigilanza del mercato per adempiere ai loro obblighi a norma del presente regolamento.

4. L’ENISA adotta misure adeguate e proporzionate dal punto di vista tecnico, operativo e organizzativo per gestire i rischi posti alla sicurezza della piattaforma unica di segnalazione e alle informazioni trasmesse o diffuse attraverso la stessa. Essa notifica senza indebito ritardo alla rete di CSIRT e alla Commissione qualsiasi incidente di sicurezza che incida sulla piattaforma unica di segnalazione.

5. L’ENISA, in cooperazione con la rete di CSIRT, fornisce e attua specifiche sulle misure tecniche, operative e organizzative relative all’istituzione, alla manutenzione e al funzionamento sicuro della piattaforma unica di segnalazione di cui al paragrafo 1, comprese almeno le disposizioni in materia di sicurezza relative all’istituzione, al funzionamento e alla manutenzione della piattaforma unica di segnalazione, nonché i terminali per la notifica elettronica istituiti dai CSIRT designati come coordinatori a livello nazionale e dall’ENISA a livello di Unione, compresi gli aspetti procedurali per garantire che, qualora per una vulnerabilità notificata non siano disponibili misure correttive o di attenuazione, le informazioni su tale vulnerabilità siano condivise nel rispetto di rigorosi protocolli di sicurezza e in funzione della necessità di conoscere.

6. Qualora un CSIRT designato come coordinatore sia stato informato di una vulnerabilità attivamente sfruttata nell’ambito di una procedura di divulgazione coordinata delle vulnerabilità di cui all’articolo 12, paragrafo 1, della direttiva (UE) 2022/2555, il CSIRT designato come coordinatore che ha ricevuto per primo la notifica può ritardare la diffusione della notifica in questione attraverso la piattaforma unica di segnalazione sulla base di motivi giustificati legati alla cibersicurezza per un periodo non superiore a quello strettamente necessario e fino a quando non sia stato dato il consenso alla divulgazione dalle parti coinvolte nella divulgazione coordinata delle vulnerabilità. Tale requisito non impedisce ai fabbricanti di notificare tale vulnerabilità su base volontaria secondo la procedura di cui al presente articolo.

Altre disposizioni relative alla segnalazione

1. L’ENISA può trasmettere alla rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe), istituita a norma dell’articolo 16 della direttiva (UE) 2022/2555, le informazioni notificate a norma dell’articolo 14, paragrafi 1 e 3, e dell’articolo 15, paragrafi 1 e 2, del presente regolamento se tali informazioni sono pertinenti per la gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala a livello operativo. Al fine di determinare tale pertinenza, l’ENISA può prendere in considerazione le analisi tecniche effettuate dalla rete di CSIRT, se disponibili.

2. Qualora sia necessario sensibilizzare il pubblico per prevenire o attenuare un incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali o per gestire un incidente in corso, o qualora la divulgazione dell’incidente sia altrimenti nell’interesse pubblico, il CSIRT designato come coordinatore dello Stato membro pertinente può, previa consultazione del fabbricante interessato e, se del caso, in cooperazione con l’ENISA, informare il pubblico in merito all’incidente o chiedere al fabbricante di farlo.

3. L’ENISA, sulla base delle notifiche ricevute a norma dell’articolo 14, paragrafi 1 e 3, e dell’articolo 15, paragrafi 1 e 2, del presente regolamento elabora, ogni 24 mesi, una relazione tecnica sulle tendenze emergenti in materia di rischi di cibersicurezza nei prodotti con elementi digitali e la presenta al gruppo di cooperazione istituito dall’articolo 14 della direttiva (UE) 2022/2555. La prima relazione di questo tipo è presentata entro 24 mesi dalla data di applicazione degli obblighi stabiliti all’articolo 14, paragrafi 1 e 3. L’ENISA integra le informazioni pertinenti tratte dalle sue relazioni tecniche nella sua relazione sullo stato della cibersicurezza nell’Unione, presentata a norma dell’articolo 18 della direttiva (UE) 2022/2555.

4. La sola notifica in conformità dell’articolo 14, paragrafi 1 e 3, o dell’articolo 15, paragrafi 1 e 2, non sottopone la persona fisica o giuridica notificante a una maggiore responsabilità.

5. Dopo la messa a disposizione di un aggiornamento di sicurezza o l’adozione di un’altra forma di misure correttive o di attenuazione, l’ENISA, d’intesa con il fabbricante del prodotto con elementi digitali interessato, aggiunge la vulnerabilità notificata a norma dell’articolo 14, paragrafo 1, o dell’articolo 15, paragrafo 1, del presente regolamento alla banca dati europea delle vulnerabilità istituita a norma dell’articolo 12 della direttiva (UE) 2022/2555.

6. I CSIRT designati come coordinatori prestano assistenza tecnica in relazione agli obblighi di segnalazione a norma dell’articolo 14 ai fabbricanti e in particolare ai fabbricanti che si qualificano come microimprese o piccole o medie imprese.

Rappresentanti autorizzati

1. Un fabbricante può nominare, mediante mandato scritto, un rappresentante autorizzato.

2. Gli obblighi di cui all’articolo 13, paragrafi da 1 a 11, paragrafo 12, primo comma, e paragrafo 14, non rientrano nel mandato del rappresentante autorizzato.

3. Il rappresentante autorizzato esegue i compiti specificati nel mandato ricevuto dal fabbricante. Il rappresentante autorizzato fornisce una copia del mandato alle autorità di vigilanza del mercato su richiesta. Tale mandato consente al rappresentante autorizzato di svolgere almeno i seguenti compiti:

Obblighi degli importatori

1. Gli importatori immettono sul mercato solo prodotti con elementi digitali conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, e laddove i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.

2. Prima di immettere un prodotto con elementi digitali sul mercato gli importatori si accertano che:

Ai fini del presente paragrafo, gli importatori sono in grado di fornire la documentazione necessaria a comprovare il rispetto dei requisiti di cui al presente articolo.

3. Qualora ritenga o abbia motivo di credere che un prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi al presente regolamento, l’importatore non immette il prodotto sul mercato fino a quando il prodotto o i processi messi in atto dal fabbricante non siano stati resi conformi al presente regolamento. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, l’importatore ne informa il fabbricante e le autorità di vigilanza del mercato.

Qualora abbia motivo di credere che un prodotto con elementi digitali possa presentare un rischio di cibersicurezza significativo alla luce di fattori di rischio non tecnici, l’importatore ne informa le autorità di vigilanza del mercato. Non appena ricevute tali informazioni, le autorità di vigilanza del mercato seguono le procedure di cui all’articolo 54, paragrafo 2.

4. Gli importatori indicano il loro nome, la loro denominazione commerciale registrata o il loro marchio registrato, l’indirizzo postale, l’indirizzo di posta elettronica o altro contatto digitale nonché, se disponibile, il sito web ai quali possono essere contattati sul prodotto con elementi digitali oppure sull’imballaggio o in un documento di accompagnamento del prodotto con elementi digitali. I dati di recapito sono redatti in una lingua facilmente comprensibile dagli utilizzatori e dalle autorità di vigilanza del mercato.

5. Gli importatori che hanno la certezza o hanno motivo di credere che un prodotto con elementi digitali che hanno immesso sul mercato non sia conforme al presente regolamento adottano immediatamente le misure correttive necessarie per far sì che tale prodotto con elementi digitali sia reso conforme al presente regolamento, oppure, se del caso, per ritirare o richiamare il prodotto.

Quando vengono a conoscenza di una vulnerabilità nel prodotto con elementi digitali, gli importatori ne informano il fabbricante senza indebito ritardo. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, gli importatori ne informano immediatamente le autorità di vigilanza del mercato degli Stati membri in cui hanno messo a disposizione sul mercato il prodotto con elementi digitali, dando in particolare informazioni dettagliate sulla non conformità e su eventuali misure correttive adottate.

6. Gli importatori mantengono una copia della dichiarazione di conformità UE a disposizione delle autorità di vigilanza del mercato per un periodo di almeno dieci anni dalla data di immissione sul mercato del prodotto con elementi digitali o per la durata del periodo di assistenza, se quest’ultimo è superiore, e si accertano che la documentazione tecnica possa essere messa a disposizione di tali autorità, su richiesta.

7. A seguito di una richiesta motivata di un’autorità di vigilanza del mercato, gli importatori forniscono a quest’ultima, in formato cartaceo o elettronico, tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, nonché la conformità dei processi messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II, in una lingua che possa essere facilmente compresa da tale autorità. Essi cooperano con tale autorità, su sua richiesta, a qualsiasi misura adottata per eliminare i rischi di cibersicurezza presentati da un prodotto con elementi digitali da essi immesso sul mercato.

8. Qualora venga a conoscenza del fatto che il fabbricante di un prodotto con elementi digitali ha cessato l’attività e di conseguenza non è in grado di rispettare gli obblighi previsti dal presente regolamento, l’importatore di tale prodotto ne informa le autorità di vigilanza del mercato competenti nonché, con qualsiasi mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti con elementi digitali immessi sul mercato.

Obblighi dei distributori

1. Quando mettono un prodotto con elementi digitali a disposizione sul mercato, i distributori esercitano la dovuta diligenza per rispettare i requisiti stabiliti dal presente regolamento.

2. Prima di mettere un prodotto con elementi digitali a disposizione sul mercato, i distributori verificano che:

3. Se un distributore ritiene o ha motivo di credere, sulla base delle informazioni in suo possesso, che un prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, il distributore non mette il prodotto con elementi digitali a disposizione sul mercato fino a quando il prodotto o i processi messi in atto dal fabbricante non siano stati resi conformi al presente regolamento. Inoltre, quando il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, il distributore ne informa, senza indebito ritardo, il fabbricante e le autorità di vigilanza del mercato.

4. I distributori che hanno la certezza o hanno motivo di credere, sulla base delle informazioni in loro possesso, che un prodotto con elementi digitali che hanno messo a disposizione sul mercato o i processi messi in atto dal suo fabbricante non siano conformi al presente regolamento si assicurano che siano adottate le misure correttive necessarie per rendere conformi tale prodotto con elementi digitali o i processi messi in atto dal suo fabbricante oppure, se del caso, per ritirare o richiamare il prodotto.

Quando vengono a conoscenza di una vulnerabilità nel prodotto con elementi digitali, i distributori ne informano il fabbricante senza indebito ritardo. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, i distributori ne informano immediatamente le autorità di vigilanza del mercato degli Stati membri in cui hanno messo a disposizione sul mercato il prodotto con elementi digitali, dando in particolare informazioni dettagliate sulla non conformità e su eventuali misure correttive adottate.

5. A seguito di una richiesta motivata di un’autorità di vigilanza del mercato, i distributori forniscono, in formato cartaceo o elettronico, tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali e dei processi messi in atto dal suo fabbricante al presente regolamento in una lingua che possa essere facilmente compresa da tale autorità. Essi cooperano con tale autorità, su sua richiesta, a qualsiasi misura adottata per eliminare i rischi di cibersicurezza presentati da un prodotto con elementi digitali da essi messo a disposizione sul mercato.

6. Qualora venga a conoscenza, sulla base delle informazioni in suo possesso, del fatto che il fabbricante di un prodotto con elementi digitali ha cessato l’attività e di conseguenza non è in grado di rispettare gli obblighi previsti dal presente regolamento, il distributore di tale prodotto ne informa, senza indebito ritardo, le autorità di vigilanza del mercato competenti nonché, con qualsiasi mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti con elementi digitali immessi sul mercato.

Casi in cui gli obblighi dei fabbricanti si applicano agli importatori e ai distributori

Un importatore o distributore è ritenuto un fabbricante ai fini del presente regolamento, ed è soggetto agli obblighi di cui agli articoli 13 e 14, quando immette sul mercato un prodotto con elementi digitali con il proprio nome o marchio commerciale o apporta una modifica sostanziale a un prodotto con elementi digitali già immesso sul mercato.

Altri casi in cui si applicano gli obblighi dei fabbricanti

1. Una persona fisica o giuridica, diversa dal fabbricante, dall’importatore o dal distributore, che apporta una modifica sostanziale a un prodotto con elementi digitali e mette tale prodotto a disposizione sul mercato è considerata un fabbricante ai fini del presente regolamento.

2. La persona di cui al paragrafo 1 del presente articolo è soggetta agli obblighi di cui agli articoli 13 e 14 per la parte del prodotto con elementi digitali interessata da tale modifica sostanziale oppure, se la modifica sostanziale incide sulla cibersicurezza del prodotto con elementi digitali nel suo complesso, per l’intero prodotto.

Identificazione degli operatori economici

1. Gli operatori economici, su richiesta, forniscono alle autorità di vigilanza del mercato le informazioni seguenti:

2. Gli operatori economici si assicurano di essere in grado di presentare le informazioni di cui al paragrafo 1 per dieci anni dal momento in cui sia stato loro fornito un prodotto con elementi digitali e per dieci anni dal momento in cui essi abbiano fornito il prodotto con elementi digitali.

Obblighi dei gestori di software open source

1. I gestori di software open source mettono in atto e documentano in modo verificabile una politica in materia di cibersicurezza per promuovere lo sviluppo di un prodotto con elementi digitali sicuro nonché una gestione efficace delle vulnerabilità da parte degli sviluppatori di tale prodotto. Tale politica promuove inoltre la segnalazione volontaria di vulnerabilità di cui all’articolo 15 da parte degli sviluppatori di tale prodotto e tiene conto della natura specifica del software open source e delle disposizioni giuridiche e organizzative cui è soggetto. La politica include, in particolare, aspetti relativi alla documentazione, al trattamento e alla correzione delle vulnerabilità e promuove la condivisione di informazioni relative alle vulnerabilità individuate nell’ambito della comunità open source.

2. I gestori di software open source cooperano con le autorità di vigilanza del mercato, su loro richiesta, al fine di attenuare i rischi di cibersicurezza presentati da un prodotto con elementi digitali che si qualificano come software liberi e open source.

A seguito di una richiesta motivata di un’autorità di vigilanza del mercato, i gestori di software open source forniscono a tale autorità, in una lingua che possa essere facilmente compresa da quest’ultima, la documentazione di cui al paragrafo 1, in formato cartaceo o elettronico.

3. Gli obblighi di cui all’articolo 14, paragrafo 1, si applicano ai gestori di software open source nella misura in cui sono coinvolti nello sviluppo dei prodotti con elementi digitali. Gli obblighi di cui all’articolo 14, paragrafi 3 e 8, si applicano ai gestori di software open source nella misura in cui incidenti gravi che hanno un impatto sulla sicurezza dei prodotti con elementi digitali incidano sui sistemi informativi e di rete forniti da tali gestori di software open source per lo sviluppo di tali prodotti.

Attestazione di sicurezza dei software liberi e open source

Al fine di agevolare l’obbligo di dovuta diligenza di cui all’articolo 13, paragrafo 5, in particolare per quanto riguarda i fabbricanti che integrano componenti software liberi e open source nei loro prodotti con elementi digitali, alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 al fine di integrare il presente regolamento istituendo programmi volontari di attestazione di sicurezza che consentano agli sviluppatori o agli utilizzatori di prodotti con elementi digitali che si qualificano come software liberi e open source, nonché ad altri soggetti terzi, di valutare la conformità di tali prodotti a tutti o a determinati requisiti essenziali di cibersicurezza o ad altri obblighi di cui al presente regolamento.

Orientamenti

1. Al fine di agevolare l’attuazione e di assicurarne la coerenza, la Commissione pubblica orientamenti per assistere gli operatori economici nell’applicazione del presente regolamento, con particolare attenzione all’agevolazione della conformità da parte delle microimprese e delle piccole e medie imprese.

2. Qualora intenda fornire gli orientamenti di cui al paragrafo 1, la Commissione affronta almeno gli aspetti seguenti:

La Commissione mantiene inoltre un elenco facilmente fruibile degli atti delegati e di esecuzione adottati a norma del presente regolamento.

3. Nell’elaborare gli orientamenti a norma del presente articolo, la Commissione consulta i portatori di interessi pertinenti.

Presunzione di conformità

1. I prodotti con elementi digitali e i processi messi in atto dal fabbricante che sono conformi alle norme armonizzate o a parti di esse i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I oggetto di tali norme o parti di esse.

In conformità dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate per i requisiti essenziali di cibersicurezza di cui all’allegato I del presente regolamento. Nel preparare richieste di normazione per il presente regolamento, la Commissione si adopera per tenere conto delle norme europee ed internazionali esistenti in materia di cibersicurezza, siano esse in vigore o in corso di elaborazione, al fine di semplificare lo sviluppo delle norme armonizzate, ai sensi del regolamento (UE) n. 1025/2012.

2. Alla Commissione è conferito il potere di adottare atti di esecuzione che stabiliscono specifiche comuni relative ai requisiti tecnici che forniscono i mezzi per soddisfare i requisiti essenziali di cibersicurezza di cui all’allegato I per i prodotti con elementi digitali rientranti nell’ambito di applicazione del presente regolamento.

Tali atti di esecuzione sono adottati solo laddove siano soddisfatte le condizioni seguenti:

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

3. Prima di preparare il progetto di atto di esecuzione di cui al paragrafo 2 del presente articolo, la Commissione informa il comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 di ritenere soddisfatte le condizioni di cui al paragrafo 2 del presente articolo.

4. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 2, la Commissione tiene conto dei pareri degli organi competenti e consulta debitamente tutti i portatori di interessi pertinenti.

5. I prodotti con elementi digitali e i processi messi in atto dal fabbricante che sono conformi alle specifiche comuni stabilite dagli atti di esecuzione di cui al paragrafo 2 del presente articolo, o a parti di esse, si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I oggetto di tali specifiche comuni o di loro parti.

6. Qualora una norma armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione al fine di pubblicarne il riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma armonizzata conformemente al regolamento (UE) n. 1025/2012. Quando un riferimento a una norma armonizzata è pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 2 del presente articolo, o parti di essi, che riguardano gli stessi requisiti essenziali di cibersicurezza contemplati da tale norma armonizzata.

7. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamente i requisiti essenziali di cibersicurezza di cui all’allegato I, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

8. I prodotti con elementi digitali e i processi messi in atto dal fabbricante per i quali sono stati rilasciati un certificato o una dichiarazione di conformità UE nell’ambito di un sistema europeo di certificazione della cibersicurezza adottato a norma del regolamento (UE) 2019/881 si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, nella misura in cui tali requisiti siano contemplati dal certificato europeo di cibersicurezza o dalla dichiarazione di conformità UE o da loro parti.

9. Alla Commissione è conferito il potere di adottare atti delegati ai sensi dell’articolo 61 del presente regolamento per integrare il presente regolamento specificando i sistemi europei di certificazione della cibersicurezza adottati a norma del regolamento (UE) 2019/881 che possono essere utilizzati per dimostrare la conformità dei prodotti con elementi digitali ai requisiti essenziali di cibersicurezza o a parti di essi di cui all’allegato I del presente regolamento. Inoltre l’emissione di un certificato europeo di cibersicurezza rilasciato nell’ambito di tali sistemi con un livello di affidabilità almeno «sostanziale» sopprime l’obbligo per un fabbricante di effettuare una valutazione della conformità da parte di terzi per i requisiti corrispondenti, come previsto dall’articolo 32, paragrafo 2, lettere a) e b), e dall’articolo 32, paragrafo 3), lettere a) e b), del presente regolamento.

Dichiarazione di conformità UE

1. La dichiarazione di conformità UE è redatta dai fabbricanti in conformità dell’articolo 13, paragrafo 12, e attesta il rispetto dei requisiti essenziali di cibersicurezza applicabili di cui all’allegato I.

2. La dichiarazione di conformità UE ha la struttura tipo di cui all’allegato V e contiene gli elementi specificati nelle pertinenti procedure di valutazione della conformità di cui all’allegato VIII. Tale dichiarazione è opportunamente aggiornata. È resa disponibile nelle lingue richieste dallo Stato membro sul cui mercato il prodotto con elementi digitali è immesso o messo a disposizione sul mercato.

La dichiarazione di conformità UE semplificata di cui all’articolo 13, paragrafo 20, ha la struttura tipo di cui all’allegato VI. È resa disponibile nelle lingue richieste dallo Stato membro sul cui mercato il prodotto con elementi digitali è immesso o messo a disposizione sul mercato.

3. Se al prodotto con elementi digitali si applicano più atti giuridici dell’Unione che prescrivono una dichiarazione di conformità UE, è redatta un’unica dichiarazione di conformità UE in relazione a tutti questi atti giuridici dell’Unione. La dichiarazione contiene gli estremi degli atti giuridici dell’Unione in questione, compresi i riferimenti della loro pubblicazione.

4. Con la dichiarazione di conformità UE il fabbricante si assume la responsabilità della conformità del prodotto con elementi digitali.

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per integrare il presente regolamento aggiungendo elementi al contenuto minimo della dichiarazione di conformità UE di cui all’allegato V per tenere conto degli sviluppi tecnologici.

Principi generali della marcatura CE

La marcatura CE è soggetta ai principi generali stabiliti all’articolo 30 del regolamento (CE) n. 765/2008.

Regole e condizioni per l’apposizione della marcatura CE

1. La marcatura CE è apposta sul prodotto con elementi digitali in modo visibile, leggibile e indelebile. Qualora ciò non sia possibile o la natura del prodotto con elementi digitali non lo consenta, essa è apposta sull’imballaggio e sulla dichiarazione di conformità UE di cui all’articolo 28 che accompagna il prodotto con elementi digitali. Per i prodotti con elementi digitali sotto forma di software, la marcatura CE è apposta sulla dichiarazione di conformità UE di cui all’articolo 28 o sul sito web che accompagna il prodotto software. In quest’ultimo caso, la sezione pertinente del sito web è facilmente e direttamente accessibile ai consumatori.

2. A seconda della natura del prodotto con elementi digitali, l’altezza della marcatura CE apposta su di esso può essere inferiore a 5 mm, purché rimanga visibile e leggibile.

3. La marcatura CE è apposta sul prodotto con elementi digitali prima della sua immissione sul mercato. Può essere seguita da un pittogramma o da qualsiasi altro marchio che indichi un rischio di cibersicurezza o un impiego particolar stabilito negli atti di esecuzione di cui al paragrafo 6.

4. La marcatura CE è seguita dal numero di identificazione dell’organismo notificato, qualora quest’ultimo partecipi alla procedura di valutazione della conformità basata sulla garanzia della qualità totale (basata sul modulo H) di cui all’articolo 32.

Il numero di identificazione dell’organismo notificato è apposto dall’organismo stesso o, in base alle istruzioni di quest’ultimo, dal fabbricante o dal rappresentante autorizzato del fabbricante.

5. Gli Stati membri si avvalgono dei meccanismi esistenti per garantire un’applicazione corretta del regime che disciplina la marcatura CE e promuovono le azioni opportune contro l’uso improprio di tale marcatura. Qualora il prodotto con elementi digitali sia soggetto ad altre normative di armonizzazione dell’Unione diverse dal presente regolamento che prevedono l’apposizione della marcatura CE, questa indica che il prodotto rispetta anche i requisiti stabiliti in tali altre normative di armonizzazione dell’Unione.

6. La Commissione può, mediante atti di esecuzione, stabilire specifiche tecniche per le etichette, i pittogrammi o qualsiasi altro marchio relativo alla sicurezza dei prodotti con elementi digitali, i loro periodi di assistenza e meccanismi per promuoverne l’uso, nonché per sensibilizzare il pubblico in merito alla sicurezza dei prodotti con elementi digitali. Nell’elaborare i progetti di atti di esecuzione, la Commissione consulta i portatori di interessi pertinenti e, laddove sia stato già stabilito a norma dell’articolo 52, paragrafo 15, l’ADCO. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

Documentazione tecnica

1. La documentazione tecnica contiene tutti i dati o i dettagli pertinenti relativi ai mezzi utilizzati dal fabbricante per garantire che il prodotto con elementi digitali e i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I. Essa contiene almeno gli elementi di cui all’allegato VII.

2. La documentazione tecnica è redatta prima dell’immissione sul mercato del prodotto con elementi digitali ed è costantemente aggiornata, se del caso, almeno per tutta la durata del periodo di assistenza.

3. Per i prodotti con elementi digitali di cui all’articolo 12 che sono soggetti anche ad altri atti giuridici dell’Unione che prevedono documentazione tecnica, è redatta un’unica documentazione tecnica contenente le informazioni di cui all’allegato VII e le informazioni richieste dai rispettivi atti giuridici dell’Unione.

4. La documentazione tecnica e la corrispondenza relativa a qualsiasi procedura di valutazione della conformità sono redatte in una delle lingue ufficiali dello Stato membro in cui è stabilito l’organismo notificato o in una lingua accettata da quest’ultimo.

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per integrare il presente regolamento aggiungendo elementi da includere nella documentazione tecnica di cui all’allegato VII, al fine di tenere conto degli sviluppi tecnologici e degli sviluppi riscontrati nel processo di attuazione del presente regolamento. A tal fine la Commissione si adopera affinché gli oneri amministrativi a carico delle microimprese e delle piccole e medie imprese siano proporzionati.

Procedure di valutazione della conformità per prodotti con elementi digitali

1. Il fabbricante effettua una valutazione della conformità del prodotto con elementi digitali e dei processi messi in atto dal fabbricante per determinare se sono soddisfatti i requisiti essenziali di cibersicurezza di cui all’allegato I. Il fabbricante dimostra la conformità ai requisiti essenziali di cibersicurezza utilizzando una delle procedure seguenti:

2. Se per la valutazione della conformità del prodotto con elementi digitali importante rientrante nella classe I di cui all’allegato III e dei processi messi in atto dal suo fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I il fabbricante non ha applicato o ha applicato solo in parte norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza con un livello di affidabilità almeno «sostanziale» di cui all’articolo 27, o nel caso in cui non esistano tali norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza, il prodotto con elementi digitali in questione e i processi messi in atto dal fabbricante sono sottoposti, per verificarne la conformità a tali requisiti essenziali di cibersicurezza, a una delle procedure seguenti:

3. Se il prodotto è un prodotto con elementi digitali importante rientrante nella classe II, come indicato nell’allegato III, il fabbricante dimostra la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I utilizzando una delle procedure seguenti:

4. I prodotti con elementi digitali critici di classe II elencati nell’allegato IV dimostrano la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I utilizzando una delle procedure seguenti:

5. I fabbricanti di prodotti con elementi digitali che si qualificano come software liberi e open-source che rientrano nelle categorie di cui all’allegato III sono in grado di dimostrare la conformità ai requisiti essenziali i cibersicurezza di cui all’allegato I utilizzando una delle procedure di cui al paragrafo 1 del presente articolo, a condizione che la documentazione tecnica di cui all’articolo 31 sia messa a disposizione del pubblico al momento dell’immissione sul mercato di tali prodotti.

6. Si dovrebbe tener conto degli interessi e delle esigenze specifici delle microimprese e delle piccole e medie imprese, comprese le start-up, nel definire le tariffe per le procedure di valutazione della conformità e tali tariffe sono ridotte proporzionalmente agli interessi e alle esigenze specifici di tali imprese.

Misure di sostegno per le microimprese e le piccole e medie imprese, comprese le start-up

1. Gli Stati membri intraprendono, se del caso, le azioni seguenti, adattate alle esigenze delle microimprese e delle piccole imprese:

2. Gli Stati membri possono, se del caso, istituire spazi di sperimentazione normativa per la ciberresilienza. Tali spazi di sperimentazione normativa prevedono ambienti di prova controllati per prodotti innovativi con elementi digitali al fine di facilitarne lo sviluppo, la progettazione, la convalida e le prove ai fini della conformità al presente regolamento per un periodo di tempo limitato precedente all’immissione sul mercato. La Commissione e, se del caso, l’ENISA possono fornire sostegno tecnico, consulenza e strumenti per l’istituzione e il funzionamento degli spazi di sperimentazione normativa. Essi sono istituiti sotto la supervisione, l’orientamento e il sostegno diretti delle autorità di vigilanza del mercato. Gli Stati membri informano la Commissione e le altre autorità di vigilanza del mercato dell’istituzione di uno spazio di sperimentazione normativa attraverso l’ADCO. Gli spazi di sperimentazione normativa non pregiudicano i poteri correttivi e di sorveglianza delle autorità competenti. Gli Stati membri garantiscono un accesso aperto, equo e trasparente agli spazi di sperimentazione normativa e, in particolare, ne facilitano l’accesso delle microimprese e delle piccole imprese, comprese le start-up.

3. Conformemente all’articolo 26, la Commissione fornisce orientamenti alle microimprese e alle piccole e medie imprese in relazione all’attuazione del presente regolamento.

4. La Commissione promuove il sostegno finanziario disponibile nel quadro normativo dei programmi dell’Unione esistenti, in particolare al fine di alleggerire l’onere finanziario per le microimprese e le piccole imprese.

5. Le microimprese e le piccole imprese possono fornire tutti gli elementi della documentazione tecnica specificata nell’allegato VII avvalendosi di un formato semplificato. A tal fine la Commissione specifica, mediante atti di esecuzione, il modulo di documentazione tecnica semplificata destinato alle esigenze delle microimprese e delle piccole imprese, comprese le modalità in cui devono essere forniti gli elementi di cui all’allegato VII. Se una microimpresa o una piccola impresa sceglie di fornire le informazioni di cui all’allegato VII in modo semplificato, utilizza il modulo di cui al presente paragrafo. Gli organismi notificati accettano tale modulo ai fini della valutazione della conformità.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

Accordi sul reciproco riconoscimento

Tenuto conto del livello di sviluppo tecnico e dell’approccio in materia di valutazione della conformità di un paese terzo, l’Unione può concludere accordi sul reciproco riconoscimento con paesi terzi, conformemente all’articolo 218 TFUE, al fine di promuovere e agevolare il commercio internazionale.

Notifica

1. Gli Stati membri notificano alla Commissione e agli altri Stati membri gli organismi autorizzati a effettuare valutazioni della conformità a norma del presente regolamento.

2. Gli Stati membri si adoperano per garantire, entro l’11 dicembre 2026, che nell’Unione vi sia un numero sufficiente di organismi notificati per effettuare valutazioni della conformità, al fine di evitare strozzature e ostacoli all’ingresso nel mercato.

Autorità di notifica

1. Ogni Stato membro designa un’autorità di notifica responsabile dell’istituzione e dell’esecuzione delle procedure necessarie per la valutazione, la designazione e la notifica degli organismi di valutazione della conformità e il loro controllo, anche per quanto riguarda l’ottemperanza all’articolo 41.

2. Gli Stati membri possono decidere che la valutazione e il controllo di cui al paragrafo 1 siano eseguiti da un organismo nazionale di accreditamento ai sensi e in conformità del regolamento (CE) n. 765/2008.

3. Se l’autorità di notifica delega o altrimenti affida la valutazione, notifica o il controllo di cui al paragrafo 1 a un organismo che non è un ente pubblico, detto organismo è una persona giuridica e rispetta mutatis mutandis le disposizioni di cui all’articolo 37. Inoltre, tale organismo predispone disposizioni per coprire le responsabilità risultanti dalle sue attività.

4. L’autorità di notifica si assume la piena responsabilità per i compiti svolti dall’organismo di cui al paragrafo 3.

Requisiti relativi alle autorità di notifica

1. L’autorità di notifica è istituita in modo che non sorgano conflitti di interesse con gli organismi di valutazione della conformità.

2. L’autorità di notifica è organizzata e funziona in modo che siano salvaguardate l’obiettività e l’imparzialità delle sue attività.

3. L’autorità di notifica è organizzata in modo che ogni decisione relativa alla notifica di un organismo di valutazione della conformità sia adottata da persone competenti, diverse da quelle che hanno effettuato la valutazione.

4. L’autorità di notifica non offre e non fornisce attività svolte dagli organismi di valutazione della conformità o servizi di consulenza su base commerciale o concorrenziale.

5. L’autorità di notifica salvaguarda la riservatezza delle informazioni ottenute.

6. L’autorità di notifica ha a sua disposizione un numero di dipendenti competenti sufficiente per l’adeguata esecuzione dei suoi compiti.

Obbligo di informazione a carico delle autorità di notifica

1. Gli Stati membri informano la Commissione delle loro procedure per la valutazione e la notifica degli organismi di valutazione della conformità e per il controllo degli organismi notificati, nonché di qualsiasi modifica delle stesse.

2. La Commissione rende pubbliche le informazioni di cui al paragrafo 1.

Requisiti relativi agli organismi notificati

1. Ai fini della notifica, l’organismo di valutazione della conformità rispetta i requisiti di cui ai paragrafi da 2 a 12.

2. L’organismo di valutazione della conformità è istituito a norma della legge nazionale e ha personalità giuridica.

3. L’organismo di valutazione della conformità è un organismo terzo indipendente dall’organizzazione o dal prodotto con elementi digitali che valuta.

Un organismo appartenente a un’associazione d’imprese o a una federazione professionale che rappresenta imprese coinvolte nella progettazione, nello sviluppo, nella produzione, nella fornitura, nell’assemblaggio, nell’utilizzo o nella manutenzione di prodotti con elementi digitali che esso valuta può essere considerato un organismo terzo, a condizione che ne siano dimostrate l’indipendenza e l’assenza di qualsiasi conflitto di interesse.

4. L’organismo di valutazione della conformità, i suoi alti dirigenti e il personale incaricato di svolgere i compiti di valutazione della conformità non sono né il progettista, né lo sviluppatore, né il fabbricante, né il fornitore, né l’importatore, né il distributore, né l’installatore, né l’acquirente, né il proprietario, né l’utilizzatore o il responsabile della manutenzione dei prodotti con elementi digitali che essi valutano, né il rappresentante autorizzato di uno di questi soggetti. Ciò non preclude l’uso di prodotti valutati che sono necessari per il funzionamento dell’organismo di valutazione della conformità né l’uso di tali prodotti a scopi personali.

L’organismo di valutazione della conformità, i suoi alti dirigenti e il personale incaricato di svolgere i compiti di valutazione della conformità non intervengono direttamente nella progettazione, nello sviluppo, nella produzione, nell’importazione, nella distribuzione, nella commercializzazione, nell’installazione, nell’utilizzo o nella manutenzione dei prodotti con elementi digitali che essi valutano, né rappresentano i soggetti impegnati in tali attività. Essi non devono intraprendere alcuna attività che possa essere in conflitto con la loro indipendenza di giudizio o integrità riguardo alle attività di valutazione della conformità per cui sono notificati. Ciò vale in particolare per i servizi di consulenza.

Gli organismi di valutazione della conformità si accertano che le attività delle loro affiliate o dei loro subappaltatori non si ripercuotano sulla riservatezza, sull’obiettività o sull’imparzialità delle loro attività di valutazione della conformità.

5. Gli organismi di valutazione della conformità e il loro personale eseguono le operazioni di valutazione della conformità con il massimo dell’integrità professionale e con la competenza tecnica richiesta nel campo specifico e sono liberi da qualsivoglia pressione e incentivo, soprattutto di ordine finanziario, che possa influenzare il loro giudizio o i risultati delle loro attività di valutazione della conformità, in particolare da persone o gruppi di persone interessati ai risultati di tali attività.

6. L’organismo di valutazione della conformità è in grado di svolgere tutti i compiti di valutazione della conformità di cui all’allegato VIII e per i quali è stato notificato, indipendentemente dal fatto che tali compiti siano eseguiti dall’organismo stesso o per suo conto e sotto la sua responsabilità.

In ogni momento, per ogni procedura di valutazione della conformità e per ogni tipo o categoria di prodotti con elementi digitali per i quali è stato notificato, l’organismo di valutazione della conformità ha a sua disposizione:

L’organismo di valutazione della conformità dispone dei mezzi necessari per eseguire i compiti tecnici e amministrativi connessi alle attività di valutazione della conformità in modo appropriato e ha accesso a tutti gli strumenti o impianti occorrenti.

7. Il personale responsabile dell’esecuzione delle attività di valutazione della conformità dispone di quanto segue:

8. È garantita l’imparzialità degli organismi di valutazione della conformità, dei loro alti dirigenti e del personale addetto alle valutazioni.

La remunerazione degli alti dirigenti e del personale addetto alle valutazioni di un organismo di valutazione della conformità non dipende dal numero di valutazioni eseguite o dai risultati di tali valutazioni.

9. Gli organismi di valutazione della conformità sottoscrivono un contratto di assicurazione per la responsabilità civile, a meno che detta responsabilità non sia direttamente coperta dal rispettivo Stato membro a norma del diritto nazionale o che lo Stato membro stesso non sia direttamente responsabile della valutazione della conformità.

10. Il personale dell’organismo di valutazione della conformità è tenuto al segreto professionale per tutto ciò di cui viene a conoscenza nell’esercizio delle sue funzioni a norma dell’allegato VIII o di qualsiasi disposizione esecutiva di diritto interno, tranne nei confronti delle autorità di vigilanza del mercato dello Stato membro in cui esercita le sue attività. Sono tutelati i diritti di proprietà. L’organismo di valutazione della conformità dispone di procedure documentate che garantiscono la conformità al presente paragrafo.

11. Gli organismi di valutazione della conformità partecipano alle attività di normazione pertinenti e alle attività del gruppo di coordinamento degli organismi notificati istituito a norma dell’articolo 51, o garantiscono che il loro personale addetto alle valutazioni ne sia informato, e applicano come guida generale le decisioni e i documenti amministrativi prodotti da tale gruppo.

12. Gli organismi di valutazione della conformità operano secondo modalità e condizioni coerenti, eque, proporzionate e ragionevoli, evitando nel contempo oneri inutili per gli operatori economici, tenendo conto in particolare degli interessi delle microimprese e delle piccole e medie imprese in relazione alle tariffe.

Presunzione di conformità degli organismi notificati

Qualora dimostri la propria conformità ai criteri stabiliti nelle pertinenti norme armonizzate o in parti di esse i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea, un organismo di valutazione della conformità è considerato conforme ai requisiti di cui all’articolo 39 nella misura in cui le norme applicabili armonizzate contemplano tali requisiti.

Affiliate e subappaltatori degli organismi notificati

1. L’organismo notificato, qualora subappalti compiti specifici connessi alla valutazione della conformità oppure ricorra a un’affiliata, garantisce che il subappaltatore o l’affiliata soddisfi i requisiti di cui all’articolo 39 e ne informa l’autorità di notifica.

2. L’organismo notificato si assume la completa responsabilità dei compiti eseguiti dai subappaltatori o dalle affiliate, ovunque siano stabiliti.

3. Le attività possono essere subappaltate o eseguite da un’affiliata solo con il consenso del fabbricante.

4. Gli organismi notificati tengono a disposizione dell’autorità di notifica i documenti pertinenti riguardanti la valutazione delle qualifiche del subappaltatore o dell’affiliata e il lavoro da essi eseguito a norma del presente regolamento.

Domanda di notifica

1. L’organismo di valutazione della conformità presenta una domanda di notifica all’autorità di notifica dello Stato membro in cui è stabilito.

2. Tale domanda è corredata di una descrizione delle attività di valutazione della conformità, della procedura o delle procedure di valutazione della conformità e del prodotto o dei prodotti con elementi digitali per i quali l’organismo dichiara di essere competente, nonché, ove applicabile, di un certificato di accreditamento rilasciato da un organismo nazionale di accreditamento che attesti che l’organismo di valutazione della conformità è conforme ai requisiti di cui all’articolo 39.

3. Qualora l’organismo di valutazione della conformità non possa fornire un certificato di accreditamento, esso fornisce all’autorità di notifica tutte le prove documentali necessarie per la verifica, il riconoscimento e il controllo periodico della sua conformità ai requisiti di cui all’articolo 39.

Procedura di notifica

1. Le autorità di notifica notificano solo gli organismi di valutazione della conformità che soddisfino i requisiti di cui all’articolo 39.

2. L’autorità di notifica informa la Commissione e gli altri Stati membri utilizzando il sistema informativo NANDO (New Approach Notified and Designated Organisations), sviluppato e gestito dalla Commissione.

3. La notifica include tutti i dettagli riguardanti le attività di valutazione della conformità, il modulo o i moduli di valutazione della conformità e il prodotto o i prodotti con elementi digitali interessati, nonché la relativa attestazione di competenza.

4. Qualora una notifica non sia basata su un certificato di accreditamento di cui all’articolo 42, paragrafo 2, l’autorità di notifica fornisce alla Commissione e agli altri Stati membri le prove documentali che attestino la competenza dell’organismo di valutazione della conformità nonché le disposizioni predisposte per fare in modo che tale organismo sia controllato periodicamente e continui a soddisfare i requisiti di cui all’articolo 39.

5. L’organismo interessato può eseguire le attività di un organismo notificato solo se non sono sollevate obiezioni da parte della Commissione o degli altri Stati membri entro due settimane dalla notifica, qualora sia usato un certificato di accreditamento, o entro due mesi dalla notifica qualora non sia usato un accreditamento.

Solo tale organismo è considerato un organismo notificato ai fini del presente regolamento.

6. Alla Commissione e agli altri Stati membri sono comunicate eventuali modifiche di rilievo riguardanti la notifica.

Numeri di identificazione ed elenchi degli organismi notificati

1. La Commissione attribuisce un numero di identificazione a ciascun organismo notificato.

Essa assegna un numero unico anche se l’organismo è notificato a norma di diversi atti giuridici dell’Unione.

2. La Commissione mette a disposizione del pubblico l’elenco degli organismi notificati a norma del presente regolamento, inclusi i numeri di identificazione loro assegnati e le attività per le quali sono stati notificati.

La Commissione provvede affinché l’elenco sia tenuto aggiornato.

Modifiche delle notifiche

1. Qualora accerti o sia informata che un organismo notificato non è più conforme ai requisiti di cui all’articolo 39, o non adempie ai suoi obblighi, l’autorità di notifica limita, sospende o ritira la notifica, a seconda dei casi, in funzione della gravità del mancato rispetto di tali requisiti o dell’inadempimento di tali obblighi. Essa ne informa immediatamente la Commissione e gli altri Stati membri.

2. In caso di limitazione, sospensione o ritiro della notifica, oppure di cessazione dell’attività dell’organismo notificato, lo Stato membro notificante adotta le misure appropriate per garantire che le pratiche di tale organismo siano evase da un altro organismo notificato o siano messe a disposizione delle autorità di notifica e di vigilanza del mercato responsabili, su loro richiesta.

Contestazione della competenza degli organismi notificati

1. La Commissione indaga su tutti i casi in cui abbia dubbi o in cui siano portati alla sua attenzione dubbi sulla competenza di un organismo notificato a soddisfare i requisiti e ad adempiere le responsabilità cui è sottoposto o sulla continua ottemperanza di un organismo notificato a tali requisiti e a tali responsabilità.

2. Lo Stato membro notificante fornisce alla Commissione, su richiesta, tutte le informazioni relative alla base della notifica o del mantenimento della competenza dell’organismo in questione.

3. La Commissione garantisce la riservatezza di tutte le informazioni sensibili raccolte nel corso delle sue indagini.

4. La Commissione, qualora accerti che un organismo notificato non soddisfa o non soddisfa più i requisiti per la sua notifica, ne informa lo Stato membro notificante e chiede a quest’ultimo di adottare le misure correttive necessarie, incluso all’occorrenza il ritiro della notifica.

Obblighi operativi degli organismi notificati

1. Gli organismi notificati eseguono le valutazioni della conformità conformemente alle procedure di valutazione della conformità di cui all’articolo 32 e all’allegato VIII.

2. Le valutazioni della conformità sono eseguite in modo proporzionato, evitando oneri inutili per gli operatori economici. Gli organismi di valutazione della conformità svolgono le loro attività tenendo debitamente conto delle dimensioni delle imprese, in particolare per quanto riguarda le microimprese e le piccole e medie imprese, del settore in cui operano, della loro struttura, del grado di complessità e del livello di rischio di cibersicurezza dei prodotti con elementi digitali e della tecnologia in questione e della natura di massa o seriale del processo produttivo.

3. Gli organismi notificati rispettano tuttavia il grado di rigore e il livello di tutela necessari per la conformità dei prodotti con elementi digitali al presente regolamento.

4. Se un organismo notificato accerta che un fabbricante non ha rispettato i requisiti di cui all’allegato I o alle corrispondenti norme armonizzate o specifiche comuni di cui all’articolo 27, chiede a tale fabbricante di adottare le misure correttive del caso e non rilascia un certificato di conformità.

5. Qualora nel corso del monitoraggio della conformità successivo al rilascio di un certificato un organismo notificato rilevi che un prodotto con elementi digitali non è più conforme ai requisiti stabiliti dal presente regolamento, esso chiede al fabbricante di adottare le misure correttive del caso e all’occorrenza sospende o ritira il certificato.

6. Qualora non siano adottate misure correttive o queste ultime non producano il risultato richiesto, l’organismo notificato limita, sospende o ritira i certificati, a seconda dei casi.

Ricorso contro le decisioni degli organismi notificati

Gli Stati membri provvedono affinché sia disponibile una procedura di ricorso contro le decisioni degli organismi notificati.

Obbligo di informazione a carico degli organismi notificati

1. Gli organismi notificati informano l’autorità di notifica:

2. Gli organismi notificati forniscono agli altri organismi notificati a norma del presente regolamento, le cui attività di valutazione della conformità sono simili e hanno come oggetto gli stessi prodotti con elementi digitali, informazioni pertinenti su questioni relative ai risultati negativi e, su richiesta, ai risultati positivi delle valutazioni della conformità.

Scambio di esperienze

La Commissione provvede all’organizzazione di uno scambio di esperienze tra le autorità nazionali degli Stati membri responsabili della politica di notifica.

Coordinamento degli organismi notificati

1. La Commissione garantisce l’istituzione e il corretto funzionamento di un coordinamento e una cooperazione appropriati tra organismi notificati sotto forma di un gruppo intersettoriale di organismi notificati.

2. Gli Stati membri garantiscono che gli organismi da essi notificati partecipino al lavoro di tale gruppo, direttamente o mediante rappresentanti designati.

Vigilanza del mercato e controllo dei prodotti con elementi digitali nel mercato dell’Unione

1. Il regolamento (UE) 2019/1020 si applica ai prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento.

2. Ciascuno Stato membro designa una o più autorità di vigilanza del mercato al fine di garantire l’efficace attuazione del presente regolamento. Gli Stati membri possono designare un’autorità già esistente o una nuova autorità che agisca come autorità di vigilanza del mercato ai fini del presente regolamento.

3. Le autorità di vigilanza del mercato designate a norma del paragrafo 2 del presente articolo sono altresì responsabili dell’esecuzione delle attività di vigilanza del mercato in relazione agli obblighi per i gestori di software open source di cui all’articolo 24. Se un’autorità di vigilanza del mercato constata che un gestore di software open source non rispetta gli obblighi previsti in tale articolo, essa richiede al gestore di software open source di garantire che siano adottate tutte le opportune misure correttive. I gestori di software open source garantiscono che siano adottate tutte le opportune misure correttive in relazione agli obblighi loro spettanti in virtù del presente regolamento.

4. Le autorità di vigilanza del mercato collaborano, se pertinente, con le autorità nazionali di certificazione della cibersicurezza designate a norma dell’articolo 58 del regolamento (UE) 2019/881 e procedono regolarmente a scambi di informazioni. Per quanto riguarda la sorveglianza dell’attuazione degli obblighi di segnalazione di cui all’articolo 14 del presente regolamento, le autorità di vigilanza del mercato designate collaborano e procedono regolarmente a scambi di informazioni con i CSIRT designati come coordinatori e con l’ENISA.

5. Le autorità di vigilanza del mercato possono chiedere a un CSIRT designato come coordinatore e all’ENISA di fornire consulenza tecnica su questioni relative all’attuazione e all’applicazione del presente regolamento. Nel condurre un’indagine a norma dell’articolo 54, le autorità di vigilanza del mercato possono chiedere al CSIRT designato come coordinatore o all’ENISA di fornire un’analisi a sostegno delle valutazioni sulla conformità dei prodotti con elementi digitali.

6. Le autorità di vigilanza del mercato cooperano, se pertinente, con altre autorità di vigilanza del mercato designate sulla base di normative di armonizzazione dell’Unione diverse dal presente regolamento e procedono regolarmente a scambi di informazioni.

7. Le autorità di vigilanza del mercato collaborano, all’occorrenza, con le autorità preposte alla vigilanza del diritto dell’Unione in materia di protezione dei dati. Rientra in tale cooperazione la comunicazione a dette autorità di qualsiasi risultanza pertinente per l’esercizio delle loro competenze, anche nell’ambito della fornitura di orientamenti e consulenze a norma del paragrafo 10, se tali orientamenti e consulenze riguardano il trattamento dei dati personali.

Le autorità preposte alla vigilanza del diritto dell’Unione in materia di protezione dei dati hanno il potere di richiedere qualsiasi documentazione creata o conservata a norma del presente regolamento e di accedervi, qualora l’accesso a tale documentazione sia necessario per lo svolgimento dei loro compiti. Esse informano le autorità di vigilanza del mercato designate dello Stato membro interessato di tale richiesta.

8. Gli Stati membri garantiscono che le autorità di vigilanza del mercato designate dispongano di adeguate risorse finanziarie e tecniche, compresi, se del caso, strumenti per il trattamento automatizzato, nonché umane dotate delle competenze in materia di cibersicurezza necessarie per svolgere i loro compiti a norma del presente regolamento.

9. La Commissione incoraggia e agevola lo scambio di esperienze tra le autorità di vigilanza del mercato designate.

10. Le autorità di vigilanza del mercato possono fornire agli operatori economici orientamenti e consulenza sull’attuazione del presente regolamento, con il sostegno della Commissione e, se del caso, dei CSIRT e dell’ENISA.

11. Le autorità di vigilanza del mercato informano i consumatori riguardo a dove possono presentare reclami che potrebbero indicare una non conformità al presente regolamento, conformemente all’articolo 11 del regolamento (UE) 2019/1020, e forniscono ai consumatori informazioni su dove e come accedere ai meccanismi per facilitare la segnalazione di vulnerabilità, incidenti e minacce informatiche che possono incidere sui prodotti con elementi digitali.

12. Le autorità di vigilanza del mercato facilitano, ove pertinente, la cooperazione con i pertinenti portatori di interessi, comprese le organizzazioni scientifiche, di ricerca e di consumatori.

13. Le autorità di vigilanza del mercato riferiscono annualmente alla Commissione in merito ai risultati delle pertinenti attività di vigilanza del mercato. Le autorità di vigilanza del mercato designate comunicano senza indugio alla Commissione e alle pertinenti autorità nazionali garanti della concorrenza qualsiasi informazione individuata nel corso delle attività di vigilanza del mercato che possa essere di potenziale interesse per l’applicazione del diritto dell’Unione in materia di concorrenza.

14. Per quanto riguarda i prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento classificati come sistemi di IA ad alto rischio a norma dell’articolo 6 del regolamento (UE) 2024/1689, le autorità di vigilanza del mercato designate ai fini di tale regolamento sono le autorità responsabili delle attività di vigilanza del mercato previste dal presente regolamento. Le autorità di vigilanza del mercato designate a norma del regolamento (UE) 2024/1689 cooperano, all’occorrenza, con le autorità di vigilanza del mercato designate a norma del presente regolamento e, per quanto riguarda la sorveglianza dell’attuazione degli obblighi di segnalazione a norma dell’articolo 14 del presente regolamento, con i CSIRT designati come coordinatori e con l’ENISA. Le autorità di vigilanza del mercato designate a norma del regolamento (UE) 2024/1689 informano in particolare le autorità di vigilanza del mercato designate a norma del presente regolamento di qualsiasi risultanza pertinente per lo svolgimento dei loro compiti in relazione all’attuazione del presente regolamento.

15. Per l’applicazione uniforme del presente regolamento è istituito un apposito gruppo di cooperazione amministrativa (ADCO) a norma dell’articolo 30, paragrafo 2, del regolamento (UE) 2019/1020. L’ADCO è composto da rappresentanti delle autorità di vigilanza del mercato designate e, se del caso, da rappresentanti degli uffici unici di collegamento. L’ADCO affronta inoltre questioni specifiche relative alle attività di vigilanza del mercato in relazione agli obblighi imposti ai gestori di software open source.

16. Le autorità di vigilanza del mercato monitorano il modo in cui i fabbricanti hanno applicato i criteri di cui all’articolo 13, paragrafo 8, nel determinare il periodo di assistenza dei loro prodotti con elementi digitali.

L’ADCO pubblica in una forma accessibile al pubblico e di facile utilizzo statistiche pertinenti sulle categorie di prodotti con elementi digitali, compreso i periodi medi di assistenza, quali determinati dal fabbricante a norma dell’articolo 13, paragrafo 8, e fornisce orientamenti che includano periodi di assistenza indicativi per le categorie di prodotti con elementi digitali.

Qualora i dati suggeriscano periodi di assistenza inadeguati per specifiche categorie di prodotti con elementi digitali, l’ADCO può formulare raccomandazioni alle autorità di vigilanza del mercato affinché concentrino le loro attività su tali categorie di prodotti con elementi digitali.

Accesso ai dati e documentazione

Se necessario per valutare la conformità dei prodotti con elementi digitali e dei processi messi in atto dai loro fabbricanti ai requisiti essenziali di cibersicurezza di cui all’allegato I e su richiesta motivata, alle autorità di vigilanza del mercato è consentito l’accesso, in una lingua che esse siano in grado di comprendere facilmente, ai dati necessari per valutare la progettazione, lo sviluppo, la produzione e la gestione delle vulnerabilità di tali prodotti, compresa la relativa documentazione interna del pertinente operatore economico.

Procedura a livello nazionale relativa ai prodotti con elementi digitali che presentano un rischio di cibersicurezza significativo

1. Qualora l’autorità di vigilanza del mercato di uno Stato membro abbia motivi sufficienti per ritenere che un prodotto con elementi digitali, compresa la relativa gestione delle vulnerabilità, presenti un rischio di cibersicurezza significativo, essa effettua, senza indebito ritardo e, se del caso, in cooperazione con il pertinente CSIRT, una valutazione del prodotto con elementi digitali interessato per quanto riguarda la sua conformità a tutti i requisiti di cui al presente regolamento. Gli operatori economici interessati cooperano con l’autorità di vigilanza del mercato se necessario.

Se, nel corso di tale valutazione, l’autorità di vigilanza del mercato conclude che il prodotto con elementi digitali non rispetta i requisiti di cui al presente regolamento, essa chiede senza indugio all’operatore economico interessato di adottare tutte le opportune misure correttive al fine di rendere il prodotto con elementi digitali conforme ai suddetti requisiti oppure di ritirarlo o di richiamarlo dal mercato entro un termine ragionevole e proporzionato alla natura del rischio di cibersicurezza, a seconda di quanto prescritto dall’autorità di vigilanza del mercato.

L’autorità di vigilanza del mercato informa di conseguenza l’organismo notificato pertinente. L’articolo 18 del regolamento (UE) 2019/1020 si applica alle misure correttive.

2. Nel determinare la rilevanza di un rischio di cibersicurezza di cui al paragrafo 1 del presente articolo, le autorità di vigilanza del mercato tengono conto anche dei fattori di rischio non tecnici, in particolare quelli stabiliti a seguito di valutazioni coordinate a livello dell’Unione del rischio per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell’articolo 22 della direttiva (UE) 2022/2555. Se l’autorità di vigilanza del mercato ha motivi sufficienti per ritenere che un prodotto con elementi digitali presenti un rischio di cibersicurezza significativo alla luce di fattori di rischio non tecnici, essa informa le autorità competenti designate o istituite a norma dell’articolo 8 della direttiva (UE) 2022/2555 e coopera con tali autorità se necessario.

3. Qualora ritenga che la non conformità non sia limitata al territorio nazionale, l’autorità di vigilanza del mercato informa la Commissione e gli altri Stati membri dei risultati della valutazione e delle azioni che ha chiesto all’operatore economico di intraprendere.

4. L’operatore economico garantisce che siano adottate tutte le opportune misure correttive nei confronti di tutti i prodotti con elementi digitali interessati che ha messo a disposizione sul mercato in tutta l’Unione.

5. Qualora l’operatore economico non adotti misure correttive adeguate entro il termine di cui al paragrafo 1, secondo comma, l’autorità di vigilanza del mercato adotta tutte le opportune misure provvisorie per vietare o limitare la messa a disposizione del prodotto con elementi digitali sul suo mercato nazionale, per ritirarlo da tale mercato o per richiamarlo.

Tale autorità notifica senza indugio alla Commissione e agli altri Stati membri tali misure.

6. Le informazioni di cui al paragrafo 5 includono tutti i dettagli disponibili, soprattutto i dati necessari all’identificazione del prodotto con elementi digitali non conforme, la sua origine, la natura della presunta non conformità e i rischi connessi, la natura e la durata delle misure nazionali adottate, nonché gli argomenti espressi dall’operatore economico interessato. L’autorità di vigilanza del mercato indica in particolare se la non conformità sia dovuta a una o più delle cause seguenti:

7. Le autorità di vigilanza del mercato degli Stati membri diverse dall’autorità di vigilanza del mercato dello Stato membro che ha avviato la procedura comunicano senza indugio alla Commissione e agli altri Stati membri tutte le misure adottate, tutte le altre informazioni a loro disposizione sulla non conformità del prodotto con elementi digitali interessato e, in caso di disaccordo con la misura nazionale notificata, le loro obiezioni.

8. Qualora, entro tre mesi dal ricevimento della notifica di cui al paragrafo 5 del presente articolo, uno Stato membro o la Commissione non sollevino obiezioni contro la misura provvisoria adottata da uno Stato membro, tale misura è considerata giustificata. Ciò non pregiudica i diritti procedurali dell’operatore economico interessato in conformità dell’articolo 18 del regolamento (UE) 2019/1020.

9. Le autorità di vigilanza del mercato di tutti gli Stati membri garantiscono che siano adottate senza indugio adeguate misure restrittive in relazione al prodotto con elementi digitali interessato, come il ritiro di tale prodotto dal loro mercato.

Procedura di salvaguardia dell’Unione

1. Se entro tre mesi dal ricevimento della notifica di cui all’articolo 54, paragrafo 5, uno Stato membro solleva obiezioni contro la misura adottata da un altro Stato membro, o se la Commissione ritiene che la misura sia contraria al diritto dell’Unione, la Commissione consulta senza indugio lo Stato membro interessato e l’operatore o gli operatori economici e valuta la misura nazionale. Sulla base dei risultati di tale valutazione, la Commissione decide se la misura nazionale sia giustificata o meno entro nove mesi dalla notifica di cui all’articolo 54, paragrafo 5, e notifica tale decisione allo Stato membro interessato.

2. Se la misura nazionale è considerata giustificata, tutti gli Stati membri adottano le misure necessarie a garantire che il prodotto con elementi digitali non conforme sia ritirato dal loro mercato e ne informano la Commissione. Se la misura nazionale non è considerata giustificata, lo Stato membro interessato provvede a ritirarla.

3. Se la misura nazionale è considerata giustificata e la non conformità del prodotto con elementi digitali è attribuita a carenze nelle norme armonizzate, la Commissione applica la procedura di cui all’articolo 11 del regolamento (UE) n. 1025/2012.

4. Se la misura nazionale è considerata giustificata e la non conformità del prodotto con elementi digitali è attribuita a carenze in un sistema europeo di certificazione della cibersicurezza di cui all’articolo 27, la Commissione valuta se modificare o abrogare qualsiasi atto delegato adottato conformemente all’articolo 27, paragrafo 9, che specifica la presunzione di conformità relativa a tale sistema di certificazione.

5. Se la misura nazionale è considerata giustificata e la non conformità del prodotto con elementi digitali è attribuita a carenze nelle specifiche comuni di cui all’articolo 27, la Commissione valuta se modificare o abrogare qualsiasi atto delegato adottato a norma dell’articolo 27, paragrafo 2, che stabilisce tali specifiche comuni.

Procedura a livello di Unione relativa ai prodotti con elementi digitali che presentano un rischio di cibersicurezza significativo

1. Se la Commissione ha motivi sufficienti per ritenere, anche sulla base delle informazioni fornite dall’ENISA, che un prodotto con elementi digitali che presenta un rischio di cibersicurezza significativo non sia conforme ai requisiti stabiliti nel presente regolamento, ne informa le autorità di vigilanza del mercato. Se le autorità di vigilanza del mercato effettuano una valutazione di tale prodotto con elementi digitali che può presentare un rischio di cibersicurezza significativo per quanto riguarda la sua conformità ai requisiti di cui al presente regolamento, si applicano le procedure di cui agli articoli 54 e 55.

2. Se la Commissione ha motivi sufficienti per ritenere che un prodotto con elementi digitali presenti un rischio di cibersicurezza significativo alla luce di fattori di rischio non tecnici, essa informa le autorità di vigilanza del mercato competenti e, se del caso, le autorità competenti designate o istituite ai sensi dell’articolo 8 della direttiva (UE) 2022/2555 e coopera con tali autorità se necessario. La Commissione valuta inoltre la pertinenza dei rischi individuati per tale prodotto con elementi digitali alla luce dei suoi compiti per quanto riguarda le valutazioni coordinate a livello dell’Unione del rischio per la sicurezza delle catene di approvvigionamento critiche di cui all’articolo 22 della direttiva (UE) 2022/2555 e consulta, se necessario, il gruppo di cooperazione istituito a norma dell’articolo 14 della direttiva (UE) 2022/2555 e l’ENISA.

3. In circostanze che giustifichino un intervento immediato per preservare il corretto funzionamento del mercato interno e qualora la Commissione abbia motivi sufficienti per ritenere che il prodotto con elementi digitali di cui al paragrafo 1 continui a non essere conforme ai requisiti stabiliti dal presente regolamento e che non siano state adottate misure efficaci dalle autorità di vigilanza del mercato competenti, la Commissione effettua una valutazione della conformità e può chiedere all’ENISA di fornire un’analisi a sostegno di tale valutazione. La Commissione ne informa le autorità di vigilanza del mercato pertinenti. Gli operatori economici interessati cooperano con l’ENISA se necessario.

4. Sulla base della valutazione di cui al paragrafo 3, la Commissione può decidere che è necessaria una misura correttiva o restrittiva a livello dell’Unione. A tal fine essa consulta senza indugio gli Stati membri interessati e l’operatore o gli operatori economici interessati.

5. Sulla base della consultazione di cui al paragrafo 4 del presente articolo, la Commissione può adottare atti di esecuzione per prevedere misure correttive o restrittive a livello dell’Unione, tra cui imporre di ritirare dal mercato i prodotti con elementi digitali interessati o di richiamarli, entro un termine ragionevole, proporzionato alla natura del rischio. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

6. La Commissione comunica immediatamente gli atti di esecuzione di cui al paragrafo 5 all’operatore o agli operatori economici interessati. Gli Stati membri attuano senza indugio tali atti di esecuzione e ne informano la Commissione.

7. I paragrafi da 3 a 6 si applicano per la durata della situazione eccezionale che ha giustificato l’intervento della Commissione, purché il prodotto con elementi digitali in questione non sia reso conforme al presente regolamento.

Prodotti con elementi digitali conformi che presentano un rischio di cibersicurezza significativo

1. L’autorità di vigilanza del mercato di uno Stato membro chiede a un operatore economico di adottare tutte le misure del caso qualora, dopo aver effettuato una valutazione ai sensi dell’articolo 54, ritenga che, sebbene conformi al presente regolamento, il prodotto con elementi digitali e i processi messi in atto dal fabbricante presentino un rischio di cibersicurezza significativo e comportino inoltre un rischio per:

Le misure di cui al primo comma possono includere misure appropriate a far sì che il prodotto con elementi digitali e i processi messi in atto dal fabbricante non presentino più i rischi in questione all’atto della messa a disposizione sul mercato oppure che il prodotto con elementi digitali in questione sia ritirato dal mercato o richiamato, e sono commisurate alla natura di tali rischi.

2. Il fabbricante o altri operatori economici pertinenti garantiscono l’adozione di misure correttive nei confronti dei prodotti con elementi digitali interessati che hanno messo a disposizione sul mercato in tutta l’Unione entro il termine stabilito dall’autorità di vigilanza del mercato dello Stato membro di cui al paragrafo 1.

3. Lo Stato membro informa immediatamente la Commissione e gli altri Stati membri in merito alle misure adottate a norma del paragrafo 1. Tali informazioni comprendono tutti i dettagli disponibili, segnatamente i dati necessari all’identificazione dei prodotti con elementi digitali interessati, l’origine e la catena di approvvigionamento di tali prodotti, la natura dei rischi connessi, nonché la natura e la durata delle misure nazionali adottate.

4. La Commissione avvia senza indugio consultazioni con gli Stati membri e l’operatore economico interessato e valuta le misure nazionali adottate. In base ai risultati della valutazione, la Commissione decide se la misura sia giustificata o no e propone, all’occorrenza, misure appropriate.

5. La Commissione trasmette la decisione di cui al paragrafo 4 agli Stati membri.

6. Se ha motivi sufficienti per ritenere, anche sulla base delle informazioni fornite dall’ENISA, che un prodotto con elementi digitali, sebbene conforme al presente regolamento, presenti i rischi di cui al paragrafo 1 del presente articolo, la Commissione ne dà informazione e può chiedere all’autorità o alle autorità di vigilanza del mercato competenti di effettuare una valutazione e di seguire le procedure di cui all’articolo 54 e ai paragrafi 1, 2 e 3 del presente articolo.

7. In circostanze che giustifichino un intervento immediato per preservare il corretto funzionamento del mercato interno e qualora la Commissione abbia motivi sufficienti per ritenere che il prodotto con elementi digitali di cui al paragrafo 6 continui a presentare i rischi di cui al paragrafo 1 e che le autorità nazionali di vigilanza del mercato competenti non abbiano adottato misure efficaci, la Commissione effettua una valutazione dei rischi presentati da tale prodotto con elementi digitali e può chiedere all’ENISA di fornire un’analisi a sostegno di tale valutazione e ne informa le autorità di vigilanza del mercato competenti. Gli operatori economici interessati cooperano con l’ENISA se necessario.

8. Sulla base della valutazione di cui al paragrafo 7, la Commissione può stabilire che è necessaria una misura correttiva o restrittiva a livello dell’Unione. A tal fine essa consulta senza indugio gli Stati membri interessati e l’operatore o gli operatori economici interessati.

9. Sulla base della consultazione di cui al paragrafo 8 del presente articolo, la Commissione può adottare atti di esecuzione per decidere in merito alle misure correttive o restrittive a livello dell’Unione, tra cui imporre di ritirare dal mercato o di richiamare i prodotti con elementi digitali interessati, entro un termine ragionevole, proporzionato alla natura del rischio. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

10. La Commissione comunica immediatamente gli atti di esecuzione di cui al paragrafo 9 all’operatore o agli operatori economici interessati. Gli Stati membri attuano tali atti di esecuzione senza indugio e ne informano la Commissione.

11. I paragrafi da 6 a 10 si applicano per la durata della situazione eccezionale che ha giustificato l’intervento della Commissione e per tutto il tempo in cui il prodotto con elementi digitali in questione continua a presentare i rischi di cui al paragrafo 1.

Non conformità formale

1. Un’autorità di vigilanza del mercato di uno Stato membro chiede al fabbricante interessato di porre fine alla non conformità contestata qualora giunga ad una delle conclusioni seguenti:

2. Se la non conformità di cui al paragrafo 1 permane, lo Stato membro interessato adotta tutte le misure appropriate per limitare o proibire la messa a disposizione sul mercato del prodotto con elementi digitali o per garantire che sia richiamato o ritirato dal mercato.

Attività congiunte delle autorità di vigilanza del mercato

1. Le autorità di vigilanza del mercato possono stipulare accordi con altre autorità competenti per la realizzazione di attività congiunte volte a garantire la cibersicurezza e la tutela dei consumatori in relazione a specifici prodotti con elementi digitali immessi sul mercato o messi a disposizione sul mercato, in particolare i prodotti con elementi digitali che spesso presentano rischi di cibersicurezza.

2. La Commissione o l’ENISA propongono attività congiunte di verifica della conformità al presente regolamento che saranno svolte dalle autorità di vigilanza del mercato sulla base di indicazioni o informazioni riguardanti la potenziale non conformità, in diversi Stati membri, di prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento ai requisiti stabiliti da quest’ultimo.

3. Le autorità di vigilanza del mercato e, se del caso, la Commissione garantiscono che l’accordo sullo svolgimento di attività congiunte non comporti una concorrenza sleale tra gli operatori economici e non pregiudichi l’obiettività, l’indipendenza e l’imparzialità delle parti dell’accordo.

4. Un’autorità di vigilanza del mercato ha facoltà di utilizzare qualsivoglia informazione ottenuta come risultato delle attività congiunte svolte nell’ambito di un’indagine da essa condotta.

5. L’autorità di vigilanza del mercato competente e, se del caso, la Commissione mettono a disposizione del pubblico l’accordo sulle attività congiunte, compresi i nomi delle parti coinvolte.

Indagini a tappeto

1. Le autorità di vigilanza del mercato conducono simultaneamente azioni di controllo coordinate (indagini a tappeto) di particolari prodotti con elementi digitali o relative categorie per verificarne la conformità con il presente regolamento o per individuare violazioni. Tali indagini a tappeto possono comprendere ispezioni di prodotti con elementi digitali acquistati sotto un’identità di copertura.

2. Salvo diverso accordo tra le autorità di vigilanza del mercato coinvolte, le indagini a tappeto sono coordinate dalla Commissione. Il coordinatore dell’indagine a tappeto mette a disposizione del pubblico, se del caso, i risultati aggregati.

3. L’ENISA, qualora nell’esecuzione dei suoi compiti, anche sulla base delle notifiche ricevute conformemente all’articolo 14, paragrafi 1 e 3, identifichi categorie di prodotti con elementi digitali per le quali possono essere organizzate indagini a tappeto, presenta una proposta per un’indagine a tappeto al coordinatore di cui al paragrafo 2 del presente articolo affinché sia esaminata dalle autorità di vigilanza del mercato.

4. Nello svolgere indagini a tappeto, le autorità di vigilanza del mercato coinvolte possono usare i poteri di indagine di cui agli articoli da 52 a 58 e gli altri poteri a esse conferiti dal diritto nazionale.

5. Le autorità di vigilanza del mercato possono invitare i funzionari della Commissione e altre persone di accompagnamento autorizzate dalla Commissione a partecipare alle indagini a tappeto.

Esercizio della delega

1. Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2. Il potere di adottare atti delegati di cui all’articolo 2, paragrafo 5, secondo comma, all’articolo 7, paragrafo 3, all’articolo 8, paragrafi 1 e 2, all’articolo 13, paragrafo 8, quarto comma, all’articolo 14, paragrafo 9, all’articolo 25, all’articolo 27, paragrafo 9, all’articolo 28, paragrafo 5, e all’articolo 31, paragrafo 5, è conferito alla Commissione per un periodo di cinque anni a decorrere dal 10 dicembre 2024. La Commissione elabora una relazione sulla delega di potere al più tardi nove mesi prima della scadenza del periodo di cinque anni. La delega di potere è tacitamente prorogata per periodi di identica durata, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga al più tardi tre mesi prima della scadenza di ciascun periodo.

3. La delega di potere di cui all’articolo 2, paragrafo 5, secondo comma, all’articolo 7, paragrafo 3, all’articolo 8, paragrafi 1 e 2, all’articolo 13, paragrafo 8, quarto comma, all’articolo 14, paragrafo 9, all’articolo 25, all’articolo 27, paragrafo 9, all’articolo 28, paragrafo 5, e all’articolo 31, paragrafo 5, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell’Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4. Prima dell’adozione dell’atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.

5. Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

6. L’atto delegato adottato ai sensi dell’articolo 2, paragrafo 5, secondo comma, dell’articolo 7, paragrafo 3, dell’articolo 8, paragrafi 1 e 2, dell’articolo 13, paragrafo 8, quarto comma, dell’articolo 14, paragrafo 9, dell’articolo 25, dell’articolo 27, paragrafo 9, dell’articolo 28, paragrafo 5, o dell’articolo 31, paragrafo 5, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Procedura di comitato

1. La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2. Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011.

3. Laddove il parere del comitato debba essere ottenuto con procedura scritta, questa procedura si conclude senza esito quando, entro il termine per la formulazione del parere, il presidente del comitato decida in tal senso o un membro del comitato lo richieda.

Riservatezza

1. Tutte le parti che partecipano all’applicazione del presente regolamento rispettano la riservatezza delle informazioni e dei dati ottenuti nello svolgimento dei loro compiti e delle loro attività in modo da tutelare, in particolare:

2. Fatto salvo il paragrafo 1, le informazioni scambiate in via riservata tra le autorità di vigilanza del mercato e tra queste ultime e la Commissione non sono divulgate senza il preventivo accordo dell’autorità di vigilanza del mercato dalla quale tali informazioni provengono.

3. I paragrafi 1 e 2 non pregiudicano i diritti e gli obblighi della Commissione, degli Stati membri e degli organismi notificati in materia di scambio delle informazioni e di diffusione degli avvisi di sicurezza, né gli obblighi delle persone interessate di fornire informazioni a norma del diritto penale degli Stati membri.

4. La Commissione e gli Stati membri possono scambiare, ove necessario, informazioni sensibili con le autorità competenti dei paesi terzi con i quali abbiano concluso accordi di riservatezza, bilaterali o multilaterali, che garantiscano un livello di protezione adeguato.

Sanzioni

1. Gli Stati membri fissano le norme sulle sanzioni applicabili in caso di violazione del presente regolamento e prendono tutti i provvedimenti necessari per assicurarne l’applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Gli Stati membri notificano tali norme e misure alla Commissione, senza indugio, e provvedono poi a dare immediata notifica delle eventuali modifiche successive.

2. La non conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I e agli obblighi di cui agli articoli 13 e 14 è soggetta a sanzioni amministrative pecuniarie fino a 15 000 000 EUR o, se l’autore del reato è un’impresa, fino al 2,5 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

3. La non conformità agli obblighi di cui agli articoli da 18 a 23, all’articolo 28, all’articolo 30, paragrafi da 1 a 4, all’articolo 31, paragrafi da 1 a 4, all’articolo 32, paragrafi 1, 2 e 3, all’articolo 33, paragrafo 5, e agli articoli 39, 41, 47, 49 e 53 è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR o, se l’autore del reato è un’impresa, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

4. La fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità di vigilanza del mercato è soggetta a sanzioni amministrative pecuniarie fino a 5 000 000 EUR o, se l’autore del reato è un’impresa, fino all’1 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

5. Nel decidere l’importo della sanzione amministrativa pecuniaria in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e si tiene quanto segue in debita considerazione:

6. Le autorità di vigilanza del mercato che applicano sanzioni amministrative pecuniarie danno comunicazione di tale applicazione alle autorità di vigilanza del mercato di altri Stati membri mediante il sistema di informazione e comunicazione di cui all’articolo 34 del regolamento (UE) 2019/1020.

7. Ciascuno Stato membro può prevedere regole che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

8. A seconda dell’ordinamento giuridico degli Stati membri, le regole in materia di sanzioni amministrative pecuniarie possono essere applicate in modo tale che le sanzioni pecuniarie siano inflitte dai tribunali nazionali competenti o da altri organismi in base alle competenze stabilite a livello nazionale in tali Stati membri. L’applicazione di tali regole in tali Stati membri ha effetto equivalente.

9. Le sanzioni amministrative pecuniarie possono essere inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta a qualsiasi altra misura correttiva o restrittiva applicata dalle autorità di vigilanza del mercato per la stessa violazione.

10. In deroga ai paragrafi da 3 a 9, le sanzioni amministrative pecuniarie di cui a tali paragrafi non si applicano:

Azioni rappresentative

La direttiva (UE) 2020/1828 si applica alle azioni rappresentative intentate contro violazioni, da parte degli operatori economici, delle disposizioni del presente regolamento che ledono o possono ledere gli interessi collettivi dei consumatori.

Modifica del regolamento (UE) 2019/1020

Nell’allegato I del regolamento (UE) 2019/1020 è aggiunto il punto seguente:

«72

Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio (*1).

Modifica della direttiva (UE) 2020/1828

Nell’allegato I della direttiva (UE) 2020/1828 è aggiunto il punto seguente:

«67

Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio (*2).

Modifica del regolamento (UE) n. 168/2013

All’allegato II, parte C1, del regolamento (UE) n. 168/2013 del Parlamento europeo e del Consiglio (38), nella tabella è aggiunta la voce seguente:

«

»

Disposizioni transitorie

1. I certificati di esame UE del tipo e le decisioni di approvazione rilasciati in relazione ai requisiti di cibersicurezza per i prodotti con elementi digitali soggetti ad altra normativa di armonizzazione dell’Unione diversa dal presente regolamento rimangono validi fino all’11 giugno 2028, a meno che non scadano prima di tale data o non sia altrimenti disposto in tali altre normative di armonizzazione dell’Unione, nel qual caso rimangono validi come indicato in tali normative.

2. I prodotti con elementi digitali immessi sul mercato prima dell’11 dicembre 2027 sono soggetti ai requisiti stabiliti nel presente regolamento solo se, a decorrere da tale data, tali prodotti sono soggetti a una modifica sostanziale.

3. In deroga al paragrafo 2 del presente articolo, gli obblighi di cui all’articolo 14 si applicano a tutti i prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento e che sono stati immessi sul mercato prima dell’11 dicembre 2027.

Valutazione e riesame

1. Entro l’11 dicembre 2030 e successivamente ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio una relazione sulla valutazione e sul riesame del presente regolamento. Tale relazione è pubblicata.

2. Entro l’11 settembre 2028, la Commissione, previa consultazione dell’ENISA e della rete di CSIRT, presenta al Parlamento europeo e al Consiglio una relazione in cui valuta l’efficacia della piattaforma unica di segnalazione indicata all’articolo 16, nonché l’impatto dell’applicazione dei motivi connessi alla cibersicurezza di cui all’articolo 16, paragrafo 2, da parte dei CSIRT designati come coordinatori sull’efficacia della piattaforma unica di segnalazione per quanto riguarda la diffusione tempestiva delle notifiche ricevute ad altri CSIRT pertinenti.

Entrata in vigore e applicazione

1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2. Il presente regolamento si applica dall’11 dicembre 2027.

Tuttavia, l’articolo 14 si applica a decorrere dall’11 settembre 2026 e il capo IV (articoli da 35 a 51) si applica a decorrere dall’11 giugno 2026.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri

Fatto a Strasburgo, il 23 ottobre 2024