COSA PREVEDE IL CYBER RESILIENCE ACT

COSA PREVEDE IL CYBER RESILIENCE ACT

Il Regolamento (UE) 2024/2847 del Parlamento Europeo e del Consiglio del 23 ottobre 2024 relativo a requisiti di cibersicurezza per i prodotti con elementi digitali (regolamento sulla ciberresilienza o cyber resilience act) prevede una serie di obblighi in capo ai fabbricanti nonché agli importatori e distributori di prodotti software e hardware la cui finalità o utilizzo include una connessione a un dispositivo o a una rete.

Di seguito  una presentazione delle disposizioni contenute nel regolamento evidenziando quelle di maggiore interesse per gli associati segnalando, fin da subito, che la maggior parte degli obblighi ricade sui fabbricanti e sono previsti un alleggerimento degli obblighi e misure di sostegno per le microimprese e le piccole e medie imprese.

Il regolamento si applica dall’11 dicembre 2027. I prodotti con elementi digitali immessi sul mercato prima di tale data sono soggetti ai requisiti del regolamento solo se, a decorrere da tale data, sono soggetti a una modifica sostanziale. Tuttavia, gli obblighi di segnalazione dei fabbricanti  si applicano a decorrere dall’11 settembre 2026 anche ai prodotti con elementi digitali già sul mercato. 

Ambito di applicazione 
Il regolamento, come disposto al comma 1 dell’art. 2, si applica ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete.

In particolare, per «prodotto con elementi digitali» va inteso qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immessi sul mercato separatamente. Tale definizione estende  l’ambito di applicazione del regolamento ai software che possono connettersi a una rete o ad altri dispositivi (es. sistemi operativi, app mobili, software di gestione).   

Per «fabbricante» va intesa una persona fisica o giuridica che sviluppa o fabbrica prodotti con elementi digitali o che fa progettare, sviluppare o fabbricare prodotti con elementi digitali e li commercializza con il proprio nome o marchio. Tale definizione estende gli obblighi del fabbricante in capo a chiunque appaia al mercato come produttore e, quindi, anche ai soggetti che etichettano con il proprio marchio il prodotto e lo vendono alla propria catena di clienti.

Per  «messa a disposizione sul mercato» si intende la fornitura, a titolo oneroso o gratuito, di un prodotto con elementi digitali perché sia distribuito o usato sul mercato dell'Unione nel corso di un'attività commerciale. Tale previsione espande l’ambito di applicazione del regolamento non solo al soggetto produttore, ma anche ad altri soggetti come importatori, distributori e rappresentanti autorizzati.  

Oggetto e requisiti dei prodotti con elementi digitali 
Il fatto di mettere a disposizione sul mercato prodotti con elementi digitali la cui finalità prevista, o il cui utilizzo ragionevolmente prevedibile, include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete comporta il rispetto di:

• requisiti essenziali di cibersicurezza per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti per quanto riguarda la cibersicurezza;
• requisiti essenziali di cibersicurezza per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante il periodo in cui si prevede che i prodotti siano in uso e obblighi per gli operatori economici in relazione a tali processi.

Vediamo da vicino, allora, i principali obblighi a cui sono soggetti i diversi operatori economici.
Cominciamo da quelli che ci interessano di più ovvero i distributori e gli importatori, anche se per completezza d’informazione daremo indicazioni anche sugli obblighi per i produttori e per i gestori di software open source.

Obblighi dei distributori (art. 20)
I distributori sono soggetti ad obblighi di verifica della conformità dei prodotti che mettono a disposizione sul mercato ai requisiti del regolamento, il che include la verifica che i prodotti siano accompagnati dalla documentazione appropriata, obblighi di segnalazione che, a seconda dei casi, possono riguardare il fabbricante, le autorità competenti e gli stessi utilizzatori dei prodotti. I distributori sono soggetti anche all’obbligo di supportare la gestione delle non conformità assicurando siano adottate le misure correttive o, se del caso, ritirando o richiamando il prodotto.

Tali obblighi, sopra sinteticamente riportati per macro voci, sono contenuti nell’articolo 20 del regolamento e sotto riportati. 

• Prima di mettere un prodotto con elementi digitali a disposizione sul mercato, i distributori verificano che: 
  
  • il prodotto con elementi digitali rechi la marcatura CE;
  • il fabbricante e l'importatore abbiano rispettato gli obblighi previsti dall'articolo 13, paragrafi 15 (relativo all’identificazione dei prodotti con elementi digitali), 16 (relativo alla presenza dei dati del fabbricante e di quelli di contatto), 18 (relativo alla presenza delle informazioni e istruzioni per l’utilizzatore), 19 (relativo alla indicazione della data finale del periodo di assistenza) e 20 (relativo alla disponibilità della dichiarazione di conformità UE), e dall'articolo 19, paragrafo 4 (relativo alla presenza dei dati di recapito degli importatori), e abbiano trasmesso tutta la documentazione necessaria al distributore.
• Se un distributore ritiene o ha motivo di credere che un prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi ai requisiti essenziali di cibersicurezza di cui all'allegato I, il distributore non mette il prodotto con elementi digitali a disposizione sul mercato fino a quando il prodotto o i processi messi in atto dal fabbricante non siano stati resi conformi al presente regolamento. Inoltre, quando il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, il distributore ne informa, senza indebito ritardo, il fabbricante e le autorità di vigilanza del mercato.
• I distributori che hanno la certezza o hanno motivo di credere, sulla base delle informazioni in loro possesso, che un prodotto con elementi digitali che hanno messo a disposizione sul mercato o i processi messi in atto dal suo fabbricante non siano conformi al presente regolamento si assicurano che siano adottate le misure correttive necessarie per rendere conformi tale prodotto con elementi digitali o i processi messi in atto dal suo fabbricante oppure, se del caso, per ritirare o richiamare il prodotto.
• Quando vengono a conoscenza di una vulnerabilità nel prodotto con elementi digitali, i distributori ne informano il fabbricante senza indebito ritardo. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, i distributori ne informano immediatamente le autorità di vigilanza del mercato degli Stati membri in cui hanno messo a disposizione sul mercato il prodotto con elementi digitali, dando in particolare informazioni dettagliate sulla non conformità e su eventuali misure correttive adottate.
• A seguito di una richiesta motivata di un'autorità di vigilanza del mercato, i distributori forniscono tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali e dei processi messi in atto dal suo fabbricante al presente regolamento. Essi cooperano con tale autorità, su sua richiesta, a qualsiasi misura adottata per eliminare i rischi di cibersicurezza presentati da un prodotto con elementi digitali da essi messo a disposizione sul mercato.
• Qualora venga a conoscenza, sulla base delle informazioni in suo possesso, del fatto che il fabbricante di un prodotto con elementi digitali ha cessato l'attività e di conseguenza non è in grado di rispettare gli obblighi previsti dal presente regolamento, il distributore di tale prodotto ne informa, senza indebito ritardo, le autorità di vigilanza del mercato competenti nonché, con qualsiasi mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti con elementi digitali immessi sul mercato.

Obblighi degli importatori 
Gli importatori sono soggetti ad obblighi di verifica della conformità dei prodotti importati ai requisiti di sicurezza stabiliti dal regolamento tramite la revisione della documentazione fornita dal fabbricante, di monitoraggio dei rischi per assicurare, ove necessario, vengano adottate misure correttive tempestive e obblighi di comunicazione rendendo disponibili i propri dati di contatto e fornendo informazioni e documentazione alle autorità e, ove previsto e nei limiti del possibile, agli utilizzatori dei prodotti immessi sul mercato. Tali obblighi, sopra sinteticamente riportati per macro voci, sono contenuti nell’articolo 19 del regolamento e sono riportati qui sotto. 

• Gli importatori immettono sul mercato solo prodotti con elementi digitali conformi ai requisiti essenziali di cibersicurezza di cui all'allegato I, parte I (Requisiti di cibersicurezza relativi alle proprietà di prodotti con elementi digitali), e laddove i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all'allegato I, parte II (Requisiti di gestione delle vulnerabilità).
• Prima di immettere un prodotto con elementi digitali sul mercato gli importatori si accertano che: 
  
  • il fabbricante abbia eseguito le procedure di valutazione della conformità appropriate di cui all'articolo 32;
  • il fabbricante abbia redatto la documentazione tecnica;
  • il prodotto con elementi digitali rechi la marcatura CE di cui all'articolo 30 e sia accompagnato dalla dichiarazione di conformità UE di cui all'articolo 13, paragrafo 20, e dalle informazioni e dalle istruzioni per l'utilizzatore di cui all'allegato II;
  • il fabbricante abbia soddisfatto i requisiti di cui all'articolo 13, paragrafi 15 (relativo all’identificazione dei prodotti con elementi digitali), 16 (relativo alla presenza dei dati del fabbricante e di quelli di contatto) e 19 (relativo alla indicazione della data finale del periodo di assistenza).
• Qualora ritenga o abbia motivo di credere che un prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi al presente regolamento, l'importatore non immette il prodotto sul mercato fino a quando il prodotto o i processi messi in atto dal fabbricante non siano stati resi conformi al presente regolamento. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, l'importatore ne informa il fabbricante e le autorità di vigilanza del mercato. Per «rischio di cibersicurezza significativo» si intende un rischio di cibersicurezza che, in base alle sue caratteristiche tecniche, si può presumere abbia una probabilità elevata di provocare un incidente che potrebbe avere un impatto negativo grave, causando anche notevoli perdite o perturbazioni materiali o non materiali.
• Gli importatori indicano il loro nome, la loro denominazione commerciale registrata o il loro marchio registrato, l'indirizzo postale, l'indirizzo di posta elettronica o altro contatto digitale nonché, se disponibile, il sito web ai quali possono essere contattati sul prodotto con elementi digitali oppure sull'imballaggio o in un documento di accompagnamento del prodotto con elementi digitali. 
• Gli importatori che hanno la certezza o hanno motivo di credere che un prodotto con elementi digitali che hanno immesso sul mercato non sia conforme al presente regolamento adottano immediatamente le misure correttive necessarie per far sì che tale prodotto con elementi digitali sia reso conforme al presente regolamento, oppure, se del caso, per ritirare o richiamare il prodotto.
• Quando vengono a conoscenza di una vulnerabilità nel prodotto con elementi digitali, gli importatori ne informano il fabbricante senza indebito ritardo. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, gli importatori ne informano immediatamente le autorità di vigilanza del mercato degli Stati membri in cui hanno messo a disposizione sul mercato il prodotto con elementi digitali, dando in particolare informazioni dettagliate sulla non conformità e su eventuali misure correttive adottate.
• Gli importatori mantengono una copia della dichiarazione di conformità UE a disposizione delle autorità di vigilanza del mercato per un periodo di almeno dieci anni dalla data di immissione sul mercato del prodotto con elementi digitali o per la durata del periodo di assistenza, se quest'ultimo è superiore, e si accertano che la documentazione tecnica possa essere messa a disposizione di tali autorità, su richiesta.
• A seguito di una richiesta motivata di un'autorità di vigilanza del mercato, gli importatori forniscono a quest'ultima tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza di cui all'allegato I, parte I, nonché la conformità dei processi messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all'allegato I, parte II. Essi cooperano con tale autorità, su sua richiesta, a qualsiasi misura adottata per eliminare i rischi di cibersicurezza presentati da un prodotto con elementi digitali da essi immesso sul mercato.
• Qualora venga a conoscenza del fatto che il fabbricante di un prodotto con elementi digitali ha cessato l'attività e di conseguenza non è in grado di rispettare gli obblighi previsti dal presente regolamento, l'importatore di tale prodotto ne informa le autorità di vigilanza del mercato competenti nonché, con qualsiasi mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti con elementi digitali immessi sul mercato.

Casi in cui gli obblighi dei fabbricanti si estendono ad altri soggetti 
Un importatore o distributore è ritenuto un fabbricante ai fini del presente regolamento, ed è soggetto agli obblighi di cui agli articoli 13 (obblighi dei fabbricanti) e 14 (obblighi di segnalazione dei fabbricanti), quando immette sul mercato un prodotto con elementi digitali con il proprio nome o marchio commerciale o apporta una modifica sostanziale a un prodotto con elementi digitali già immesso sul mercato.

Una persona fisica o giuridica, diversa dal fabbricante, dall'importatore o dal distributore, che apporta una modifica sostanziale a un prodotto con elementi digitali e mette tale prodotto a disposizione sul mercato è considerata un fabbricante ai fini del presente regolamento. È quindi soggetta agli obblighi di cui agli articoli 13 e 14 per la parte del prodotto con elementi digitali interessata da tale modifica sostanziale oppure, se la modifica sostanziale incide sulla cibersicurezza del prodotto con elementi digitali nel suo complesso, per l'intero prodotto.

Obblighi dei fabbricanti 
All'atto dell'immissione sul mercato di un prodotto con elementi digitali (si ricorda va inteso sia l’hardware che il software e le relative soluzioni di elaborazione dati da remoto), i fabbricanti assicurano che esso sia conforme ai requisiti essenziali di cibersicurezza di cui all’allegato I al regolamento e, a tal fine, ai fabbricanti compete la valutazione dei rischi di cibersicurezza associati al prodotto con elementi digitali, la predisposizione di azioni correttive per la gestione delle vulnerabilità nonché la predisposizione e l’aggiornamento della documentazione tecnica. Vediamo nel dettaglio questi obblighi.

• All'atto dell'immissione sul mercato di un prodotto con elementi digitali, i fabbricanti assicurano che esso sia stato progettato, sviluppato e prodotto conformemente ai requisiti essenziali di cibersicurezza di cui all'allegato I, parte I (requisiti di cibersicurezza relativi alle proprietà dei prodotti con elementi digitali).
• Ai fini della conformità di cui al paragrafo precedente, i fabbricanti effettuano una valutazione dei rischi di cibersicurezza associati a un prodotto con elementi digitali e tengono conto dei risultati di tale valutazione, allo scopo di ridurre al minimo i rischi di cibersicurezza, prevenire gli incidenti e ridurne al minimo il loro impatto.
• La valutazione dei rischi di cibersicurezza è documentata e aggiornata, se del caso, durante il periodo di assistenza (pari ad almeno 5 anni o alla minore data di utilizzo prevista). 
• All'atto dell'immissione sul mercato di un prodotto con elementi digitali, il fabbricante include la valutazione dei rischi di cibersicurezza nella documentazione tecnica richiesta a norma dell'articolo 31 e dell'allegato VII. 
• Quando è individuata una vulnerabilità in un componente, i fabbricanti la segnalano alla persona o al soggetto che si occupa della fabbricazione o della manutenzione del componente e affrontano e correggono la vulnerabilità conformemente ai requisiti di gestione delle vulnerabilità di cui all'allegato I, parte II.
• I fabbricanti documentano sistematicamente, in modo proporzionato alla natura e ai rischi di cibersicurezza, gli aspetti pertinenti di cibersicurezza relativi al prodotto con elementi digitali.
• All'atto dell'immissione sul mercato di un prodotto con elementi digitali e per la durata del periodo di assistenza, i fabbricanti garantiscono che le vulnerabilità di tale prodotto, compresi i suoi componenti, siano gestite in modo efficace e in conformità dei requisiti essenziali di cibersicurezza di cui all'allegato I, parte II. 
• I fabbricanti garantiscono che ciascun aggiornamento di sicurezza che è stato messo a disposizione degli utilizzatori durante il periodo di assistenza, rimanga disponibile dopo il rilascio per un minimo di dieci anni o per il restante periodo di assistenza, se quest'ultimo è superiore.  
• Il fabbricante che abbia immesso sul mercato versioni successive sostanzialmente modificate di un software può garantire la conformità al requisito essenziale di cibersicurezza di cui all'allegato I, parte II, punto 2, solo per l'ultima versione immessa sul mercato, a condizione che gli utilizzatori delle versioni precedentemente immesse sul mercato abbiano accesso gratuito all'ultima versione immessa sul mercato e non debbano sostenere costi aggiuntivi per adeguare l'ambiente hardware e software in cui utilizzano la versione originale del prodotto.
• I fabbricanti possono tenere archivi pubblici di software per migliorare l'accesso degli utilizzatori alle versioni precedenti. In questi casi, gli utilizzatori sono informati in modo chiaro e facilmente accessibile dei rischi associati all'uso di software privi di assistenza.
• Prima di immettere un prodotto con elementi digitali sul mercato, i fabbricanti redigono la documentazione tecnica di cui all'articolo 31. Tale documentazione tecnica contiene tutti i dati o i dettagli pertinenti relativi ai mezzi utilizzati dal fabbricante per garantire che il prodotto con elementi digitali e i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all'allegato I. Essa contiene almeno gli elementi di cui all'allegato VII.
• I fabbricanti seguono o fanno eseguire le procedure di valutazione della conformità prescelte di cui all'articolo 32. Se tale procedura di valutazione della conformità dimostra la conformità del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza di cui all'allegato I, i fabbricanti redigono la dichiarazione di conformità UE conformemente all'articolo 28 e appongono la marcatura CE conformemente all'articolo 30. In base a tale articolo, per i prodotti con elementi digitali sotto forma di software, la marcatura CE è posta sulla dichiarazione di conformità UE o sul sito web che accompagna il prodotto software.
• I fabbricanti tengono la documentazione tecnica e la dichiarazione di conformità UE a disposizione delle autorità di vigilanza del mercato per un periodo di almeno dieci anni dalla data di immissione sul mercato del prodotto con elementi digitali o per il periodo di assistenza, se quest'ultimo è superiore.
• I fabbricanti garantiscono che i loro prodotti con elementi digitali rechino un numero di tipo, di lotto o di serie o qualsiasi altro elemento che ne consenta l'identificazione, oppure, qualora ciò non sia possibile, che tali informazioni siano fornite sull'imballaggio o in un documento di accompagnamento del prodotto con elementi digitali.
• I fabbricanti indicano il loro nome, la loro denominazione commerciale registrata o il loro marchio registrato, l'indirizzo postale, l'indirizzo di posta elettronica o altri dati di contatto digitale nonché, se disponibile, il sito web presso cui possono essere contattati, sul prodotto con elementi digitali, sull'imballaggio o in un documento di accompagnamento del prodotto con elementi digitali. Tali informazioni sono incluse anche nelle informazioni e nelle istruzioni per l'utilizzatore di cui all'allegato II. 
• I fabbricanti designano un punto di contatto unico che consenta agli utilizzatori di comunicare direttamente e rapidamente con loro, anche per facilitare la segnalazione di vulnerabilità del prodotto con elementi digitali. Il punto di contatto unico consente agli utilizzatori di scegliere i mezzi di comunicazione preferiti, senza limitarli agli strumenti automatizzati.
• I fabbricanti provvedono affinché i prodotti con elementi digitali siano accompagnati dalle informazioni e dalle istruzioni per l'utilizzatore di cui all'allegato II. I fabbricanti mantengono a disposizione degli utilizzatori e delle autorità di vigilanza del mercato le informazioni e istruzioni per l'utilizzatore di cui all'allegato II per un periodo di almeno dieci anni.
• I fabbricanti garantiscono che la data finale del periodo di assistenza sia specificata in modo chiaro e comprensibile al momento dell'acquisto in modo facilmente accessibile. Ove tecnicamente fattibile alla luce della natura del prodotto con elementi digitali, i fabbricanti inviano una notifica agli utilizzatori per informarli che il loro prodotto con elementi digitali ha raggiunto la fine del periodo di assistenza.
• I fabbricanti forniscono una copia della dichiarazione di conformità UE o una dichiarazione di conformità UE semplificata con il prodotto con elementi digitali. 
• A partire dall'immissione sul mercato e per la durata del periodo di assistenza, i fabbricanti che hanno la certezza o motivo di credere che il prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi ai requisiti essenziali di cibersicurezza di cui all'allegato I adottano immediatamente le misure correttive necessarie per rendere conformi il prodotto con elementi digitali o i processi del fabbricante oppure, a seconda dei casi, per ritirare o richiamare il prodotto.
• I fabbricanti, su richiesta motivata di un'autorità di vigilanza del mercato, forniscono a tale autorità tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali e dei processi messi in atto dal fabbricante ai requisiti essenziali di cibersicurezza di cui all'allegato I.
• Il fabbricante che cessa l'attività e di conseguenza non è in grado di conformarsi al presente regolamento informa le autorità di vigilanza del mercato competenti, nonché, con ogni mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti.

Agli obblighi previsiti dall’articolo 13 sopra riportati si aggiunge quello, previsto dall’articolo 14, di segnalazione al CSIRT e all’ENISA, tramite apposita piattaforma unica di segnalazione istituita dall’ENISA, e secondo definite tempistiche, di qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali di cui il fabbricante viene a conoscenza e di qualsiasi incidente grave che abbia un impatto sulla sicurezza del prodotto con elementi digitali nonché l’obbligo di informare gli utilizzatori di tale vulnerabilità o incidente.

Obblighi dei gestori di software open source 
La disposizione prevede un alleggerimento degli obblighi per i gestori di software open source. Si tratta di persone giuridiche, diverse dal fabbricante, che hanno la finalità o l'obiettivo di fornire un sostegno sistematico e duraturo per lo sviluppo di prodotti specifici con elementi digitali, che si qualificano come software liberi e open source e destinati ad attività commerciali, e che garantiscono la sostenibilità economica di tali prodotti. La disposizione prevede che i gestori di software open source mettono in atto e documentano in modo verificabile una politica in materia di cibersicurezza per promuovere lo sviluppo di un prodotto con elementi digitali sicuro nonché una gestione efficace delle vulnerabilità da parte degli sviluppatori di tale prodotto.

Tale politica promuove inoltre la segnalazione volontaria di vulnerabilità (di cui all'articolo 15) da parte degli sviluppatori di tale prodotto. La politica include, in particolare, aspetti relativi alla documentazione, al trattamento e alla correzione delle vulnerabilità e promuove la condivisione di informazioni relative alle vulnerabilità individuate nell'ambito della comunità open source.

I gestori di software open source cooperano con le autorità di vigilanza del mercato, su loro richiesta, al fine di attenuare i rischi di cibersicurezza presentati da un prodotto con elementi digitali che si qualificano come software liberi e open source.

A seguito di una richiesta motivata di un'autorità di vigilanza del mercato, i gestori di software open source forniscono a tale autorità la documentazione di cui al primo paragrafo.

Gli obblighi di cui all'articolo 14, paragrafo 1 (notifica al CSIRT e all’ENISA di vulnerabilità attivamente sfruttata), si applicano ai gestori di software open source nella misura in cui sono coinvolti nello sviluppo dei prodotti con elementi digitali. Gli obblighi di cui all'articolo 14, paragrafi 3 (notifica di incidente grave che abbia un impatto sulla sicurezza del prodotto con elementi digitali) e 8 (informazione agli utilizzatori della vulnerabilità o incidente) , si applicano ai gestori di software open source nella misura in cui incidenti gravi che hanno un impatto sulla sicurezza dei prodotti con elementi digitali incidano sui sistemi informativi e di rete forniti da tali gestori di software open source per lo sviluppo di tali prodotti.

Identificazione degli operatori economici 
Gli operatori economici, su richiesta, forniscono alle autorità di vigilanza del mercato le informazioni seguenti:
a) il nome e l'indirizzo di qualsiasi operatore economico che abbia fornito loro un prodotto con elementi digitali;
b) se disponibili, il nome e l'indirizzo di qualsiasi operatore economico cui essi abbiano fornito un prodotto con elementi digitali.

Gli operatori economici si assicurano di essere in grado di presentare le informazioni di cui sopra per dieci anni dal momento in cui sia stato loro fornito un prodotto con elementi digitali e per dieci anni dal momento in cui essi abbiano fornito il prodotto con elementi digitali.

Misure di sostegno per le microimprese e le piccole e medie imprese, comprese le start-up 
Gli Stati membri intraprendono, se del caso, le azioni seguenti, adattate alle esigenze delle microimprese e delle piccole imprese:
a) organizzano attività specifiche di sensibilizzazione e formazione circa l'applicazione del presente regolamento;
b) istituiscono un canale dedicato per la comunicazione con le microimprese e le piccole imprese per fornire consulenza e rispondere alle domande sull'attuazione del presente regolamento;
c) sostengono le attività di prova e di valutazione della conformità, se del caso anche con il sostegno del Centro europeo di competenza per la cibersicurezza.

Gli Stati membri possono, se del caso, istituire spazi di sperimentazione normativa per la ciberresilienza. Tali spazi di sperimentazione normativa prevedono ambienti di prova controllati per prodotti innovativi con elementi digitali al fine di facilitarne lo sviluppo, la progettazione, la convalida e le prove ai fini della conformità al presente regolamento per un periodo di tempo limitato precedente all'immissione sul mercato.

Gli Stati membri garantiscono un accesso aperto, equo e trasparente agli spazi di sperimentazione normativa e, in particolare, ne facilitano l'accesso delle microimprese e delle piccole imprese, comprese le start-up.

Conformemente all'articolo 26, la Commissione fornisce orientamenti alle microimprese e alle piccole e medie imprese in relazione all'attuazione del presente regolamento.

La Commissione promuove il sostegno finanziario disponibile nel quadro normativo dei programmi dell'Unione esistenti, in particolare al fine di alleggerire l'onere finanziario per le microimprese e le piccole imprese.

Le microimprese e le piccole imprese possono fornire tutti gli elementi della documentazione tecnica specificata nell'allegato VII avvalendosi di un formato semplificato.

Sanzioni 
Gli Stati membri fissano le norme sulle sanzioni applicabili in caso di violazione del presente regolamento e prendono tutti i provvedimenti necessari per assicurarne l'applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.

La non conformità ai requisiti essenziali di cibersicurezza di cui all'allegato I e agli obblighi di cui agli articoli 13 (Obblighi dei fabbricanti) e 14 (Obblighi di segnalazione dei fabbricanti) è soggetta a sanzioni amministrative pecuniarie fino a 15.000.000 di euro o, se l'autore del reato è un'impresa, fino al 2,5% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

La non conformità agli obblighi di cui agli articoli da 18 a 23 (rappresentanti autorizzati, obblighi degli importatori, obblighi dei distributori, casi in cui gli obblighi dei fabbricanti si applicano agli importatori e ai distributori, altri casi in cui si applicano gli obblighi dei fabbricanti, identificazione degli operatori economici), all'articolo 28 (dichiarazione di conformità UE), all'articolo 30 (regole e condizioni per l’apposizione della marcatura CE) paragrafi da 1 a 4, all'articolo 31 (documentazione tecnica) paragrafi da 1 a 4, all'articolo 32 (procedure di valutazione della conformità per prodotti con elementi digitali) paragrafi 1, 2 e 3, all'articolo 33, paragrafo 5 (relativo alla fornitura da parte delle microimprese e piccole imprese della documentazione tecnica avvalendosi del formato semplificato) è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 di euro oppure, se l'autore del reato è un'impresa, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

La fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità di vigilanza del mercato è soggetta a sanzioni amministrative pecuniarie fino a 5.000.000 di euro o, se l'autore del reato è un'impresa, fino all'1% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Nel decidere l'importo della sanzione amministrativa pecuniaria in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e si tiene quanto segue in debita considerazione:
a) la natura, la gravità e la durata della violazione e delle sue conseguenze;
b) se le stesse o altre autorità di vigilanza del mercato hanno già applicato sanzioni amministrative pecuniarie allo stesso operatore economico per una violazione analoga;
c) le dimensioni, in particolare per quanto riguarda le microimprese e le piccole e medie imprese, start up comprese, e la quota di mercato dell'operatore economico che ha commesso la violazione.

In deroga ai paragrafi precedenti, le sanzioni amministrative pecuniarie di cui a tali paragrafi non si applicano:
a) ai fabbricanti che si qualificano come microimprese o piccole imprese per quanto riguarda il mancato rispetto del termine di cui all'articolo 14, paragrafo 2, lettera a) relativo alla notifica di preallarme da parte del fabbricante di una vulnerabilità attivamente sfruttata entro le 24 ore, o all'articolo 14, paragrafo 4, lettera a) relativo alla notifica da parte del fabbricante di preallarme di un incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali entro 24 ore dal momento in cui il fabbricante ne è venuto a  conoscenza.;
b) alle violazioni del presente regolamento da parte di gestori di software open-source.

Disposizioni transitorie 
I certificati di esame UE del tipo e le decisioni di approvazione rilasciati in relazione ai requisiti di cibersicurezza per i prodotti con elementi digitali soggetti ad altra normativa di armonizzazione dell'Unione diversa dal presente regolamento rimangono validi fino all'11 giugno 2028, a meno che non scadano prima di tale data o non sia altrimenti disposto in tali altre normative di armonizzazione dell'Unione, nel qual caso rimangono validi come indicato in tali normative.

I prodotti con elementi digitali immessi sul mercato prima dell'11 dicembre 2027 sono soggetti ai requisiti stabiliti nel presente regolamento solo se, a decorrere da tale data, tali prodotti sono soggetti a una modifica sostanziale.
In deroga al paragrafo precedente, gli obblighi di cui all'articolo 14 (obblighi di segnalazione dei fabbricanti) si applicano a tutti i prodotti con elementi digitali che rientrano nell'ambito di applicazione del presente regolamento e che sono stati immessi sul mercato prima dell'11 dicembre 2027.

Applicazione 
Il regolamento si applica, come si diceva, dall'11 dicembre 2027.

Tuttavia, l'articolo 14 (obblighi di segnalazione dei fabbricanti) si applica a decorrere dall'11 settembre 2026 e il capo IV (articoli da 35 a 51 riguardanti la notifica degli organismi di valutazione della conformità) si applica a decorrere dall'11 giugno 2026.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

ATTENZIONE: La notizia è riferita alla data di pubblicazione dell'articolo indicata in alto, sotto il titolo. Le informazioni contenute possono pertanto, nel corso del tempo, subire delle variazioni non riportate in questa pagina, ma in comunicazioni successive o non essere più attuali.