keyboard_tab Cyber Resilience Act 2024/2847 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Art. 1 Oggetto
- Art. 2 Ambito di applicazione
- Art. 3 Definizioni
- Art. 4 Libera circolazione
- Art. 5 Acquisto o utilizzo di prodotti con elementi digitali
- Art. 6 Requisiti per i prodotti con elementi digitali
- Art. 7 Prodotti con elementi digitali importanti
- Art. 8 Prodotti con elementi digitali critici
- Art. 9 Consultazione dei portatori di interessi
- Art. 10 Migliorare le competenze in un ambiente digitale ciberresiliente
- Art. 11 Sicurezza generale dei prodotti
- Art. 12 Sistemi di IA ad alto rischio
- Art. 13 Obblighi dei fabbricanti
- Art. 14 Obblighi di segnalazione dei fabbricanti
- Art. 15 Segnalazione volontaria
- Art. 16 Istituzione di una piattaforma unica di segnalazione
- Art. 17 Altre disposizioni relative alla segnalazione
- Art. 18 Rappresentanti autorizzati
- Art. 19 Obblighi degli importatori
- Art. 20 Obblighi dei distributori
- Art. 21 Casi in cui gli obblighi dei fabbricanti si applicano agli importatori e ai distributori
- Art. 22 Altri casi in cui si applicano gli obblighi dei fabbricanti
- Art. 23 Identificazione degli operatori economici
- Art. 24 Obblighi dei gestori di software open source
- Art. 25 Attestazione di sicurezza dei software liberi e open source
- Art. 26 Orientamenti
- Art. 27 Presunzione di conformità
- Art. 28 Dichiarazione di conformità UE
- Art. 29 Principi generali della marcatura CE
- Art. 30 Regole e condizioni per l’apposizione della marcatura CE
- Art. 31 Documentazione tecnica
- Art. 32 Procedure di valutazione della conformità per prodotti con elementi digitali
- Art. 33 Misure di sostegno per le microimprese e le piccole e medie imprese, comprese le start-up
- Art. 34 Accordi sul reciproco riconoscimento
- Art. 35 Notifica
- Art. 36 Autorità di notifica
- Art. 37 Requisiti relativi alle autorità di notifica
- Art. 38 Obbligo di informazione a carico delle autorità di notifica
- Art. 39 Requisiti relativi agli organismi notificati
- Art. 40 Presunzione di conformità degli organismi notificati
- Art. 41 Affiliate e subappaltatori degli organismi notificati
- Art. 42 Domanda di notifica
- Art. 43 Procedura di notifica
- Art. 44 Numeri di identificazione ed elenchi degli organismi notificati
- Art. 45 Modifiche delle notifiche
- Art. 46 Contestazione della competenza degli organismi notificati
- Art. 47 Obblighi operativi degli organismi notificati
- Art. 48 Ricorso contro le decisioni degli organismi notificati
- Art. 49 Obbligo di informazione a carico degli organismi notificati
- Art. 50 Scambio di esperienze
- Art. 51 Coordinamento degli organismi notificati
- Art. 52 Vigilanza del mercato e controllo dei prodotti con elementi digitali nel mercato dell’Unione
- Art. 53 Accesso ai dati e documentazione
- Art. 54 Procedura a livello nazionale relativa ai prodotti con elementi digitali che presentano un rischio di cibersicurezza significativo
- Art. 55 Procedura di salvaguardia dell’Unione
- Art. 56 Procedura a livello di Unione relativa ai prodotti con elementi digitali che presentano un rischio di cibersicurezza significativo
- Art. 57 Prodotti con elementi digitali conformi che presentano un rischio di cibersicurezza significativo
- Art. 58 Non conformità formale
- Art. 59 Attività congiunte delle autorità di vigilanza del mercato
- Art. 60 Indagini a tappeto
- Art. 61 Esercizio della delega
- Art. 62 Procedura di comitato
- Art. 63 Riservatezza
- Art. 64 Sanzioni
- Art. 65 Azioni rappresentative
- Art. 66 Modifica del regolamento (UE) 2019/1020
- Art. 67 Modifica della direttiva (UE) 2020/1828
- Art. 68 Modifica del regolamento (UE) n. 168/2013
- Art. 69 Disposizioni transitorie
- Art. 70 Valutazione e riesame
- Articolo 71 Entrata in vigore e applicazione
CAPO I
DISPOSIZIONI GENERALI
CAPO II
OBBLIGHI DEGLI OPERATORI ECONOMICI E DISPOSIZIONI IN MATERIA DI SOFTWARE LIBERI E OPEN SOurce
CAPO III
CONFORMITÀ DEL PRODOTTO CON ELEMENTI DIGITALI
CAPO IV
NOTIFICA DEGLI ORGANISMI DI VALUTAZIONE DELLA CONFORMITÀ
CAPO V
VIGILANZA DEL MERCATO E APPLICAZIONE DELLE NORME
CAPO VI
DELEGA DI POTERE E PROCEDURA DI COMITATO
CAPO VII
RISERVATEZZA E SANZIONI
CAPO VIII
DISPOSIZIONI TRANSITORIE E FINALI
- termine ragionevole
- prodotto con elementi digitali
- elaborazione dati da remoto
- cibersicurezza
- software
- hardware
- componente
- sistema di informazione elettronico
- connessione logica
- connessione fisica
- connessione indiretta
- terminale
- operatore economico
- fabbricante
- gestore di software open source
- rappresentante autorizzato
- importatore
- distributore
- consumatore
- microimprese
- periodo di assistenza
- immissione sul mercato
- messa a disposizione sul mercato
- finalità prevista
- uso ragionevolmente prevedibile
- uso improprio ragionevolmente prevedibile
- autorità di notifica
- valutazione della conformità
- organismo di valutazione della conformità
- organismo notificato
- modifica sostanziale
- marcatura CE
- normativa di armonizzazione dell’Unione
- autorità di vigilanza del mercato
- norma internazionale
- norma europea
- norma armonizzata
- rischio di cibersicurezza
- rischio di cibersicurezza significativo
- distinta base del software
- vulnerabilità
- vulnerabilità sfruttabile
- vulnerabilità attivamente sfruttata
- incidente
- incidente che ha un impatto sulla sicurezza del prodotto con elementi digitali
- quasi incidente
- minaccia informatica
- dati personali
- software libero e open source
- richiamo
- ritiro
- CSIRT designato come coordinatore
- regolamento 15
- prodotto_con_elementi_digitali 14
- punto 14
- fabbricante 11
- all’articolo 10
- software 10
- dell’unione 8
- prodotti 8
- persona 8
- cibersicurezza 7
- digitali 7
- incidente 7
- fisica 7
- definita 6
- o giuridica 6
- elementi 6
- vulnerabilità 5
- mercato 5
- dati 5
- requisiti 4
- n / 4
- definito 4
- sistema 4
- e che 4
- essenziali 4
- l’uso 4
- e le 4
- qualsiasi 4
- connessione 3
- condizioni 3
- finalità_prevista 3
- grado 3
- rete 3
- dell’articolo 3
- a disposizione 3
- dispositivo 3
- hardware 3
- sistema_di_informazione_elettronico 3
- e open 3
- conformità 3
- stabilita 3
- relazione 3
- valutazione_della_conformità 3
- direttiva 3
- imprese 3
- presente 3
- all’allegato i 3
- probabilità 2
- armonizzazione 2
- normative 2
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
| 1) | « prodotto_con_elementi_digitali»: qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione_dati_da_remoto, compresi i componenti software o hardware immesso sul mercato separatamente; |
| 2) | « elaborazione_dati_da_remoto»: qualsiasi elaborazione dati a distanza per la quale il software è stato progettato e sviluppato dal fabbricante o sotto la sua responsabilità e la cui assenza impedirebbe al prodotto_con_elementi_digitali di svolgere una delle sue funzioni; |
| 3) | « cibersicurezza»: la cibersicurezza quale definita all’articolo 2, punto 1), del regolamento (UE) 2019/881; |
| 4) | « software»: la parte di un sistema_di_informazione_elettronico costituita da un codice informatico; |
| 5) | « hardware»: un sistema_di_informazione_elettronico fisico, o parti di esso, in grado di trattare, conservare o trasmettere dati digitali; |
| 6) | « componente»: il software o l’ hardware destinato a essere integrato in un sistema_di_informazione_elettronico; |
| 7) | « sistema_di_informazione_elettronico»: un sistema, comprese le apparecchiature elettriche o elettroniche, in grado di trattare, conservare o trasmettere dati digitali; |
| 8) | « connessione_logica»: una rappresentazione virtuale di una connessione dati realizzata attraverso un’interfaccia software; |
| 9) | « connessione_fisica»: qualsiasi connessione tra sistemi di informazione elettronici o componenti realizzata con mezzi fisici, anche attraverso interfacce elettriche, ottiche o meccaniche, fili od onde radio; |
| 10) | « connessione_indiretta»: una connessione a un dispositivo o a una rete che non avviene direttamente, ma piuttosto nell’ambito di un sistema più ampio che è direttamente collegabile a tale dispositivo o rete; |
| 11) | « terminale»: qualsiasi dispositivo connesso a una rete e che funge da punto di accesso a tale rete; |
| 12) | « operatore_economico»: il fabbricante, il rappresentante_autorizzato, l’ importatore o il distributore, il fornitore di servizi di logistica o un’altra persona fisica o giuridica soggetta a obblighi in relazione alla fabbricazione di prodotti con elementi digitali o in relazione alla messa_a disposizione_sul_mercato di prodotti con elementi digitali in conformità del presente regolamento; |
| 13) | « fabbricante»: una persona fisica o giuridica che sviluppa o fabbrica prodotti con elementi digitali o che fa progettare, sviluppare o fabbricare prodotti con elementi digitali e li commercializza con il proprio nome o marchio, a titolo oneroso, di monetizzazione o gratuito; |
| 14) | «gestore di software open source»: una persona giuridica, diversa dal fabbricante, che ha la finalità o l’obiettivo di fornire un sostegno sistematico e duraturo per lo sviluppo di prodotti specifici con elementi digitali, che si qualificano come software liberi e open source e destinati ad attività commerciali, e che garantisce la sostenibilità economica di tali prodotti; |
| 15) | « rappresentante_autorizzato»: una persona fisica o giuridica stabilita nell’Unione che abbia ricevuto da un fabbricante un mandato scritto che la autorizza ad agire per suo conto in relazione a determinati compiti; |
| 16) | « importatore»: una persona fisica o giuridica stabilita nell’Unione che immette sul mercato un prodotto_con_elementi_digitali recante il nome o il marchio di una persona fisica o giuridica stabilita al di fuori dell’Unione; |
| 17) | « distributore»: una persona fisica o giuridica nella catena di approvvigionamento, diversa dal fabbricante o dall’ importatore, che mette a disposizione un prodotto_con_elementi_digitali sul mercato dell’Unione senza modificarne le proprietà; |
| 18) | « consumatore»: una persona fisica che agisce per scopi estranei alla propria attività commerciale, imprenditoriale, artigianale o professionale; |
| 19) | « microimprese», «piccole imprese» e «medie imprese», rispettivamente: le micro imprese, le piccole imprese e le medie imprese quali definite nell’allegato alla raccomandazione 2003/361/CE; |
| 20) | « periodo_di_assistenza»: il periodo durante il quale un fabbricante garantisce che le vulnerabilità di un prodotto_con_elementi_digitali siano gestite in modo efficace e conformemente ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II; |
| 21) | « immissione_sul_mercato»: la prima messa a disposizione di un prodotto_con_elementi_digitali sul mercato dell’Unione; |
| 22) | « messa_a disposizione_sul_mercato»: la fornitura, a titolo oneroso o gratuito, di un prodotto_con_elementi_digitali perché sia distribuito o usato sul mercato dell’Unione nel corso di un’attività commerciale; |
| 23) | « finalità_prevista»: l’uso di un prodotto_con_elementi_digitali previsto dal fabbricante, compresi il contesto e le condizioni d’uso specifici, come dettagliati nelle informazioni comunicate dal fabbricante nelle istruzioni per l’uso, nel materiale promozionale o di vendita e nelle dichiarazioni, nonché nella documentazione tecnica; |
| 24) | « uso_ragionevolmente_prevedibile»: un uso che non corrisponde necessariamente alla finalità_prevista dal fabbricante nelle istruzioni per l’uso, nel materiale promozionale o di vendita e nelle dichiarazioni, nonché nella documentazione tecnica, ma che è probabile possa derivare da un comportamento umano o da operazioni o interazioni tecniche ragionevolmente prevedibili; |
| 25) | « uso_improprio_ragionevolmente_prevedibile»: l’uso di un prodotto_con_elementi_digitali in un modo non conforme alla sua finalità_prevista, ma che può derivare da un comportamento umano o da un’interazione con altri sistemi ragionevolmente prevedibili; |
| 26) | « autorità_di_notifica»: l’autorità nazionale responsabile dell’istituzione e dell’esecuzione delle procedure necessarie per la valutazione, la designazione e la notifica degli organismi di valutazione_della_conformità e per il loro monitoraggio; |
| 27) | « valutazione_della_conformità»: il processo atto a verificare il rispetto dei requisiti essenziali di cibersicurezza di cui all’allegato I; |
| 28) | «organismo di valutazione_della_conformità»: organismo di valutazione_della_conformità quale definito all’articolo 2, punto 13), del regolamento (CE) n. 765/2008. |
| 29) | « organismo_notificato»: un organismo di valutazione_della_conformità designato in conformità del presente regolamento e di altre pertinenti normative di armonizzazione dell’Unione; |
| 30) | « modifica_sostanziale»: una modifica del prodotto_con_elementi_digitali a seguito della sua immissione_sul_mercato che incide sulla conformità del prodotto_con_elementi_digitali ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, o che comporta una modifica della finalità_prevista per la quale il prodotto_con_elementi_digitali è stato valutato; |
| 31) | « marcatura_CE»: una marcatura mediante cui un fabbricante indica che un prodotto_con_elementi_digitali e i processi messi in atto dal fabbricante sono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I e ad altre normative di armonizzazione applicabili dell’Unione e che ne prevedono l’apposizione; |
| 32) | « normativa_di_armonizzazione_dell’Unione»: la normativa dell’Unione elencata nell’allegato I del regolamento (UE) 2019/1020 e qualsiasi altra normativa dell’Unione che armonizza le condizioni di commercializzazione dei prodotti cui si applica tale regolamento; |
| 33) | « autorità_di_vigilanza_del_mercato»: un’ autorità_di_vigilanza_del_mercato quale definita all’articolo 3, punto 4), del regolamento (UE) 2019/1020; |
| 34) | « norma_internazionale»: una norma_internazionale quale definita all’articolo 2, punto 1), lettera a), del regolamento (UE) n. 1025/2012; |
| 35) | « norma_europea»: una norma_europea quale definita all’articolo 2, punto 1), lettera b), del regolamento (UE) n. 1025/2012; |
| 36) | « norma_armonizzata»: una norma_armonizzata, quale definita all’articolo 2, punto 1), lettera c), del regolamento (UE) n. 1025/2012; |
| 37) | «rischio di cibersicurezza»: la potenziale perdita o perturbazione causata da un incidente da esprimersi come combinazione dell’entità di tale perdita o perturbazione e della probabilità che si verifichi l’ incidente; |
| 38) | «rischio di cibersicurezza significativo»: un rischio di cibersicurezza che, in base alle sue caratteristiche tecniche, si può presumere abbia una probabilità elevata di provocare un incidente che potrebbe avere un impatto negativo grave, causando anche notevoli perdite o perturbazioni materiali o non materiali; |
| 39) | «distinta base del software»: un registro formale contenente i dettagli e le relazioni della catena di approvvigionamento dei componenti inclusi negli elementi software di un prodotto_con_elementi_digitali; |
| 40) | « vulnerabilità»: un punto debole, una suscettibilità o un difetto di prodotti TIC o servizi TIC che può essere sfruttato da una minaccia_informatica; |
| 41) | « vulnerabilità sfruttabile»: una vulnerabilità che può essere utilizzata efficacemente da un avversario in condizioni operative pratiche; |
| 42) | « vulnerabilità attivamente sfruttata»: una vulnerabilità per la quale esistono prove attendibili che un soggetto malintenzionato l’ha sfruttata in un sistema senza l’autorizzazione del proprietario del sistema; |
| 43) | « incidente»: un incidente quale definito all’articolo 6, punto 6), della direttiva (UE) 2022/2555; |
| 44) | « incidente che ha un impatto sulla sicurezza del prodotto_con_elementi_digitali»: un incidente che incide negativamente o è in grado di incidere negativamente sulla capacità di un prodotto_con_elementi_digitali di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza di dati o funzioni; |
| 45) | «quasi incidente»: un quasi incidente quale definito all’articolo 6, punto 5), della direttiva (UE) 2022/2555; |
| 46) | « minaccia_informatica»: una minaccia_informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881; |
| 47) | « dati_personali»: i dati_personali ai sensi dell’articolo 4, punto 1), del regolamento (UE) 2016/679; |
| 48) | « software libero e open source»: un software il cui codice sorgente è condiviso apertamente e che è messo a disposizione nell’ambito di una licenza gratuita e open source che prevede tutti i diritti per renderlo liberamente accessibile, utilizzabile, modificabile e ridistribuibile; |
| 49) | « richiamo»: un richiamo ai sensi dell’articolo 3, punto 22), del regolamento (UE) 2019/1020; |
| 50) | « ritiro»: un ritiro quale definito all’articolo 3, punto 23), del regolamento (UE) 2019/1020; |
| 51) | « CSIRT_designato_come_coordinatore»: un CSIRT_designato_come_coordinatore a norma dell’articolo 12, paragrafo 1, della direttiva (UE) 2022/2555. |
whereas