Dichiarazione di Conformità UE CRA: Modello e Guida alla Redazione Passo dopo Passo
Come scrivere una Dichiarazione di Conformità UE conforme al CRA. Include modello pronto all'uso, checklist degli elementi richiesti e errori comuni da evitare.
In questo articolo
- Sintesi
- Che cos'è la Dichiarazione di Conformità UE?
- Cosa Richiede il CRA nella DoC?
- Modello Completo di DoC
- Guida Sezione per Sezione
- Quando deve essere applicata la marcatura CE rispetto alla Dichiarazione di Conformità?
- La DoC Deve Essere Tradotta?
- Ogni modello o versione di prodotto necessita di una propria Dichiarazione di Conformità?
- Distribuzione della DoC
- Dichiarazione UE di Conformità Semplificata
- Errori Comuni
- Checklist di Preparazione della DoC
- Variazioni del Modello DoC
- Requisiti di Conservazione
- Domande frequenti
- Prossimi passi
Ogni prodotto con elementi digitali ha bisogno di una Dichiarazione di Conformità UE prima di poter legalmente portare la marcatura CE. La DoC è la tua dichiarazione formale che il prodotto soddisfa i requisiti CRA. Sei legalmente responsabile della sua accuratezza. Questa guida fornisce un modello completo e spiega ogni elemento richiesto.
Sintesi
- La Dichiarazione di Conformità UE (DoC) è obbligatoria per tutti i prodotti CRA e deve essere predisposta prima dell'immissione sul mercato
- Deve essere firmata dal fabbricante o da un rappresentante autorizzato stabilito nell'UE
- Gli elementi richiesti sono definiti nell'Articolo 28 del CRA e nell'Allegato V
- Deve essere fornita nella lingua (o nelle lingue) richiesta da ciascuno Stato membro in cui il prodotto è venduto (Articolo 28(2))
- Conservare per almeno 10 anni dall'immissione sul mercato, o per la durata del periodo di supporto, a seconda di quale sia il termine più lungo (Articolo 13(13))
- Una modifica sostanziale richiede una nuova DoC, emessa da chiunque abbia apportato la modifica
- Di seguito è fornito un modello. Adattalo al tuo prodotto.
Importante: Firmare una DoC senza aver completato la valutazione di conformità viola sia l'Articolo 13 (fino a 15 M€ o 2,5% del fatturato mondiale annuo) che l'Articolo 28 (fino a 10 M€ o 2% del fatturato mondiale annuo).
Suggerimento: Includi il periodo di supporto del prodotto (minimo 5 anni) e il punto di contatto per le vulnerabilità nella tua DoC. Non è richiesto dall'Allegato V, ma migliora la trasparenza regolatoria.
Che cos'è la Dichiarazione di Conformità UE?
La Dichiarazione di Conformità UE è un documento giuridico formale in cui il fabbricante dichiara che un prodotto è conforme alla legislazione UE applicabile. È obbligatoria per tutti i prodotti con elementi digitali prima che possano portare la marcatura CE. Per i prodotti CRA, deve indicare:
- Il prodotto soddisfa i requisiti essenziali di cybersicurezza (Allegato I)
- La valutazione di conformità è stata completata
- Il fabbricante si assume la responsabilità legale
Senza una DoC firmata, il tuo prodotto non può portare la marcatura CE e non può essere legalmente immesso sul mercato UE.
Cosa Richiede il CRA nella DoC?
Base Legale
L'Articolo 28 del CRA specifica i requisiti della DoC, facendo riferimento alla struttura nell'Allegato V. La DoC deve essere:
- Redatta prima dell'immissione del prodotto sul mercato (Articolo 13(12))
- Aggiornata ove opportuno quando il prodotto o lo stato di conformità cambia (Articolo 28(2))
- Fornita nella lingua (o nelle lingue) richiesta da ciascuno Stato membro in cui il prodotto è immesso (Articolo 28(2))
- Conservata per almeno 10 anni dall'immissione sul mercato, o per la durata del periodo di supporto, a seconda di quale sia il termine più lungo (Articolo 13(13))
Nota: L'Articolo 28(3) consente ai fabbricanti soggetti a più regolamenti UE di redigere una singola DoC combinata che copra tutti gli atti applicabili. Vedi la variazione del modello "Più Regolamenti" di seguito.
Elementi Richiesti
| # | Elemento | Cosa includere | Fonte |
|---|---|---|---|
| 1 | Data di emissione | La data in cui firmi la dichiarazione. Deve essere successiva al completamento della valutazione di conformità. | Allegato V, punto 1 |
| 2 | Identificazione del fabbricante | Ragione sociale completa, indirizzo postale, informazioni di contatto | Allegato V, punto 2 |
| 3 | Dichiarazione di esclusiva responsabilità | Formulazione esatta: "La presente dichiarazione UE di conformità è rilasciata sotto la responsabilità esclusiva del fornitore" | Allegato V, punto 3 |
| 4 | Identificazione del prodotto | Nome, tipo, modello, numero di lotto o di serie; fotografia facoltativa ove opportuno | Allegato V, punto 4 |
| 5 | Dichiarazione di conformità | Conferma che il prodotto è conforme al Regolamento (UE) 2024/2847 | Allegato V, punto 5 |
| 6 | Norme e certificazioni applicate | Norme armonizzate su cui ci si basa; eventuali certificati europei di cybersicurezza utilizzati | Allegato V, punto 6 |
| 7 | Dettagli dell'Organismo Notificato | Nome, numero e riferimento del certificato. Solo se è stato utilizzato un modulo di valutazione di terze parti. | Allegato V, punto 7 |
| 8 | Firma | Nome completo, titolo/funzione, luogo, data; firma autografa o firma elettronica qualificata | Allegato V, punto 8 |
Nota: Un numero di dichiarazione non è richiesto dall'Allegato V, ma è fortemente raccomandato per il controllo delle versioni e il tracciamento interno.
Modello Completo di DoC
Usa questo come punto di partenza. Personalizza le sezioni tra parentesi per il tuo prodotto.
Nota: La sezione 3 del modello contiene una formulazione letterale giuridicamente obbligatoria (Allegato V, punto 3). Non parafrasarla:
"This declaration of conformity is issued under the sole responsibility of the provider."
═══════════════════════════════════════════════════════════════
DICHIARAZIONE UE DI CONFORMITÀ
(Cyber Resilience Act)
═══════════════════════════════════════════════════════════════
N. di dichiarazione: [DoC-PRODOTTO-AAAA-NNN]
Data di emissione: [GG mese AAAA]
───────────────────────────────────────────────────────────────
1. PRODUTTORE
───────────────────────────────────────────────────────────────
Ragione sociale: [Ragione sociale]
Indirizzo: [Indirizzo postale]
[CAP, Città]
[Paese]
Contatto: [E-mail / Telefono]
Sito web: [URL]
───────────────────────────────────────────────────────────────
2. IDENTIFICAZIONE DEL PRODOTTO
───────────────────────────────────────────────────────────────
Nome prodotto: [Nome del prodotto]
Modello/Tipo: [Numero di modello / Designazione del tipo]
Versione hardware: [Versione hardware, se applicabile]
Versione software: [Versione software/firmware]
Lotto/Serie: [Intervallo di numeri di lotto o formato del numero di serie]
Foto del prodotto: [Fotografia opzionale per la tracciabilità, ove opportuno]
Descrizione del prodotto:
[Breve descrizione del prodotto e della sua destinazione d'uso,
sufficiente per identificare il prodotto in modo non ambiguo]
───────────────────────────────────────────────────────────────
3. DICHIARAZIONE
───────────────────────────────────────────────────────────────
La presente dichiarazione UE di conformità è rilasciata sotto
la responsabilità esclusiva del fornitore.
L'oggetto della dichiarazione sopra descritto è conforme
alla pertinente legislazione di armonizzazione dell'Unione:
• Regolamento (UE) 2024/2847 del Parlamento europeo
e del Consiglio del 23 ottobre 2024 sui requisiti
orizzontali di cybersicurezza per i prodotti con
elementi digitali (Cyber Resilience Act)
[• Altra legislazione applicabile, ad es.:
• Direttiva 2014/53/UE (Direttiva Apparecchiature Radio)
• Regolamento (UE) 2023/1230 (Regolamento Macchinari)
• ecc.]
───────────────────────────────────────────────────────────────
4. VALUTAZIONE DI CONFORMITÀ
───────────────────────────────────────────────────────────────
Procedura di valutazione di conformità applicata:
[Scegliere una opzione:]
☐ Modulo A (Controllo Interno della Produzione)
Basato sull'Allegato VIII del Regolamento (UE) 2024/2847
☐ Modulo B + C (Esame UE del Tipo + Conformità al Tipo)
Basato sull'Allegato VIII del Regolamento (UE) 2024/2847
Organismo Notificato: [Nome], N. [XXXX]
Certificato di Esame UE del Tipo: [Numero del certificato]
Data: [Data del certificato]
☐ Modulo H (Assicurazione Qualità Completa)
Basato sull'Allegato VIII del Regolamento (UE) 2024/2847
Organismo Notificato: [Nome], N. [XXXX]
Certificato del Sistema di Qualità: [Numero del certificato]
Data: [Data del certificato]
☐ Schema Europeo di Certificazione della Cybersicurezza (Articolo 27(9))
Certificato rilasciato nell'ambito di uno schema adottato
ai sensi del Regolamento (UE) 2019/881 (Legge sulla Cybersicurezza)
Nome dello schema: [Nome]
Numero del certificato: [Numero]
Livello di affidabilità: [Sostanziale / Elevato]
───────────────────────────────────────────────────────────────
5. NORME E SPECIFICHE APPLICATE
───────────────────────────────────────────────────────────────
Norme armonizzate applicate:
[Elencare tutte le norme armonizzate utilizzate con riferimenti completi]
• EN [XXXXX]:20XX - [Titolo della norma]
• EN [XXXXX]:20XX - [Titolo della norma]
Altre specifiche tecniche applicate:
[Elencare le altre norme o specifiche utilizzate]
• ISO/IEC [XXXXX]:20XX - [Titolo della norma]
• [Altre specifiche]
Certificazioni di cybersicurezza applicate (se applicabile):
[Elencare i certificati europei di cybersicurezza ai sensi dell'Allegato V, punto 6]
• [Nome dello schema - Riferimento del certificato]
───────────────────────────────────────────────────────────────
6. INFORMAZIONI AGGIUNTIVE (Specifiche CRA)
───────────────────────────────────────────────────────────────
Periodo di Supporto:
Gli aggiornamenti di sicurezza saranno forniti fino al: [GG mese AAAA]
(Minimo 5 anni dalla data di immissione sul mercato)
Prima immissione sul mercato UE: [GG mese AAAA]
Contatto Cybersicurezza:
Per segnalazioni di vulnerabilità e richieste di sicurezza:
E-mail: [security@azienda.com]
Web: [https://azienda.com/security]
security.txt: [https://azienda.com/.well-known/security.txt]
Documentazione Tecnica:
La documentazione tecnica è disponibile su richiesta alle
autorità competenti all'indirizzo indicato sopra.
───────────────────────────────────────────────────────────────
7. FIRMA
───────────────────────────────────────────────────────────────
Firmato per conto e a nome di:
[Ragione sociale]
_________________________________
[Nome completo]
[Titolo/Funzione]
Luogo: [Città, Paese]
Data: [GG mese AAAA]
═══════════════════════════════════════════════════════════════
FINE DELLA DICHIARAZIONE
═══════════════════════════════════════════════════════════════
Guida Sezione per Sezione
1. Identificazione del Documento
Numero di Dichiarazione: Non richiesto dall'Allegato V ma fortemente raccomandato. Formato consigliato: DoC-[CodiceProdotto]-[Anno]-[Sequenza]. Esempio: DoC-SSP3000-2027-001
Data di Emissione: La data in cui firmi la dichiarazione. Deve essere successiva al completamento della valutazione di conformità.
2. Identificazione del Produttore
Chi firma la DoC?
- Il fabbricante: l'entità che ha progettato, prodotto o commercializza il prodotto con il proprio nome
- OPPURE un rappresentante autorizzato stabilito nell'UE, che agisce in base a un mandato scritto
Se il fabbricante non ha una sede nell'UE, la nomina di un rappresentante autorizzato è obbligatoria. Aggiungere:
Rappresentante Autorizzato: [Nome, Indirizzo]
che agisce per conto di: [Nome del Produttore, Indirizzo]
3. Identificazione del Prodotto
Sii sufficientemente specifico per la tracciabilità:
- Includi numeri di modello, non solo nomi di prodotti
- Specifica i numeri di versione per hardware e software separatamente
- Indica l'ambito dei numeri di lotto o di serie
Esempio:
Nome prodotto: SmartSense Pro Industrial Sensor
Modello/Tipo: SSP-3000
Versione hardware: Rev C (PCB v3.2)
Versione software: Firmware 2.4.1
Lotto/Serie: Numeri di serie SSP3K-2027-XXXXXX
4. Valutazione di Conformità
Il modulo da utilizzare dipende dalla classificazione del tuo prodotto. Usa questa tabella per orientarti:
| Modulo | Quando si applica | Organismo Notificato? |
|---|---|---|
| Modulo A (Controllo Interno della Produzione) | Prodotti Default; Classe I con norme armonizzate | No |
| Modulo B+C (Esame UE del Tipo) | Tutti i prodotti; obbligatorio per Classe II (salvo H); obbligatorio per Classe I senza norme armonizzate | Sì |
| Modulo H (Assicurazione Qualità Completa) | Tutti i prodotti; alternativa al B+C per Classe I e II | Sì |
| EUCC / Schema di certificazione cybersicurezza | Prodotti in possesso di un certificato europeo di cybersicurezza con livello di affidabilità ≥ Sostanziale (Articolo 27(9)) | Nessuna ulteriore valutazione di terze parti richiesta |
Nota: Per i prodotti Critici (Allegato IV), l'esame UE del tipo deve essere eseguito da un organismo notificato specializzato. Vedi la Guida alla Decisione di Valutazione di Conformità CRA per la logica di indirizzamento completa.
Usa questo diagramma di flusso per identificare il tuo percorso:
flowchart TD
A["Qual è la classe del vostro prodotto?"] --> B["Standard\n(non Allegato III/IV)"]
A --> C["Classe I\n(Allegato III)"]
A --> D["Classe II\n(Allegato III)"]
A --> E["Critico\n(Allegato IV)"]
B --> F["Modulo A, B+C o H\na vostra scelta"]
C --> G{"Norme armonizzate\npienamente applicate?"}
G -->|Sì| H["Modulo A disponibile\no B+C / H"]
G -->|No| I["Modulo B+C o H\nOrganismo Notificato richiesto"]
D --> J["Modulo B+C o H\nOrganismo Notificato richiesto"]
E --> K["Esame UE del tipo\nOrganismo Notificato specializzato"]
5. Norme Applicate
Norme Armonizzate: Pubblicate nella Gazzetta Ufficiale dell'UE; creano una presunzione di conformità; includere il riferimento completo (numero, anno, titolo).
Formato:
EN 303 645:2020 - Cybersicurezza per l'Internet delle cose per i consumatori: Requisiti di base
Se non esistono norme armonizzate: Indicare: "Nessuna norma armonizzata applicata. Conformità dimostrata attraverso [descrivere l'approccio]."
Certificazioni di cybersicurezza (Allegato V, punto 6): Se è stato utilizzato un certificato europeo di cybersicurezza durante la valutazione di conformità, elencarlo qui con il nome dello schema e il numero di riferimento del certificato.
6. Informazioni Aggiuntive Specifiche CRA
Questa sezione non è richiesta dall'Allegato V, ma includerla migliora la trasparenza regolatoria:
Periodo di Supporto: Indicare quando terminano gli aggiornamenti di sicurezza. Deve essere di almeno 5 anni dall'immissione sul mercato (Articolo 13(8)).
Contatto Cybersecurity: A chi inviare le segnalazioni di vulnerabilità, incluso un riferimento al file security.txt.
Nota: La data di fine del periodo di supporto deve anche comparire al punto di acquisto ai sensi dell'Articolo 13(19). Includerla nella DoC è una buona pratica, ma non sostituisce la comunicazione al punto di acquisto.
7. Firma
Chi può firmare: Una persona autorizzata a impegnare legalmente il fabbricante. Tipicamente: CEO, Direttore, Responsabile Qualità o Responsabile Affari Regolatori.
Requisiti: Nome completo e titolo/funzione; luogo e data (la data deve essere successiva al completamento della valutazione); firma autografa o firma elettronica qualificata.
Quando deve essere applicata la marcatura CE rispetto alla Dichiarazione di Conformità?
Per i prodotti fisici, apporre la marcatura CE in modo visibile, leggibile e indelebile sul prodotto prima dell'immissione sul mercato (Articolo 30(1)).
Per i prodotti solo software (Articolo 30(3)), la marcatura CE è apposta:
- Direttamente sulla Dichiarazione di Conformità UE, oppure
- Sul sito web del prodotto, in una sezione facilmente e direttamente accessibile agli utenti
Nota: La marcatura CE deve essere apposta prima dell'immissione del prodotto sul mercato, non dopo. Per i prodotti software, assicurarsi che la DoC o la sezione del sito web sia attiva prima di qualsiasi distribuzione.
La DoC Deve Essere Tradotta?
Sì. L'Articolo 28(2) richiede che la DoC sia resa disponibile nella lingua (o nelle lingue) richiesta da ciascuno Stato membro in cui il prodotto è immesso sul mercato.
In pratica:
- Vendita solo in Germania → è richiesta una DoC in tedesco
- Vendita in tutta l'UE → saranno necessarie versioni in più lingue
- Conservare tutte le versioni linguistiche nel fascicolo tecnico
La DoC UE semplificata (Allegato VI) e l'URL che punta alla DoC completa devono essere anch'essi nella lingua (o nelle lingue) richiesta. L'URL stesso deve rimanere stabile e accessibile.
Ogni modello o versione di prodotto necessita di una propria Dichiarazione di Conformità?
Una DoC Per Tipo di Prodotto
Ogni modello o tipo di prodotto distinto necessita generalmente della propria DoC.
Possono essere coperte da una singola DoC quando:
- I prodotti sono varianti dello stesso tipo
- La stessa valutazione di conformità si applica a tutte le varianti
- Sono state applicate le stesse norme
Esempio:
Nome prodotto: SmartSense Pro Industrial Sensor
Modello/Tipo: SSP-3000 (tutte le varianti)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
Quando una Modifica Richiede una Nuova DoC?
Avvertenza: Una modifica sostanziale (qualsiasi cambiamento che influisce sulla conformità del prodotto ai requisiti essenziali del CRA, Allegato I, Parte I, o che modifica la destinazione d'uso del prodotto) impone l'emissione obbligatoria di una nuova DoC (Articolo 28). Chiunque esegua la modifica sostanziale diventa il fabbricante del prodotto modificato e deve emettere la nuova DoC. Ciò si applica sia al fabbricante originale che apporta aggiornamenti significativi, sia a un terzo che modifica e rivende il prodotto.
| Scenario | Nuova DoC richiesta? |
|---|---|
| Nuova versione hardware che incide sulle caratteristiche di sicurezza | Sì, modifica sostanziale |
| Aggiornamento firmware che introduce nuove interfacce o nuovi vettori di minaccia | Sì, profilo di rischio cybersicurezza alterato |
| Aggiornamento firmware che modifica la destinazione d'uso del prodotto | Sì, modifica sostanziale |
| Patch di sicurezza (stessa architettura, nessun nuovo rischio, riduce le CVE) | Caso per caso |
| Modifica alle norme armonizzate applicate o al certificato di valutazione di conformità | Sì |
| Modifica estetica, solo documentazione o localizzazione | No |
| Un terzo modifica sostanzialmente il prodotto e lo immette sul mercato | Sì, il terzo emette la nuova DoC come nuovo fabbricante |
Per i rilasci software iterativi del fabbricante: se l'aggiornamento non costituisce una modifica sostanziale, la DoC esistente rimane valida. Devi essere in grado di dimostrarlo alle autorità di sorveglianza del mercato. L'esecuzione di una valutazione del rischio di cybersicurezza ai sensi dell'Articolo 13(2) è il meccanismo esplicito raccomandato dalle linee guida per questo scopo.
Distribuzione della DoC
Con il prodotto (Articolo 13(20)): L'Articolo 13(20) richiede di fornire:
- La DoC completa dell'Allegato V, oppure
- Una DoC UE semplificata contenente l'esatto indirizzo internet dove si trova la DoC completa
Non è obbligatorio includere entrambi.
Su richiesta:
- Deve essere fornita alle autorità di sorveglianza del mercato
- Dovrebbe essere fornita ai clienti su richiesta
Dichiarazione UE di Conformità Semplificata
L'Articolo 13(20) consente ai fabbricanti di fornire con il prodotto una Dichiarazione UE di Conformità semplificata al posto del documento completo dell'Allegato V. La forma semplificata è definita nell'Allegato VI e consiste esattamente di due frasi:
Con la presente, [nome del fabbricante] dichiara che il prodotto con elementi
digitali di tipo [designazione] è conforme al Regolamento (UE) 2024/2847.
Il testo completo della dichiarazione UE di conformità è disponibile al seguente
indirizzo internet: [URL]
È particolarmente utile per:
- Prodotti software in cui allegare un documento completo a ogni distribuzione è poco pratico
- Prodotti hardware con spazio di imballaggio limitato
- Qualsiasi prodotto la cui DoC completa sia pubblicata online
Requisiti:
- La DoC completa dell'Allegato V deve esistere ed essere accessibile al pubblico all'URL indicato
- La dichiarazione semplificata deve includere l'URL (Articolo 13(20))
- La DoC completa rimane obbligatoria nel fascicolo tecnico e per le richieste delle autorità
Buone pratiche per l'URL:
- Utilizzare un URL stabile. Non modificarlo dopo la distribuzione dei prodotti
- Accessibile senza registrazione o accesso
- La pagina deve consentire il download o la stampa della DoC
Errori Comuni
| Errore | Perché è importante | Correzione |
|---|---|---|
| Elementi richiesti mancanti (es. nessun modulo di valutazione di conformità indicato) | La DoC non è conforme | Usare la checklist prima della firma; verificare ogni punto dell'Allegato V |
| Entità sbagliata firma (l'importatore o il distributore firma al posto del fabbricante) | La DoC è giuridicamente non valida | Solo il fabbricante (o il rappresentante autorizzato con mandato) può firmare |
| Riferimenti a norme obsolete (norme ritirate o sostituite elencate) | La presunzione di conformità viene meno | Rivedere periodicamente le norme applicate; aggiornare la DoC quando le norme cambiano |
| Nessun controllo versione (esistono più versioni della DoC senza una versione corrente chiara) | Rischio in sede di audit e di enforcement | Assegnare numeri di dichiarazione; archiviare le versioni sostituite |
| Firma prima del completamento della valutazione (DoC datata prima del completamento delle attività di conformità) | Viola l'Articolo 28 | Completare tutte le attività di valutazione prima di firmare; la data della DoC deve seguire la valutazione |
| Lingua errata (DoC solo in inglese quando si vende in uno Stato membro non anglofono) | Non conforme per quel mercato | Tradurre la DoC nella lingua richiesta da ciascuno Stato membro (Articolo 28(2)) |
| Nessun aggiornamento dopo una modifica sostanziale (la DoC originale ancora in uso dopo un cambiamento rilevante) | La DoC copre una versione per cui non è mai stata valutata | Emettere una nuova DoC ogni volta che si verifica una modifica sostanziale |
Checklist di Preparazione della DoC
Prima della Redazione
| Elemento | Stato |
|---|---|
| Valutazione di conformità completata | ☐ |
| Report dei test disponibili | ☐ |
| Fascicolo tecnico preparato | ☐ |
| Elenco norme finalizzato | ☐ |
| Periodo di supporto determinato | ☐ |
| Requisiti linguistici confermati per tutti gli Stati membri di destinazione | ☐ |
Contenuto del Documento
| Elemento | Stato |
|---|---|
| Numero di dichiarazione unico assegnato | ☐ |
| Nome e indirizzo del fabbricante corretti | ☐ |
| Prodotto completamente identificato (modello, versione, lotto/serie) | ☐ |
| CRA correttamente referenziato: "Regolamento (UE) 2024/2847" | ☐ |
| Altra legislazione applicabile elencata (se presente) | ☐ |
| Modulo di valutazione di conformità indicato | ☐ |
| Dettagli dell'Organismo Notificato inclusi (se applicabile) | ☐ |
| Tutte le norme applicate elencate con riferimenti completi | ☐ |
| Data di fine periodo di supporto inclusa | ☐ |
| Informazioni di contatto per la sicurezza incluse | ☐ |
Firma
| Elemento | Stato |
|---|---|
| Il firmatario è autorizzato a impegnare il fabbricante | ☐ |
| Nome completo e titolo/funzione indicati | ☐ |
| Luogo e data indicati (data successiva al completamento della valutazione) | ☐ |
| Firma presente (autografa o elettronica qualificata) | ☐ |
Distribuzione
| Elemento | Stato |
|---|---|
| Copia accompagna il prodotto (fisica o link digitale) | ☐ |
| Copia nel fascicolo tecnico | ☐ |
| Disponibile per richieste delle autorità | ☐ |
| Versioni tracciate e archiviate | ☐ |
| Versioni linguistiche preparate per tutti gli Stati membri di destinazione | ☐ |
| Marcatura CE apposta prima della distribuzione | ☐ |
Variazioni del Modello DoC
Per Modulo A (Autovalutazione)
4. VALUTAZIONE DI CONFORMITÀ
Procedura di valutazione di conformità applicata:
☑ Modulo A (Controllo Interno della Produzione)
Basato sull'Allegato VIII del Regolamento (UE) 2024/2847
Il fabbricante ha verificato che il prodotto soddisfa
i requisiti essenziali attraverso una valutazione interna
documentata nel fascicolo tecnico.
Per Modulo B+C (Terze Parti)
4. VALUTAZIONE DI CONFORMITÀ
Procedura di valutazione di conformità applicata:
☑ Modulo B + C (Esame UE del Tipo + Conformità al Tipo)
Basato sull'Allegato VIII del Regolamento (UE) 2024/2847
Esame UE del Tipo eseguito da:
Organismo Notificato: TÜV Rheinland LGA Products GmbH
Numero Organismo Notificato: 0197
Numero Certificato: EU-TYPE-2027-12345
Data Certificato: 15 gennaio 2027
Il fabbricante assicura la conformità della produzione al
tipo certificato (Modulo C) attraverso controlli di produzione
interni.
Per Più Regolamenti (Articolo 28(3))
Quando un prodotto è soggetto sia al CRA che ad altra legislazione UE, è consentita una singola DoC combinata ai sensi dell'Articolo 28(3):
3. DICHIARAZIONE
L'oggetto della dichiarazione sopra descritto è conforme
alla pertinente legislazione di armonizzazione dell'Unione:
• Regolamento (UE) 2024/2847 (Cyber Resilience Act)
• Direttiva 2014/53/UE (Direttiva Apparecchiature Radio)
Organismo Notificato: [Nome], N. [XXXX]
Certificato: [Numero]
• Direttiva 2014/35/UE (Direttiva Bassa Tensione)
Requisiti di Conservazione
| Cosa conservare | Periodo di conservazione | Dove |
|---|---|---|
| DoC firmata (o copia autenticata) | 10 anni dall'immissione sul mercato, o per la durata del periodo di supporto, a seconda di quale sia il termine più lungo (Articolo 13(13)) | Fascicolo tecnico; accessibile alle autorità su richiesta |
| Storico delle versioni e DoC sostituite | Insieme alla DoC corrente | Fascicolo tecnico |
| Documentazione di supporto riferita nella DoC | Insieme alla DoC | Fascicolo tecnico |
Domande frequenti
Una sola Dichiarazione di Conformità può coprire i prodotti venduti in tutti gli Stati membri dell'UE?
Lo stesso documento può coprire l'intera UE, ma deve essere tradotto nella o nelle lingua(e) richiesta/e da ogni Stato membro in cui il prodotto viene immesso sul mercato (articolo 28(2)). Il contenuto di base è identico; cambia solo la versione linguistica. Conservare tutte le traduzioni nel fascicolo tecnico.
La Dichiarazione di Conformità CRA deve essere autenticata o certificata ufficialmente?
No. La DoC è firmata dal fabbricante o da un rappresentante autorizzato. È sufficiente una firma autografa o una firma elettronica qualificata (ai sensi del regolamento (UE) 910/2014). Non è richiesta alcuna autenticazione notarile, a meno che uno specifico Stato membro non lo richieda per finalità di vigilanza del mercato.
Cosa succede se la vigilanza del mercato rileva che la DoC è incompleta o imprecisa?
Le sanzioni previste all'articolo 64 possono raggiungere i 10 milioni di euro o il 2 % del fatturato annuo mondiale per una DoC non conforme o falsa (violazione dell'articolo 28). In Italia, l'ACN (Agenzia per la Cybersicurezza Nazionale) svolge un ruolo chiave nell'attuazione della normativa sulla cybersicurezza dei prodotti. Le autorità di vigilanza possono richiedere misure correttive e, nei casi gravi, ritirare i prodotti dal mercato.
Un prodotto software può utilizzare la DoC UE semplificata invece del documento completo dell'Allegato V?
Sì. L'articolo 13(20) consente ai fabbricanti di includere con il prodotto solo la Dichiarazione di Conformità UE semplificata (Allegato VI), purché il documento completo dell'Allegato V sia accessibile al pubblico a un URL stabile. La forma semplificata è composta da due frasi: la dichiarazione di conformità del fabbricante e l'URL. Il documento completo dell'Allegato V deve continuare a esistere ed essere disponibile alle autorità su richiesta.
Per quanto tempo deve essere conservata la Dichiarazione di Conformità CRA?
Almeno 10 anni dopo l'immissione del prodotto sul mercato, o per la durata del periodo di supporto, a seconda di quale sia più lungo (articolo 13(13)). Per un prodotto con un periodo di supporto di 15 anni, la DoC e il fascicolo tecnico devono essere conservati per 15 anni.
Chi è autorizzato a firmare la Dichiarazione di Conformità CRA?
Il fabbricante, o un rappresentante autorizzato stabilito nell'UE se il fabbricante non ha una sede nell'UE. Il firmatario deve essere autorizzato ad impegnare legalmente il fabbricante: tipicamente un CEO, un Direttore Generale o un Responsabile degli Affari Regolatori. Un importatore o distributore non può firmare, a meno che non sia diventato fabbricante apportando una modifica sostanziale al prodotto.
Prossimi passi
- Classifica il prodotto (Default, Importante Classe I/II o Critico) tramite la Guida alla Classificazione dei Prodotti CRA.
- Conferma il modulo di valutazione di conformità con la Guida alla Decisione di Valutazione di Conformità CRA.
- Completa la valutazione di conformità e raccogli tutti i rapporti di prova prima di redigere la DoC.
- Redigi la DoC a partire dal modello sopra. Assegna un numero di dichiarazione e verifica ogni elemento dell'Allegato V.
- Traduci la DoC nella lingua (o nelle lingue) richiesta da ciascuno Stato membro di immissione (Articolo 28(2)).
- Firma e data dopo il completamento della valutazione. Apponi la marcatura CE prima dell'immissione sul mercato.
- Archivia la DoC firmata nel fascicolo tecnico insieme ai rapporti di prova e all'SBOM. Vedi la Guida completa al Fascicolo Tecnico CRA (Allegato VII).
- Pubblica la DoC completa a un URL stabile se prevedi di fornire con il prodotto la forma semplificata dell'Allegato VI.
- Conserva la DoC per 10 anni dall'immissione sul mercato, o per la durata del periodo di supporto, a seconda di quale sia il termine più lungo (Articolo 13(13)).
Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un consulente legale qualificato.
Articoli correlati
Il CRA si applica al tuo prodotto?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.