Ogni prodotto con elementi digitali ha bisogno di una Dichiarazione UE di conformità prima di poter legalmente apporre la marcatura CE. La DoC è la dichiarazione formale con cui attesti che il prodotto soddisfa i requisiti del CRA. La responsabilità giuridica della sua accuratezza è del Fabbricante.
Questa guida fornisce un modello completo e spiega ciascun elemento richiesto.
Sintesi
- La dichiarazione UE di conformità (DoC) è obbligatoria per ogni prodotto CRA e deve essere pronta prima dell'immissione sul mercato.
- La firma il fabbricante. Un rappresentante autorizzato stabilito nell'UE può essere indicato nella dichiarazione e tenerla a disposizione delle autorità, ma l'atto di dichiarare la conformità rimane in capo al fabbricante.
- Gli elementi obbligatori sono fissati nel modello di dichiarazione CRA.
- Deve essere resa disponibile nelle lingue richieste da ogni Stato membro in cui il prodotto è venduto.
- Conservala per almeno 10 anni dopo l'immissione sul mercato, o per il periodo di supporto se più lungo.
- Una modifica sostanziale richiede una nuova DoC, emessa da chi ha effettuato la modifica.
- Di seguito trovi un modello. Adattalo al tuo prodotto.
Importante: Non firmare una DoC prima di completare la valutazione di conformità. Una dichiarazione incompleta o inesatta può creare una seria esposizione a sanzioni e indebolire la marcatura CE.
Suggerimento: Includi nella DoC il periodo di supporto del prodotto e un punto di contatto per le vulnerabilità. Sono campi pratici di trasparenza anche quando il modello minimo non li impone.
Che cos'è la Dichiarazione UE di conformità?
La Dichiarazione UE di conformità è un documento giuridico formale con cui il Fabbricante dichiara che un prodotto è conforme alla pertinente legislazione UE. È obbligatoria per tutti i prodotti con elementi digitali prima che possano portare la marcatura CE. Per i prodotti CRA, deve attestare che:
- Il prodotto soddisfa i requisiti essenziali di cibersicurezza.
- La valutazione di conformità è stata completata.
- Il Fabbricante si assume la responsabilità giuridica.
Senza una DoC firmata, il prodotto non può portare la marcatura CE e non può essere legalmente immesso sul mercato UE.
Cosa richiede il CRA nella DoC?
La DoC va redatta prima dell'immissione sul mercato, tenuta aggiornata man mano che il prodotto o il suo stato di conformità cambiano, tradotta nella lingua o nelle lingue richieste da ciascuno Stato membro in cui il prodotto è venduto e conservata insieme al fascicolo tecnico per almeno dieci anni.
Nota: Quando un prodotto ricade sotto più regolamenti UE, puoi emettere un'unica dichiarazione combinata che li copra tutti. Vedi la variazione «Più regolamenti» più avanti in questa guida.
Elementi richiesti
| # | Elemento | Cosa includere |
|---|---|---|
| 1 | Nome e tipo del prodotto | Nome, tipo e qualsiasi altra informazione che consenta l'identificazione univoca del prodotto con elementi digitali. |
| 2 | Identificazione del Fabbricante | Nome e indirizzo del Fabbricante o del suo Mandatario. |
| 3 | Dichiarazione di esclusiva responsabilità | Formulazione esatta: «La presente dichiarazione di conformità è rilasciata sotto la responsabilità esclusiva del fornitore.» |
| 4 | Oggetto della dichiarazione | Identificazione del prodotto che ne consenta la tracciabilità, eventualmente con fotografia ove opportuno. |
| 5 | Attestazione di conformità | Conferma che l'oggetto è conforme al Regolamento (UE) 2024/2847. |
| 6 | Norme e certificazioni applicate | Norme armonizzate, specifiche comuni o certificazioni di cibersicurezza su cui ci si è basati. |
| 7 | Dati dell'organismo notificato | Nome, numero, procedura di valutazione di conformità eseguita, riferimento del certificato. Richiesto solo quando è stato usato un modulo di valutazione di terze parti. |
| 8 | Informazioni aggiuntive e firma | Luogo e data di emissione; nome, funzione e firma del firmatario (autografa o elettronica qualificata). Altre informazioni aggiuntive ove necessario. |
Ciascuna riga corrisponde al punto numerato dell'Allegato V.
Nota: Un numero di dichiarazione non è obbligatorio, ma è fortemente raccomandato per il controllo delle versioni e il tracciamento interno.
Modello completo di DoC
Usalo come punto di partenza. Personalizza i campi tra parentesi quadre per il tuo prodotto.
Nota: La sezione 3 contiene una formulazione letterale giuridicamente obbligatoria. Non parafrasarla.
Identificazione del documento
| N. di dichiarazione | [DoC-PRODOTTO-AAAA-NNN] |
|---|---|
| Data di emissione | [GG mese AAAA] |
Fabbricante
| Ragione sociale | [Ragione sociale] |
|---|---|
| Indirizzo | [Via, CAP, Città, Paese] |
| Contatto | [Email / Telefono] |
| Sito web | [URL] |
Identificazione del prodotto
| Nome prodotto | [Nome del prodotto] |
|---|---|
| Modello / tipo | [Numero di modello / Designazione del tipo] |
| Versione hardware | [Versione hardware, se applicabile] |
| Versione software | [Versione software / firmware] |
| Lotto / seriale | [Intervallo di lotto o formato del numero di serie] |
| Fotografia | [Opzionale, ove opportuno per la tracciabilità] |
| Descrizione | [Breve descrizione del prodotto e della sua destinazione d'uso, sufficiente a identificarlo in modo non ambiguo] |
Dichiarazione
«La presente dichiarazione di conformità è rilasciata sotto la responsabilità esclusiva del fornitore.» (Formulazione letterale giuridicamente obbligatoria ai sensi dell'Allegato V, punto 3.)
L'oggetto della dichiarazione sopra descritto è conforme alla pertinente normativa di armonizzazione dell'Unione:
- Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio del 23 ottobre 2024 sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali (Cyber Resilience Act).
- [Altra legislazione UE applicabile, ove rilevante.]
Valutazione di conformità
Procedura di valutazione di conformità applicata (selezionarne una):
Modulo A. Internal Production Control. Basato sull'Allegato VIII.
| Organismo notificato | Non richiesto per il Modulo A |
|---|
Modulo B + C. Esame UE del tipo + Conformità al tipo UE. Basato sull'Allegato VIII.
| Organismo notificato | [Nome], N. [XXXX] |
|---|---|
| Certificato | [Numero], rilasciato il [GG mese AAAA] |
Modulo H. Full Quality Assurance. Basato sull'Allegato VIII.
| Organismo notificato | [Nome], N. [XXXX] |
|---|---|
| Certificato SGQ | [Numero], rilasciato il [GG mese AAAA] |
Certificazione europea di cibersicurezza ai sensi dell'Articolo 27(9) e del Regolamento (UE) 2019/881.
| Schema | [Nome] |
|---|---|
| Certificato | [Numero] |
| Livello di affidabilità | [Sostanziale / Elevato] |
Norme e specifiche applicate
| Norme armonizzate | EN [XXXXX]:20XX, [Titolo della norma] |
|---|---|
| Altre specifiche tecniche | ISO/IEC [XXXXX]:20XX, [Titolo della norma] |
| Certificazioni di cibersicurezza | [Nome dello schema, riferimento del certificato, se applicabile] |
Informazioni aggiuntive (specifiche CRA)
| Periodo di supporto | Aggiornamenti di sicurezza fino al [GG mese AAAA] |
|---|---|
| Prima immissione sul mercato UE | [GG mese AAAA] |
| Contatto vulnerabilità | [security@azienda.com] / [https://azienda.com/.well-known/security.txt] |
| Documentazione tecnica | Disponibile su richiesta alle autorità competenti all'indirizzo sopra indicato. |
Firma
Firmato per conto e a nome di [Ragione sociale]:
Luogo: [Città, Paese] · Data: [GG mese AAAA]
Guida sezione per sezione
1. Identificazione del documento
Numero di dichiarazione. Non obbligatorio, ma fortemente raccomandato per il controllo delle versioni. Un formato pratico è DoC-[CodiceProdotto]-[Anno]-[Sequenza], per esempio DoC-SSP3000-2027-001.
Data di emissione. La data in cui firmi la dichiarazione. Deve essere successiva al completamento della valutazione di conformità.
2. Identificazione del Fabbricante
Il firmatario è il Fabbricante: una persona autorizzata a impegnarlo giuridicamente. Il CRA consente la nomina di un Mandatario, ma non la rende obbligatoria di per sé; ove nominato, il Mandatario può essere indicato nella dichiarazione e tenerla a disposizione delle autorità, ma l'atto di dichiarare la conformità rimane in capo al Fabbricante (Articolo 28). Se viene indicato un Mandatario, aggiungi una riga del tipo:
Mandatario: [Nome, Indirizzo]
che agisce per conto di: [Nome del Fabbricante, Indirizzo]
3. Identificazione del prodotto
Sii sufficientemente specifico per la tracciabilità: includi numeri di modello, versioni hardware e software separate, e l'ambito dei numeri di lotto o di serie.
Esempio:
Nome prodotto: SmartSense Pro Industrial Sensor
Modello/Tipo: SSP-3000
Vers. hardware: Rev C (PCB v3.2)
Vers. software: Firmware 2.4.1
Lotto/Serie: Numeri di serie SSP3K-2027-XXXXXX
4. Valutazione di conformità
Il modulo da usare dipende dalla classificazione del tuo prodotto. Usa questa tabella per orientarti:
| Modulo | Quando si applica | Organismo notificato? |
|---|---|---|
| Modulo A (Internal Production Control) | Prodotti predefiniti; Classe I Importante quando norme, specifiche o schemi pertinenti sono applicati integralmente | No |
| Modulo B+C (Esame UE del tipo) | Disponibile per tutti i prodotti; opzione richiesta per Classe I Importante quando non sono applicati integralmente; una rotta per Classe II Importante e fallback Critico | Sì |
| Modulo H (Full Quality Assurance) | Tutti i prodotti; alternativa a B+C per Classe I Importante e Classe II Importante | Sì |
| EUCC / schema di cibersicurezza | Prodotti in possesso di un certificato europeo di cibersicurezza con livello di affidabilità ≥ Sostanziale (Articolo 27(9)) | Nessuna ulteriore valutazione di terze parti richiesta |
Nota: I prodotti critici seguono un percorso di valutazione della conformità più rigoroso. Usa la guida decisionale sulla valutazione di conformità per la logica completa.
Usa questo diagramma di flusso per identificare il tuo percorso:
flowchart TD
A["Qual è la classe del tuo prodotto?"] --> B["Predefinito\n(non Allegato III/IV)"]
A --> C["Classe I Importante\n(Allegato III)"]
A --> D["Classe II Importante\n(Allegato III)"]
A --> E["Critico\n(Allegato IV)"]
B --> F["Modulo A, B+C o H\na tua scelta"]
C --> G{"Norme, specifiche o schema\napplicati integralmente?"}
G -->|Sì| H["Modulo A disponibile\noppure B+C / H"]
G -->|No| I["Modulo B+C o H\nOrganismo notificato richiesto"]
D --> J["Modulo B+C, H o uno schema di certificazione con livello sostanziale"]
E --> K["Rotta di certificazione se applicabile
altrimenti rotte di terza parte"]
5. Norme applicate
Le norme armonizzate sono norme pubblicate nella Gazzetta Ufficiale dell'UE. Creano una presunzione di conformità per i requisiti che coprono. Includi il riferimento completo: numero, anno, titolo.
Formato:
EN 303 645:2020, Cyber Security for Consumer Internet of Things: Baseline Requirements
Se non esistono norme armonizzate, indica: «Nessuna norma armonizzata applicata. Conformità dimostrata attraverso [descrivere l'approccio].»
Se durante la valutazione di conformità ci si è basati su un certificato europeo di cibersicurezza, indicalo con il nome dello schema e il numero di riferimento del certificato (così si copre il campo certificazione della dichiarazione).
6. Informazioni aggiuntive specifiche CRA
Questa sezione non fa parte del modello minimo, ma includerla migliora la trasparenza regolatoria:
- Periodo di supporto. Indica quando terminano gli aggiornamenti di sicurezza. Deve essere di almeno 5 anni dall'immissione sul mercato, oppure il periodo d'uso atteso se inferiore.
- Contatto vulnerabilità. Dove inviare le segnalazioni, con riferimento al file
security.txt.
Nota: La data di fine del periodo di supporto deve apparire anche al punto di acquisto. Includerla nella DoC è buona pratica, ma non sostituisce la comunicazione al punto di acquisto.
7. Firma
Chiunque sia autorizzato a impegnare giuridicamente il Fabbricante può firmare. In genere è il CEO, un consigliere, il responsabile qualità o il responsabile degli affari regolatori. La DoC deve riportare nome completo e titolo del firmatario, luogo e data (la data deve essere successiva al completamento della valutazione) e una firma autografa oppure una firma elettronica qualificata.
Quando va apposta la marcatura CE rispetto alla Dichiarazione di conformità?
Per i prodotti fisici, apponi la marcatura CE in modo visibile, leggibile e indelebile sul prodotto prima dell'immissione sul mercato.
Per i prodotti solo software, la marcatura CE va apposta direttamente sulla Dichiarazione UE di conformità, oppure sul sito web del prodotto in una sezione facilmente e direttamente accessibile agli utenti.
Nota: La marcatura CE deve essere apposta prima dell'immissione del prodotto sul mercato, non dopo. Per i prodotti software, assicurati che la DoC o la sezione del sito web siano attive prima dell'inizio della distribuzione.
La DoC deve essere tradotta?
Sì. La DoC deve essere resa disponibile nella lingua o nelle lingue richieste da ciascuno Stato membro in cui il prodotto è immesso sul mercato.
In pratica:
- Vendita solo in Germania: serve una DoC in tedesco.
- Vendita in tutta l'UE: serviranno più versioni linguistiche.
- Conserva tutte le versioni linguistiche nel fascicolo tecnico.
La DoC semplificata e l'URL che punta alla DoC completa devono essere anch'essi nella lingua o nelle lingue richieste. L'URL stesso deve rimanere stabile e accessibile.
Ogni modello o versione del prodotto richiede una propria Dichiarazione di conformità?
Una DoC per tipo di prodotto
Ogni modello o tipo di prodotto distinto richiede in genere la propria DoC.
Una singola DoC può coprire più varianti quando sono varianti dello stesso tipo, la stessa valutazione di conformità si applica a tutte e sono state applicate le stesse norme.
Esempio:
Nome prodotto: SmartSense Pro Industrial Sensor
Modello/Tipo: SSP-3000 (tutte le varianti)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
Quando una modifica richiede una nuova DoC?
Avvertenza: Una modifica sostanziale è qualsiasi cambiamento che incide sulla base di conformità cybersecurity del prodotto o sulla sua destinazione d'uso. Richiede una nuova DoC. Chi effettua la modifica sostanziale diventa il fabbricante del prodotto modificato e deve emettere la nuova DoC.
| Scenario | Nuova DoC richiesta? |
|---|---|
| Nuova versione hardware che incide sulle caratteristiche di sicurezza | Sì, modifica sostanziale |
| Aggiornamento firmware che introduce nuove interfacce o nuovi vettori di minaccia | Sì, profilo di rischio di cibersicurezza alterato |
| Aggiornamento firmware che modifica la destinazione d'uso del prodotto | Sì, modifica sostanziale |
| Patch di sicurezza (stessa architettura, nessun nuovo rischio, riduce CVE) | Caso per caso |
| Modifica alle norme armonizzate applicate o al certificato di valutazione di conformità | Sì |
| Modifica estetica, di sola documentazione o di localizzazione | No |
| Un terzo modifica sostanzialmente il prodotto e lo immette sul mercato | Sì, il terzo emette la nuova DoC come nuovo Fabbricante |
Per i rilasci software iterativi che non sono modifiche sostanziali, la DoC esistente rimane valida. Devi essere in grado di dimostrarlo alle autorità di vigilanza del mercato, e l'aggiornamento della valutazione del rischio è il modo in cui lo dimostri.
Distribuzione della DoC
La DoC deve viaggiare con il prodotto. Puoi scegliere tra:
- la DoC completa, oppure
- una DoC semplificata che riporta l'esatto indirizzo internet in cui è pubblicata la DoC completa.
In entrambi i casi, la DoC va fornita anche su richiesta alle autorità di vigilanza del mercato e dovrebbe essere disponibile ai clienti su richiesta.
Dichiarazione UE di conformità semplificata
La forma semplificata è composta da due frasi: la dichiarazione del Fabbricante e un URL in cui si trova il documento completo. È particolarmente utile per le distribuzioni software, per l'hardware con vincoli di imballaggio e per qualsiasi prodotto la cui DoC completa sia pubblicata online.
Con la presente, [nome del fabbricante] dichiara che il prodotto con elementi digitali di tipo [denominazione del tipo di prodotto con elemento digitale] è conforme al regolamento (UE) 2024/2847.
Il testo completo della dichiarazione di conformità UE è disponibile al seguente indirizzo internet: [URL]
Requisiti per l'URL: stabile (non modificarlo dopo la distribuzione dei prodotti), accessibile senza registrazione o login, e la pagina deve consentire il download o la stampa della DoC. La DoC completa deve comunque esistere nel fascicolo tecnico ed essere disponibile alle autorità su richiesta.
Errori comuni
| Errore | Perché è importante | Correzione |
|---|---|---|
| Elementi richiesti mancanti (per esempio nessun modulo di valutazione di conformità indicato) | La DoC non è conforme | Usa la checklist prima di firmare; verifica ogni voce dell'Allegato V |
| L'entità sbagliata firma (l'Importatore o il Distributore firma al posto del Fabbricante) | La DoC è giuridicamente invalida | Solo il Fabbricante (una persona autorizzata a impegnarlo giuridicamente) può firmare; un importatore o distributore non può farlo a meno che non sia diventato fabbricante |
| Riferimenti a norme obsolete (norme ritirate o sostituite elencate) | Si perde la presunzione di conformità | Rivedi periodicamente le norme applicate; aggiorna la DoC quando le norme cambiano |
| Nessun controllo versione (esistono più versioni della DoC senza una versione corrente chiara) | Rischio in audit e enforcement | Assegna numeri di dichiarazione; archivia le versioni sostituite |
| Firma prima del completamento della valutazione (DoC datata prima della fine delle attività di conformità) | La DoC precede le evidenze su cui si basa | Completa prima tutte le attività di valutazione; la data della DoC deve essere successiva alla valutazione |
| Lingua sbagliata (DoC solo in inglese quando si vende in uno Stato membro non anglofono) | Non conforme per quel mercato | Traduci la DoC in ciascuna lingua richiesta dagli Stati membri di destinazione |
| Nessun aggiornamento dopo una modifica sostanziale (la DoC originale ancora in uso dopo un cambiamento sostanziale) | La DoC copre una versione per cui non è mai stata valutata | Emetti una nuova DoC ogni volta che si verifica una modifica sostanziale |
Checklist di preparazione della DoC
- Valutazione di conformità completata
- Report di prova disponibili
- Fascicolo tecnico predisposto
- Elenco delle norme finalizzato
- Periodo di supporto determinato
- Requisiti linguistici confermati per tutti gli Stati membri di destinazione
- Numero di dichiarazione univoco assegnato
- Nome e indirizzo del Fabbricante corretti
- Prodotto identificato completamente (modello, versione, lotto/seriale)
- CRA referenziato correttamente: «Regolamento (UE) 2024/2847»
- Altra legislazione applicabile elencata (se presente)
- Modulo di valutazione di conformità indicato
- Dati dell'organismo notificato inclusi (se applicabile)
- Tutte le norme applicate elencate con riferimenti completi
- Data di fine del periodo di supporto inclusa
- Informazioni di contatto per la sicurezza incluse
- Il firmatario è autorizzato a impegnare il Fabbricante
- Nome completo e titolo/funzione indicati
- Luogo e data indicati (data successiva al completamento della valutazione)
- Firma presente (autografa o elettronica qualificata)
- Copia accompagna il prodotto (fisica o link digitale)
- Copia nel fascicolo tecnico
- Disponibile per richieste delle autorità
- Versioni tracciate e archiviate
- Versioni linguistiche predisposte per tutti gli Stati membri di destinazione
- Marcatura CE apposta prima della distribuzione
Variazioni del modello di DoC
Per il Modulo A (autovalutazione)
Modulo A. Internal Production Control. Basato sull'Allegato VIII.
Il Fabbricante ha verificato che il prodotto soddisfa i requisiti essenziali tramite valutazione interna documentata nel fascicolo tecnico.
Per il Modulo B+C (terze parti)
Modulo B + C. Esame UE del tipo + Conformità al tipo UE. Basato sull'Allegato VIII.
| Organismo notificato | TÜV Rheinland LGA Products GmbH |
|---|---|
| N. organismo | 0197 |
| Certificato | EU-TYPE-2027-12345 |
| Data | 15 gennaio 2027 |
Il Fabbricante assicura la conformità della produzione al tipo certificato (Modulo C) tramite controlli interni di produzione.
Per più regolamenti
Una DoC combinata unica è ammessa quando il prodotto è soggetto sia al CRA sia ad altra legislazione UE:
L'oggetto della dichiarazione sopra descritto è conforme alla pertinente normativa di armonizzazione dell'Unione:
- Regolamento (UE) 2024/2847 (Cyber Resilience Act)
- Direttiva 2014/53/UE (Direttiva sulle apparecchiature radio). Organismo notificato: [Nome], N. [XXXX], Certificato: [Numero]
- Direttiva 2014/35/UE (Direttiva bassa tensione)
Requisiti di conservazione
| Cosa conservare | Periodo di conservazione | Dove |
|---|---|---|
| DoC firmata (o copia autenticata) | 10 anni dall'immissione sul mercato, oppure per la durata del periodo di supporto se più lungo | Fascicolo tecnico; accessibile alle autorità su richiesta |
| Storico delle versioni e DoC sostituite | Insieme alla DoC corrente | Fascicolo tecnico |
| Documentazione di supporto richiamata nella DoC | Insieme alla DoC | Fascicolo tecnico |
Domande frequenti
Una sola Dichiarazione di conformità può coprire i prodotti venduti in tutti gli Stati membri dell'UE?
Sì. Lo stesso documento di DoC può coprire l'intera UE, ma deve essere tradotto nella lingua o nelle lingue richieste da ciascuno Stato membro in cui il prodotto è immesso. Il contenuto di base è identico; cambia solo la versione linguistica. Conserva tutte le traduzioni nel fascicolo tecnico.
La Dichiarazione di conformità CRA deve essere autenticata o certificata ufficialmente?
No. La DoC è firmata dal Fabbricante. Una firma autografa o una firma elettronica qualificata è sufficiente. Non sono richiesti autentica notarile, apostille o certificazione di terze parti del documento, a meno che uno specifico Stato membro non lo richieda per finalità di vigilanza del mercato.
Cosa succede se la vigilanza del mercato rileva che la DoC è incompleta o imprecisa?
L'esposizione a sanzioni dipende dalla violazione. Una falsa affermazione secondo cui la conformità del prodotto è stata dimostrata può arrivare al livello massimo di sanzione CRA. Difetti autonomi di DoC, marcatura CE, valutazione di conformità o documentazione rientrano nel livello successivo; informazioni inesatte o fuorvianti fornite alle autorità hanno un proprio livello inferiore.
Un prodotto software può usare la DoC UE semplificata al posto del documento completo?
Sì. I Fabbricanti possono fornire con il prodotto la Dichiarazione UE di conformità semplificata, purché il documento completo sia pubblicamente accessibile a un URL stabile. La forma semplificata è composta da due frasi: la dichiarazione di conformità del Fabbricante e l'URL. Il documento completo deve continuare a esistere e a essere disponibile alle autorità su richiesta.
Per quanto tempo deve essere conservata la Dichiarazione di conformità CRA?
Almeno 10 anni dall'immissione del prodotto sul mercato, oppure per la durata del periodo di supporto, se più lungo. Per un prodotto con un periodo di supporto di 15 anni, la DoC e il fascicolo tecnico devono essere conservati per 15 anni.
Chi è autorizzato a firmare la Dichiarazione di conformità CRA?
Firma il fabbricante: una persona autorizzata a impegnarlo legalmente. Un rappresentante autorizzato non firma la dichiarazione; ai sensi dell'Articolo 28 l'atto di dichiarare la conformità rimane in capo al fabbricante, anche se il mandatario può essere indicato nella DoC e tenerla a disposizione delle autorità. Un importatore o distributore non può firmare salvo che sia diventato fabbricante tramite marchio proprio o modifica sostanziale.