Dall'11 dicembre 2027, l'articolo 20 del regolamento sulla ciberresilienza dell'UE (regolamento (UE) 2024/2847) rende il distributore responsabile di un controllo basato sulla presenza, su ogni prodotto con elementi digitali, prima di metterlo a disposizione sul mercato dell'Unione: marcatura CE, identificazione del fabbricante e informazioni dell'allegato II, identificazione dell'importatore, data di fine del periodo di supporto e DoC. Questa pagina copre integralmente l'articolo 20, il confine di ruolo rispetto all'importatore dell'articolo 3(16) e al fabbricante dell'articolo 3(13), nonché il livello di sanzione di secondo grado.
Riepilogo
- È distributore solo se non interviene sul prodotto. Chiunque metta a disposizione sul mercato UE un prodotto con marcatura CE dopo l'importatore rientra nella categoria, purché il prodotto raggiunga l'anello successivo della catena senza essere toccato. Lo ribattezzi, lo riconfezioni in modo da modificarne la finalità, vi preinstalli software proprio o ne modifichi la configurazione di sicurezza, e diventa invece il fabbricante (articolo 3, punto 17).
- Esegua un controllo di presenza su ogni spedizione. Prima di mettere a disposizione un'unità, confermi che la marcatura CE sia sul prodotto, che l'identificazione del fabbricante e le istruzioni dell'allegato II accompagnino il prodotto, che la data di fine del periodo di supporto riporti mese e anno, che la DoC sia consultabile e che i dati di contatto dell'importatore siano visibili (articolo 20, paragrafo 2).
- Fermi la linea se manca qualcosa. Se il controllo non riesce, o se ha qualsiasi motivo per ritenere che il prodotto o i processi del fabbricante non rispettino l'allegato I, non metta a disposizione il prodotto. In presenza di un rischio significativo per la cibersicurezza, allerti il fabbricante e le autorità di vigilanza del mercato senza indebito ritardo (articolo 20, paragrafo 3).
- Resti vigile dopo la vendita. Solleciti misure correttive o ritiri quando qualcosa non va, e trasmetta al fabbricante senza indebito ritardo qualsiasi vulnerabilità di cui venga a conoscenza. In caso di rischio significativo, notifichi le autorità di vigilanza di ogni Stato membro verso cui spedisce (articolo 20, paragrafo 4).
- Sia pronto a produrre la documentazione. Un'autorità di vigilanza del mercato può richiedere, in maniera motivata, i documenti necessari a dimostrare la conformità, in una lingua per essa facilmente comprensibile. Tenga reperibili il riferimento alla DoC, l'allegato II nella lingua di fornitura e i contatti della catena di fornitura (articolo 20, paragrafo 5).
- Copra l'ipotesi peggiore. In caso di cessazione dell'attività del fabbricante, ne informi le autorità e gli utenti con qualsiasi mezzo disponibile (articolo 20, paragrafo 6).
- Livello sanzionatorio. Le violazioni del distributore si collocano nel secondo livello sanzionatorio, fino a 10 000 000 EUR o al 2% del fatturato mondiale annuo totale, a seconda di quale sia maggiore (articolo 64, paragrafo 3).
L'articolo 20 in quattro numeri: sei paragrafi di doveri, sette voci da verificare prima della messa a disposizione sul mercato, sanzione di secondo livello e data di decorrenza.
Chi è un distributore ai sensi del CRA?
L'articolo 3, punto 17, definisce il distributore testualmente:
"Distributore" indica una persona fisica o giuridica nella catena di fornitura, diversa dal fabbricante o dall'importatore, che mette a disposizione sul mercato dell'Unione un prodotto con elementi digitali senza incidere sulle sue proprietà.
Lei è un distributore ai fini del CRA se ricorrono tutti e tre i seguenti elementi:
| Elemento | Test |
|---|---|
| Nella catena di fornitura | Lei prende possesso o controllo commerciale del prodotto mentre si muove dall'importatore o da un altro distributore verso l'utente finale |
| Diverso dal fabbricante o dall'importatore | Il prodotto non porta il Suo nome o marchio (altrimenti l'articolo 3, punto 13, La cattura come fabbricante) e Lei non è la prima entità UE che lo immette sul mercato dell'Unione (altrimenti l'articolo 3, punto 16, La cattura come importatore) |
| Senza incidere sulle sue proprietà | Lei non modifica il prodotto, il suo software, il suo imballaggio in misura tale da modificarne la finalità prevista, né la sua configurazione di sicurezza |
Se uno qualsiasi dei tre elementi viene meno, Lei non è il distributore. Se il prodotto reca il Suo nome o marchio, è il fabbricante ai sensi dell'articolo 3, punto 13. Se è la prima entità UE che immette sul mercato dell'Unione un prodotto a marchio non UE, è l'importatore ai sensi dell'articolo 3, punto 16. Se modifica sostanzialmente il prodotto dopo l'immissione sul mercato, non è coperto dall'articolo 22 (che esclude i distributori), ma la modifica può ricondurLa nell'articolo 3, punto 13, quando immette sul mercato la versione modificata con il proprio nome. Per la matrice completa di classificazione dei ruoli, si veda chi deve rispettare il CRA.
L'articolo 20 in sintesi
| Par. | Dovere | Punto chiave |
|---|---|---|
| 20(1) | Due diligence | Lo standard generale. Si applica a ogni atto di messa a disposizione, prima e dopo l'immissione sul mercato. |
| 20(2) | Verifica pre-mercato | Confermare la presenza della marcatura CE, il rispetto da parte del fabbricante dell'articolo 13, paragrafi 15, 16, 18, 19 e 20, il rispetto da parte dell'importatore dell'articolo 19, paragrafo 4, e che i documenti necessari siano stati forniti. |
| 20(3) | Rifiuto + informazione | Se si sospetta una non conformità all'allegato I, non mettere a disposizione. In presenza di rischio significativo per la cibersicurezza, informare il fabbricante e le autorità di vigilanza del mercato senza indebito ritardo. |
| 20(4) | Misure correttive + consapevolezza delle vulnerabilità | Garantire le misure correttive, ritirare o richiamare a seconda dei casi. Informare il fabbricante delle vulnerabilità senza indebito ritardo. In presenza di rischio significativo, informare immediatamente le autorità di vigilanza del mercato di ogni Stato membro di fornitura. |
| 20(5) | Cooperazione con la vigilanza del mercato | Su richiesta motivata, fornire tutte le informazioni e la documentazione necessarie a dimostrare la conformità, in una lingua facilmente comprensibile per l'autorità. |
| 20(6) | Cessazione dell'attività del fabbricante | Informare le autorità di vigilanza del mercato senza indebito ritardo e informare gli utenti con qualsiasi mezzo disponibile. |
Distributore vs importatore
L'attivatore giuridico è quale parte immetta per prima il prodotto sul mercato dell'Unione.
| Aspetto | Distributore (articolo 20) | Importatore (articolo 19) |
|---|---|---|
| Posizione | Chiunque nella catena di fornitura dopo l'importatore, diverso dal fabbricante | Prima entità UE che immette sul mercato dell'Unione un prodotto a marchio non UE |
| Verifica | Basata sulla presenza: CE, fabbricante 13(15), (16), (18), (19), (20), importatore 19(4), documenti forniti | Sostanziale: articolo 19, paragrafo 2, lettere da a) a d), per intero, comprese la valutazione della conformità eseguita e la documentazione tecnica redatta |
| Attivatore di rifiuto | Articolo 20, paragrafo 3: non conformità all'allegato I | Articolo 19, paragrafo 3: stessa ipotesi più il fallimento di uno qualsiasi dei controlli del paragrafo 2 |
| Consapevolezza delle vulnerabilità | Articolo 20, paragrafo 4: informare il fabbricante; in caso di rischio significativo informare le autorità di vigilanza del mercato di ogni Stato membro di fornitura | Articolo 19, paragrafo 5: stesso ambito |
| Documentazione | Nessuna conservazione pluriennale specifica; cooperare su richiesta motivata (20(5)) | Conservazione della DoC per 10 anni o per il periodo di supporto, a seconda di quale sia più lungo (articolo 19, paragrafo 6) |
| Livello sanzionatorio | 10 000 000 EUR o 2% (articolo 64, paragrafo 3) | 10 000 000 EUR o 2% (articolo 64, paragrafo 3) |
Per il dettaglio dello stesso confine dal lato dell'importatore, si veda importatore vs distributore nella pagina dell'importatore. La valutazione della conformità, la DoC UE e il fascicolo tecnico dell'allegato VII sono responsabilità del fabbricante; il distributore verifica i loro artefatti visibili (marcatura CE, riferimento alla DoC, accompagnamento dell'allegato II) e coopera nella produzione dei documenti, senza detenere il fascicolo.
Controlli di verifica pre-mercato (articolo 20, paragrafo 2)
L'articolo 20, paragrafo 2, chiede al distributore di verificare che l'identificazione del fabbricante, le istruzioni e la DoC siano presenti, non di rieseguire la valutazione della conformità. Al set di controlli più leggero corrisponde un attivatore di rifiuto più tagliente: ai sensi dell'articolo 20, paragrafo 3, qualsiasi motivo per ritenere che il prodotto o i processi del fabbricante non siano conformi all'allegato I blocca la messa a disposizione sul mercato finché la conformità non sia ripristinata.
L'articolo 20, paragrafo 2, fissa un elenco di controlli basati sulla presenza. Lo esegua prima che qualsiasi unità sia messa a disposizione.
Marcatura CE (articolo 30, tramite articolo 20, paragrafo 2)
La marcatura CE è la dichiarazione del fabbricante che il prodotto è conforme all'allegato I. Il distributore conferma che sia apposta in modo visibile, leggibile e indelebile sul prodotto o sulla sua targhetta. Quando le dimensioni o la natura non lo consentono, sull'imballaggio e sui documenti di accompagnamento. Quando un organismo notificato è intervenuto, il suo numero identificativo a quattro cifre deve seguire la marcatura CE. Una marcatura CE solo sul cartone esterno, quando il prodotto può portarla, non è conforme. Si veda la guida cluster sulla valutazione della conformità per il significato della marcatura CE in base a ciascun modulo dell'articolo 32.
Identificazione e informazioni del fabbricante (articolo 13, paragrafi 15, 16, 18, 19 e 20)
Cinque doveri distinti del fabbricante richiamati dall'articolo 20, paragrafo 2, lettera b):
| Riferimento | Dovere | Controllo del distributore |
|---|---|---|
| 13(15) | Numero di tipo, lotto o serie per l'identificazione del prodotto | Confermare l'elemento sul prodotto, oppure sull'imballaggio o sul documento di accompagnamento se il prodotto non può recarlo |
| 13(16) | Nome del fabbricante, denominazione commerciale o marchio, indirizzo postale, contatto digitale, riprodotti anche nell'allegato II | Confermare su prodotto, imballaggio o documento di accompagnamento |
| 13(18) | Le informazioni e le istruzioni dell'allegato II accompagnano il prodotto, in una lingua facilmente comprensibile per gli utenti e per la vigilanza del mercato | Confermare la presenza di un set di documenti dell'allegato II, nella lingua o nelle lingue dello Stato membro di fornitura |
| 13(19) | Data di fine del periodo di supporto specificata al momento dell'acquisto, almeno con mese e anno | Confermare mese + anno visibili al punto vendita |
| 13(20) | DoC integrale che accompagna il prodotto, oppure DoC semplificata contenente l'indirizzo internet esatto della DoC integrale | Confermare la presenza e la consultabilità del riferimento alla DoC |
Un prodotto privo di un set di documenti dell'allegato II nella lingua dello Stato membro, o privo di una data di fine del periodo di supporto con mese e anno, fallisce il controllo dell'articolo 20, paragrafo 2, e attiva l'articolo 20, paragrafo 3.
Identificazione dell'importatore (articolo 19, paragrafo 4, tramite articolo 20, paragrafo 2)
L'articolo 19, paragrafo 4, richiede all'importatore di indicare il proprio nome, denominazione commerciale registrata o marchio registrato, indirizzo postale, indirizzo email e ogni altro contatto digitale, sul prodotto, sul suo imballaggio o in un documento che lo accompagna. Il distributore conferma la presenza dell'identificazione dell'importatore. L'identificazione dell'importatore assente o rimossa fallisce il controllo dell'articolo 20, paragrafo 2, sotto il profilo dell'articolo 19, paragrafo 4.
Documenti necessari forniti (articolo 20, paragrafo 2)
L'articolo 20, paragrafo 2, lettera b), si chiude con un requisito generale: il fabbricante e l'importatore hanno fornito "tutti i documenti necessari al distributore". Nella pratica, si tratta del set di documenti di cui il distributore necessita per assolvere il proprio dovere di cooperazione ai sensi dell'articolo 20, paragrafo 5: una copia o un riferimento della DoC UE, le informazioni e istruzioni dell'allegato II nella lingua dello Stato membro di fornitura e i punti di contatto della catena di fornitura (punto unico di contatto del fabbricante ai sensi dell'articolo 13, paragrafo 17, contatto postale e digitale dell'importatore ai sensi dell'articolo 19, paragrafo 4). Un distributore che non sia in grado di produrre questi documenti su richiesta motivata della vigilanza del mercato è in violazione dell'articolo 20, paragrafo 5, anche se il prodotto sottostante è conforme.
Quando la verifica fallisce
L'articolo 20, paragrafo 3, crea un dovere di fermarsi e informare.
- Fermarsi. Non mettere a disposizione il prodotto sul mercato dell'Unione finché la conformità non sia ripristinata. Lo stoccaggio e la restituzione al fornitore restano possibili; la vendita agli utenti finali no.
- Documentare. Registrare quale voce dell'articolo 20, paragrafo 2, è risultata fallita, se riguardi il prodotto o i processi del fabbricante, la data e il firmatario.
- Notificare a monte per iscritto. Informare il fabbricante (e l'importatore ove rilevante) della lacuna e della documentazione richiesta.
- Valutare il rischio per la cibersicurezza. Rischio significativo per la cibersicurezza: informare le autorità di vigilanza del mercato ai sensi dell'articolo 20, paragrafo 3, senza indebito ritardo. Non significativo: proseguire la risoluzione a monte.
- Risolvere o respingere. Mettere a disposizione il prodotto solo quando tutte le voci dell'articolo 20, paragrafo 2, siano soddisfatte. Altrimenti restituire al fornitore.
Doveri post-immissione (articolo 20, paragrafo 4)
L'articolo 20, paragrafo 4, copre due doveri che operano per l'intero periodo in cui il prodotto è messo a disposizione.
Il dovere di misure correttive: laddove il distributore sappia o abbia motivo di ritenere, sulla base delle informazioni in suo possesso, che il prodotto o i processi del fabbricante non siano conformi, il distributore si assicura che siano adottate le necessarie misure correttive per ripristinare la conformità, oppure che il prodotto sia ritirato o richiamato a seconda dei casi. "Si assicura" non sposta la correzione tecnica sul distributore; impone al distributore di sollecitare a monte, dare seguito e arrestare ulteriori messe a disposizione finché il fabbricante non abbia agito.
Il dovere di consapevolezza delle vulnerabilità: alla consapevolezza di una vulnerabilità nel prodotto, il distributore informa il fabbricante senza indebito ritardo. Quando il prodotto presenta un rischio significativo per la cibersicurezza, il distributore informa immediatamente le autorità di vigilanza del mercato di ogni Stato membro di fornitura, con i dettagli della non conformità e di eventuali misure correttive adottate. L'attivatore è la consapevolezza della vulnerabilità, non la consapevolezza di un incidente segnalabile ai sensi dell'articolo 14; la segnalazione ai sensi dell'articolo 14 è gestita separatamente dal fabbricante tramite il flusso di segnalazione delle vulnerabilità.
Cooperazione, documenti e cessazione dell'attività del fabbricante
L'articolo 20, paragrafo 5, richiede al distributore, su richiesta motivata di un'autorità di vigilanza del mercato, di fornire tutte le informazioni e la documentazione, in formato cartaceo o elettronico, necessarie a dimostrare la conformità del prodotto e dei processi del fabbricante, in una lingua facilmente comprensibile per l'autorità. Il distributore coopera con l'autorità riguardo a qualsiasi misura adottata per eliminare i rischi per la cibersicurezza posti dal prodotto.
Non esiste una regola di conservazione pluriennale specifica per l'articolo 20 analoga alla regola dei 10 anni o periodo di supporto dell'articolo 19, paragrafo 6, per gli importatori. Lo standard pratico minimo è il set di documenti elencato sopra in "Documenti necessari forniti": conservato finché il distributore mette a disposizione il prodotto, reperibile a fronte di qualsiasi richiesta motivata in tale periodo, più una coda ragionevole per coprire le richieste post-immissione delle autorità.
L'articolo 20, paragrafo 6, affronta una specifica ipotesi di fallimento: la cessazione dell'attività del fabbricante. Alla consapevolezza della cessazione, il distributore ne informa le autorità di vigilanza del mercato competenti senza indebito ritardo e informa gli utenti dei prodotti che ha immesso sul mercato con qualsiasi mezzo disponibile e nella misura del possibile. L'articolo 19, paragrafo 8, pone lo stesso dovere a carico dell'importatore; nella pratica, le notifiche di distributore e importatore corrono in parallelo.
Errori comuni
| Affermazione | Perché non regge |
|---|---|
| "Il nostro fornitore è UE, quindi non siamo l'importatore; questo ci rende distributori per impostazione predefinita." | Lo status di distributore ai sensi dell'articolo 3, punto 17, richiede anche di non incidere sulle proprietà del prodotto. Riconfezionamento, rebranding, preinstallazione di software o modifiche alla configurazione possono ricondurLa all'articolo 3, punto 13, o farLa uscire del tutto dalla categoria del distributore. |
| "Non dobbiamo verificare nulla; l'importatore lo ha già fatto ai sensi dell'articolo 19." | L'articolo 20, paragrafo 2, è un controllo separato, basato sulla presenza, a livello del distributore. Marcatura CE presente, conformità all'articolo 13, paragrafi 15, 16, 18, 19 e 20, e all'articolo 19, paragrafo 4, e documenti necessari forniti. Il lavoro dell'importatore ai sensi dell'articolo 19 non esonera il distributore dal proprio lavoro ai sensi dell'articolo 20. |
| "L'allegato II in inglese basta per tutta l'UE." | L'articolo 13, paragrafo 18, richiede l'allegato II in una lingua facilmente comprensibile per gli utenti e la vigilanza del mercato dello Stato membro interessato. Il distributore che mette a disposizione il prodotto in uno Stato membro le cui autorità e i cui utenti non lavorano in inglese fallisce il controllo dell'articolo 20, paragrafo 2. |
| "Inoltriamo gli avvisi di vulnerabilità solo mensilmente, insieme agli altri aggiornamenti commerciali." | Articolo 20, paragrafo 4, secondo comma: informare il fabbricante "senza indebito ritardo" alla consapevolezza di una vulnerabilità, e "immediatamente" informare la vigilanza del mercato in caso di rischio significativo per la cibersicurezza. Il batching mensile viola entrambi gli standard. |
| "La segnalazione ai sensi dell'articolo 14 è compito del fabbricante, quindi ignoriamo le vulnerabilità." | Il flusso ENISA dell'articolo 14 è del fabbricante, ma il dovere di informare il fabbricante ai sensi dell'articolo 20, paragrafo 4, e il dovere di informare la vigilanza del mercato in caso di rischio significativo sono del distributore. Il silenzio viola l'articolo 20, paragrafo 4. |
| "Possiamo continuare a vendere le unità già in magazzino dopo aver rilevato una lacuna linguistica nell'allegato II; si fermano solo le nuove spedizioni." | L'articolo 20, paragrafo 3, blocca ogni ulteriore messa a disposizione del prodotto non conforme, indipendentemente da dove si trovino fisicamente le unità. Lo stock esistente è trattenuto, non smaltito. |
| "Rimuovere l'etichetta di contatto dell'importatore tutela la riservatezza dei nostri partner di canale." | L'articolo 19, paragrafo 4, richiede l'identificazione dell'importatore sul prodotto, sull'imballaggio o sul documento di accompagnamento. Rimuoverla rende il prodotto non conforme ai sensi dell'articolo 20, paragrafo 2. |
| "Non dobbiamo conservare documenti; siamo solo rivenditori." | L'articolo 20, paragrafo 5, richiede al distributore di fornire il set documentale su richiesta motivata, nella lingua dell'autorità. Un distributore che non sia in grado di produrre il riferimento alla DoC, l'allegato II o i punti di contatto della catena di fornitura è in violazione anche quando il prodotto è conforme. |
Domande frequenti
Cos'è un distributore ai sensi del CRA?
Un anello UE della catena di fornitura che consegna il prodotto invariato. Il ruolo è definito dalla posizione (dopo l'importatore, prima dell'utente finale) e dalla neutralità rispetto al prodotto: nessun rebranding, nessuna modifica del software, nessuna configurazione che alteri la finalità prevista. Rivenditori, distributori a valore aggiunto che si limitano a fare bundle e partner di canale che si limitano a spedire e fatturare rientrano tutti nella categoria, a condizione che lascino il prodotto come il fabbricante lo ha immesso sul mercato. (Articolo 3, punto 17; la regola di transizione a fabbricante all'articolo 3, punto 13, riguarda chi rietichetta o altera il prodotto.)
Sono distributore o importatore?
La linea è la prima immissione sul mercato. Se è la prima entità UE che immette sul mercato dell'Unione un prodotto a marchio non UE, è l'importatore. Se mette a disposizione il prodotto dopo l'importatore, senza incidere sulle sue proprietà, è il distributore. Se acquista un prodotto non UE da un'altra società UE che lo ha già importato, quest'altra società è l'importatore e Lei è il distributore. Se acquista direttamente dal fabbricante non UE e immette personalmente il prodotto sul mercato UE, è l'importatore, con il set di verifiche più gravoso e il dovere di conservazione decennale. (Articoli 3, punti 16 e 17; obblighi dell'importatore all'articolo 19; obblighi del distributore all'articolo 20.)
Sono distributore o fabbricante?
Toccate il prodotto, diventate il fabbricante. Il rebranding white-label fa scattare l'articolo 3, punto 13, a prescindere da dove sia stato costruito il prodotto. Preinstallare software proprio, modificare la configurazione di sicurezza prima della rivendita, riconfezionare in modo da alterare la finalità prevista o modificare il firmware violano tutti la condizione «senza incidere sulle sue proprietà». Una volta venuta meno tale condizione, l'analisi non è più l'articolo 20; è la classificazione come fabbricante, o, per modifiche di terzi al di fuori della catena fabbricante/importatore/distributore, il percorso del modificatore sostanziale. (Articolo 3, punto 17, condizione «senza incidere sulle sue proprietà»; articolo 3, punto 13, per chi rietichetta o modifica; articolo 22, che esclude esplicitamente i distributori.)
Cosa esattamente deve verificare il distributore prima di mettere a disposizione un prodotto?
Due verifiche: CE presente, e documentazione a monte presente. Il fabbricante deve aver rispettato l'identificazione del prodotto, l'identificazione del fabbricante, l'allegato II in una lingua dello Stato membro, la data di fine del periodo di supporto con mese e anno, e la consegna della DoC. L'importatore deve aver rispettato il proprio obbligo di identificazione. I documenti necessari devono essere stati forniti. Il controllo è basato sulla presenza, non una riedizione della valutazione della conformità. (Articolo 20, paragrafo 2, lettera a), per la marcatura CE; articolo 20, paragrafo 2, lettera b), per la conformità del fabbricante agli articoli 13, paragrafi 15, 16, 18, 19 e 20, e dell'importatore all'articolo 19, paragrafo 4; il fallimento di una qualsiasi voce attiva l'articolo 20, paragrafo 3.)
Il distributore deve conservare la dichiarazione di conformità UE per 10 anni?
No. Il dovere di conservare la DoC per 10 anni o per il periodo di supporto, a seconda di quale sia più lungo, è dell'importatore, non del distributore. Il dovere documentale del distributore è fornire, su richiesta motivata di un'autorità di vigilanza del mercato, le informazioni e la documentazione necessarie a dimostrare la conformità, in una lingua facilmente comprensibile per l'autorità. Lo standard pratico minimo è il set di documenti utilizzato per il controllo in accettazione: riferimento alla DoC, allegato II nella lingua dello Stato membro di fornitura, punti di contatto del fabbricante e dell'importatore, conservati finché il prodotto è messo a disposizione e per una coda ragionevole successiva. (Conservazione in capo all'importatore all'articolo 19, paragrafo 6; dovere documentale del distributore all'articolo 20, paragrafo 5.)
Cosa fa il distributore quando viene a conoscenza di una vulnerabilità in un prodotto che ha spedito?
Avvertire il fabbricante immediatamente, e avvertire la vigilanza del mercato se il rischio è significativo. Il primo dovere è la notifica a monte senza indebito ritardo. Il secondo è la notifica parallela alle autorità di vigilanza del mercato di ogni Stato membro di fornitura, con i dettagli della non conformità e di eventuali misure correttive adottate. Il flusso di segnalazione ENISA resta del fabbricante, non del distributore. (Articolo 20, paragrafo 4; la segnalazione ENISA ai sensi dell'articolo 14 resta dovere del fabbricante.)
Esistono esenzioni PMI per i distributori?
Gli obblighi sostanziali ai sensi dell'articolo 20 si applicano a prescindere dalle dimensioni. L'unica concessione specifica per le PMI in materia di sanzioni amministrative riguarda i fabbricanti e gli amministratori di software open source. I distributori non rientrano in tale esonero. Le autorità devono tuttavia tenere debito conto delle dimensioni del trasgressore (PMI e start-up incluse) nel determinare l'importo delle sanzioni nei singoli casi: si tratta di un fattore di commisurazione applicabile all'intero regime, non di un'esenzione dagli obblighi. (Articolo 20 si applica a tutte le dimensioni; esonero PMI all'articolo 64, paragrafo 10, limitato a fabbricanti e amministratori OSS; fattore di commisurazione all'articolo 64, paragrafo 5, lettera c).)
Quando si applicano gli obblighi del distributore CRA?
L'articolo 20 si applica integralmente dall'11 dicembre 2027. A differenza dei fabbricanti, i distributori non hanno una scadenza separata anticipata: la segnalazione ai sensi dell'articolo 14 è dovere del fabbricante, non del distributore. I doveri di consapevolezza delle vulnerabilità e di informazione delle autorità di vigilanza in caso di rischio significativo partono insieme al resto dell'articolo 20. Entro tale data, i distributori che mettono a disposizione prodotti sul mercato dell'Unione devono avere in essere un processo di controllo in accettazione, un flusso di rifiuto, un flusso di consapevolezza delle vulnerabilità e una capacità di produzione documentale. (Applicabilità all'articolo 71; la segnalazione ai sensi dell'articolo 14 è dovere del fabbricante; gli obblighi degli articoli 20, paragrafi 2, 3, 4 e 5, decorrono tutti dall'11 dicembre 2027.)