CRA: comunicazione fine supporto prima dell'acquisto

L'Allegato II, punto 7, del Regolamento sulla ciberresilienza (Regolamento (UE) 2024/2847) impone ai fabbricanti di indicare la data di fine del periodo di supporto nelle informazioni fornite a corredo del prodotto, prima dell'acquisto. Si tratta della controparte rivolta agli utenti delle regole di durata dell'Articolo 13(8) e dell'obbligo di comunicazione della fine del ciclo di vita al momento dell'acquisto previsto dall'Articolo 13(19). Per i meccanismi di durata consulti il Periodo di Supporto CRA: Basi; per la consegna delle patch consulti gli Aggiornamenti di Sicurezza CRA.

Sintesi

  • Obbligo pre-acquisto. La divulgazione della data di fine dell'Allegato II punto 7 deve raggiungere l'utente prima che l'acquisto sia concluso, non successivamente.
  • Specificamente nella documentazione del prodotto. La divulgazione deve essere inclusa nelle istruzioni e nelle informazioni fornite a corredo del prodotto, non in un canale di marketing separato, in un'e-mail post-vendita o in un documento dei termini di servizio.
  • Riflette la data di fine effettiva. Se il fabbricante si avvale della deroga per vita attesa ridotta ai sensi dell'Articolo 13(8), la divulgazione dell'Allegato II deve indicare la data di fine effettiva (ridotta), non un arrotondamento a cinque anni.
  • Collegata alla conservazione del fascicolo tecnico dell'Allegato VII. Ai sensi dell'Articolo 13(13), il fascicolo tecnico (che include le informazioni dell'Allegato II) deve essere conservato per 10 anni dall'immissione sul mercato, o per il periodo di supporto se superiore.
  • Sanzioni per mancata divulgazione. La violazione dei requisiti essenziali dell'Articolo 13, inclusa la divulgazione del periodo di supporto, può comportare sanzioni fino a €15,000,000 o al 2,5% del fatturato globale ai sensi dell'Articolo 64.
Allegato II
Punto 7
Obbligo di divulgazione pre-acquisto
13(19)
Paragrafo Articolo 13
Divulgazione EOL al momento dell'acquisto
10y
Conservazione del fascicolo tecnico
Articolo 13(13), dall'immissione sul mercato
€15M / 2.5%
Sanzione massima Articolo 64
Il valore più elevato

I quattro punti di riferimento della divulgazione della fine del supporto CRA: il punto dell'Allegato II, il relativo paragrafo dell'Articolo 13, il minimo di conservazione e il tetto delle sanzioni.

Cosa richiede l'Allegato II punto 7

L'Allegato II del Regolamento (UE) 2024/2847 elenca le informazioni che il fabbricante deve fornire agli utenti. Il punto 7 richiede al fabbricante di includere "la data di fine del periodo di supporto" nelle istruzioni e nelle informazioni fornite a corredo del prodotto. In pratica ciò significa quattro cose contemporaneamente:

  • La data di fine è indicata nella documentazione del prodotto fornita al momento della vendita o del download, o prima di esso.
  • Compare prima che l'utente concluda l'acquisto, non in un'e-mail di benvenuto post-acquisto o nei termini di servizio.
  • Se il fabbricante si avvale della deroga per vita attesa ridotta ai sensi dell'Articolo 13(8), la divulgazione dell'Allegato II riflette la data di fine effettiva (ridotta), non una stima arrotondata a cinque anni.
  • La divulgazione fa parte del fascicolo tecnico dell'Allegato VII ed è conservata per almeno 10 anni dall'immissione sul mercato ai sensi dell'Articolo 13(13).

Implicazione pratica: la data di fine del periodo di supporto è una specifica del prodotto, non un impegno commerciale. Viene registrata nel fascicolo tecnico, comunicata agli utenti prima dell'acquisto e aggiornata ogni volta che una versione del prodotto viene rinnovata o che la valutazione della vita attesa cambia.

Dove deve comparire la divulgazione, per canale

L'obbligo dell'Allegato II punto 7 è soddisfatto solo quando la data di fine raggiunge l'utente prima che il denaro cambi di mano. Il luogo in cui la divulgazione deve comparire dipende dal canale; la tabella seguente mappa ciascuno alla collocazione che soddisfa l'obbligo e a quella che non è sufficiente.

Canale La divulgazione deve comparire Non sufficiente
Vendita al dettaglio fisica Sulla confezione o nella documentazione fornita prima di aprire il sigillo Etichetta leggibile solo dopo l'apertura della confezione
E-commerce Pagina di dettaglio del prodotto, o un link diretto da essa, prima di aggiungere al carrello Pagina di checkout, conferma dell'ordine, e-mail post-acquisto
SDK / sviluppatori Pagina pubblica della documentazione dell'API o del componente consultata prima dell'integrazione README all'interno del pacchetto scaricato
Appalti B2B Scheda tecnica, datasheet o risposta a RFP valutati prima della firma Documento di onboarding post-contratto
Software scaricabile Pagina di download, o il riepilogo pre-installazione del programma di installazione Schermata nell'app visibile solo dopo il primo avvio

Collocazioni dell'Allegato II punto 7 per canale. Il principio è uniforme per tutti e cinque: la data di fine fa parte della decisione di acquisto e deve essere disponibile nel momento in cui l'acquirente la sta prendendo. Questo si affianca all'obbligo di divulgazione della fine del ciclo di vita al momento dell'acquisto previsto dall'Articolo 13(19).

Esempio pratico: divulgazione per versione su una timeline

Un fabbricante immette sul mercato UE il prodotto v1.0 a gennaio 2028 con un impegno di supporto quinquennale, poi aggiorna a v1.1 a luglio 2028 con il proprio impegno quinquennale. La divulgazione dell'Allegato II è collegata alla versione, non alla data di acquisto dell'acquirente.

Timeline di divulgazione della fine del supporto per v1.0 e v1.1 Due barre di periodo di supporto parallele che mostrano come la divulgazione della data di fine dell'Allegato II sia fissata al momento dell'immissione sul mercato e non si sposti con la data di acquisto dell'acquirente. gen 2028 lug 2028 giu 2029 gen 2033 lug 2033 v1.0 periodo di supporto, divulgazione: "fino a gen 2033" il cliente acquista v1.0; divulgazione invariata v1.1 periodo di supporto, divulgazione: "fino a lug 2033" La divulgazione della data di fine dell'Allegato II punto 7 è fissata all'immissione sul mercato, per versione
La divulgazione è per versione, non per data di acquisto. Un acquirente che acquista v1.0 a giugno 2029 vede comunque la data di fine originale di gennaio 2033, il che mette il cliente a conoscenza del fatto che rimangono circa 3,5 anni di supporto, non cinque anni dall'acquisto. La divulgazione di v1.0 rimane inoltre nel fascicolo tecnico conservato ai sensi dell'Allegato VII dopo la fine del supporto, come prova che l'utente è stato informato prima dell'acquisto.

Collegamento al fascicolo tecnico e alla DoC UE

Una divulgazione accurata sulla pagina del prodotto ma assente dal fascicolo tecnico, o presente nel fascicolo tecnico ma non visibile all'acquirente, non soddisfa l'obbligo. Tre elementi devono essere allineati contemporaneamente:

Fascicolo tecnico Allegato VII

Le informazioni per gli utenti dell'Allegato II fanno parte della documentazione tecnica. Consulti la Documentazione Tecnica CRA per la struttura del fascicolo (Articolo 13(13) / Allegato VII) e la regola di conservazione.

Dichiarazione UE di Conformità

La DoC attesta la conformità all'Articolo 13. L'Articolo 13(20) consente una DoC completa o semplificata, ma la divulgazione della data di fine del periodo di supporto dell'Allegato II rivolta agli utenti non è facoltativa in nessuno dei due casi. Consulti la Dichiarazione CRA di Conformità.

Consegna degli aggiornamenti di sicurezza

Fino alla data di fine comunicata, il fabbricante è tenuto a rispettare i meccanismi di patch trattati in gli Aggiornamenti di Sicurezza CRA. La divulgazione e l'obbligo di consegna scadono insieme.

Domande frequenti

Cosa deve comparire nelle informazioni sul prodotto dell'Allegato II in merito al periodo di supporto?

La data di fine del periodo di supporto, indicata nelle informazioni fornite agli utenti al momento della vendita o prima di essa. La data deve essere specifica (ad esempio, "Aggiornamenti di sicurezza forniti fino all'11 dicembre 2032") e deve riflettere l'impegno effettivo, inclusa qualsiasi deroga per vita attesa ridotta. Le e-mail post-acquisto o i blocchi dei termini di servizio non soddisfano l'obbligo. Se il prodotto viene aggiornato con una nuova versione che azzera il conteggio del supporto, la divulgazione dell'Allegato II deve essere aggiornata per riflettere la nuova data di fine. (Allegato II punto 7; Articolo 13(8); Allegato VII.)

"Almeno cinque anni dall'acquisto" è sufficiente, oppure la divulgazione deve indicare una data specifica?

No, è richiesta una data concreta. Una formulazione relativa come "aggiornamenti di sicurezza per almeno cinque anni dall'acquisto" non costituisce una data di fine e non soddisfa l'obbligo di divulgazione. Il livello di precisione può essere mese e anno ("dicembre 2032") anziché un giorno di calendario esatto, ma è necessario un riferimento temporale fisso affinché l'acquirente possa calcolare il supporto residuo prima del pagamento. La data di fine è inoltre quella che viene registrata nel fascicolo tecnico dell'Allegato VII; una formulazione relativa non trova collocazione nella catena documentale. (Allegato II punto 7; Allegato VII.)

Dove deve comparire la data di fine in una pagina di prodotto e-commerce?

Nella pagina di dettaglio del prodotto stessa, oppure raggiungibile tramite un unico link chiaramente etichettato da essa (ad esempio una scheda "Specifiche", "Ciclo di vita" o "Supporto"). La collocazione esclusivamente nei termini di servizio, esclusivamente in una sezione FAQ o esclusivamente nella pagina di conferma post-checkout non soddisfa il requisito pre-acquisto. Un acquirente che valuta il prodotto prima di fare clic su "acquista" deve poter vedere la data di fine del periodo di supporto senza essersi già impegnato nell'acquisto. (Allegato II punto 7; Articolo 13(19).)

Se estendo il periodo di supporto dopo il lancio, devo aggiornare la divulgazione?

Sì. Le informazioni dell'Allegato II fanno parte della documentazione tecnica e devono riflettere l'impegno effettivo. Se il fabbricante estende il periodo di supporto, sia la divulgazione rivolta agli utenti (pagina del prodotto, confezione, scheda tecnica, riepilogo del programma di installazione) sia il fascicolo tecnico conservato ai sensi dell'Allegato VII devono essere aggiornati per indicare la nuova data di fine. La data di fine originale rimane nel fascicolo conservato come prova della divulgazione applicata alle vendite precedenti, in modo che la traccia documentale resti integra per le unità già immesse sul mercato. (Allegato II punto 7; Articolo 13(13); Allegato VII.)

Prima della messa in commercio

  1. Verifichi ogni pagina pubblica del prodotto, la confezione, le schede tecniche e le pagine di download: ovunque la data di fine sia assente, il fabbricante è in violazione.
  2. Aggiunga la data di fine al modello principale della scheda tecnica, allo schema e-commerce e alla documentazione inclusa nella confezione, così nessuna versione futura può essere immessa sul mercato senza di essa.
  3. Colleghi la divulgazione alla versione del prodotto: quando v1.1 sostituisce v1.0, mostri la data di fine di v1.1 per le nuove vendite e conservi la divulgazione di v1.0 nel fascicolo tecnico.
  4. Traduca il testo circostante (ad esempio "Aggiornamenti di sicurezza forniti fino a ...") in ogni lingua degli Stati membri in cui il prodotto è immesso sul mercato; la data è un dato di fatto, la prosa no.
  5. Verifichi che ogni data di fine comunicata corrisponda alla data registrata nel fascicolo tecnico: una discrepanza è di per sé un difetto di conformità.
  6. Mostri la data di fine prima che l'acquirente si impegni: e-mail post-acquisto, termini di servizio e pagine di conferma non soddisfano l'obbligo.