Articolo 20

1. Quando mettono un prodotto con elementi digitali a disposizione sul mercato, i distributori esercitano la dovuta diligenza per rispettare i requisiti stabiliti dal presente regolamento.

2. Prima di mettere un prodotto con elementi digitali a disposizione sul mercato, i distributori verificano che:

• a) il prodotto con elementi digitali rechi la marcatura CE;
• b) il fabbricante e l’importatore abbiano rispettato gli obblighi previsti dall’articolo 13, paragrafi 15, 16, 18, 19 e 20, e dall’articolo 19, paragrafo 4, e abbiano trasmesso tutta la documentazione necessaria al distributore.

3. Se un distributore ritiene o ha motivo di credere, sulla base delle informazioni in suo possesso, che un prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, il distributore non mette il prodotto con elementi digitali a disposizione sul mercato fino a quando il prodotto o i processi messi in atto dal fabbricante non siano stati resi conformi al presente regolamento. Inoltre, quando il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, il distributore ne informa, senza indebito ritardo, il fabbricante e le autorità di vigilanza del mercato.

4. I distributori che hanno la certezza o hanno motivo di credere, sulla base delle informazioni in loro possesso, che un prodotto con elementi digitali che hanno messo a disposizione sul mercato o i processi messi in atto dal suo fabbricante non siano conformi al presente regolamento si assicurano che siano adottate le misure correttive necessarie per rendere conformi tale prodotto con elementi digitali o i processi messi in atto dal suo fabbricante oppure, se del caso, per ritirare o richiamare il prodotto.

Quando vengono a conoscenza di una vulnerabilità nel prodotto con elementi digitali, i distributori ne informano il fabbricante senza indebito ritardo. Inoltre, se il prodotto con elementi digitali presenta un rischio di cibersicurezza significativo, i distributori ne informano immediatamente le autorità di vigilanza del mercato degli Stati membri in cui hanno messo a disposizione sul mercato il prodotto con elementi digitali, dando in particolare informazioni dettagliate sulla non conformità e su eventuali misure correttive adottate.

5. A seguito di una richiesta motivata di un’autorità di vigilanza del mercato, i distributori forniscono, in formato cartaceo o elettronico, tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali e dei processi messi in atto dal suo fabbricante al presente regolamento in una lingua che possa essere facilmente compresa da tale autorità. Essi cooperano con tale autorità, su sua richiesta, a qualsiasi misura adottata per eliminare i rischi di cibersicurezza presentati da un prodotto con elementi digitali da essi messo a disposizione sul mercato.

6. Qualora venga a conoscenza, sulla base delle informazioni in suo possesso, del fatto che il fabbricante di un prodotto con elementi digitali ha cessato l’attività e di conseguenza non è in grado di rispettare gli obblighi previsti dal presente regolamento, il distributore di tale prodotto ne informa, senza indebito ritardo, le autorità di vigilanza del mercato competenti nonché, con qualsiasi mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti con elementi digitali immessi sul mercato.