Articolo 27

1. I prodotti con elementi digitali e i processi messi in atto dal fabbricante che sono conformi alle norme armonizzate o a parti di esse i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I oggetto di tali norme o parti di esse.

In conformità dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate per i requisiti essenziali di cibersicurezza di cui all’allegato I del presente regolamento. Nel preparare richieste di normazione per il presente regolamento, la Commissione si adopera per tenere conto delle norme europee ed internazionali esistenti in materia di cibersicurezza, siano esse in vigore o in corso di elaborazione, al fine di semplificare lo sviluppo delle norme armonizzate, ai sensi del regolamento (UE) n. 1025/2012.

2. Alla Commissione è conferito il potere di adottare atti di esecuzione che stabiliscono specifiche comuni relative ai requisiti tecnici che forniscono i mezzi per soddisfare i requisiti essenziali di cibersicurezza di cui all’allegato I per i prodotti con elementi digitali rientranti nell’ambito di applicazione del presente regolamento.

Tali atti di esecuzione sono adottati solo laddove siano soddisfatte le condizioni seguenti:

• a) la Commissione ha richiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di redigere una norma armonizzata per i requisiti essenziali di cibersicurezza di cui all’allegato I, e:
  • i) la richiesta non è stata accettata;
  • ii) le norme armonizzate relative a tale richiesta non sono fornite entro il termine stabilito conformemente all’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012; o
  • iii) le norme armonizzate non sono conformi alla richiesta; e
• b) nessun riferimento a norme armonizzate che contemplano i requisiti essenziali di cibersicurezza pertinenti di cui all’allegato I del presente regolamento è stato pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2.

3. Prima di preparare il progetto di atto di esecuzione di cui al paragrafo 2 del presente articolo, la Commissione informa il comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 di ritenere soddisfatte le condizioni di cui al paragrafo 2 del presente articolo.

4. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 2, la Commissione tiene conto dei pareri degli organi competenti e consulta debitamente tutti i portatori di interessi pertinenti.

5. I prodotti con elementi digitali e i processi messi in atto dal fabbricante che sono conformi alle specifiche comuni stabilite dagli atti di esecuzione di cui al paragrafo 2 del presente articolo, o a parti di esse, si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I oggetto di tali specifiche comuni o di loro parti.

6. Qualora una norma armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione al fine di pubblicarne il riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma armonizzata conformemente al regolamento (UE) n. 1025/2012. Quando un riferimento a una norma armonizzata è pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 2 del presente articolo, o parti di essi, che riguardano gli stessi requisiti essenziali di cibersicurezza contemplati da tale norma armonizzata.

7. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamente i requisiti essenziali di cibersicurezza di cui all’allegato I, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

8. I prodotti con elementi digitali e i processi messi in atto dal fabbricante per i quali sono stati rilasciati un certificato o una dichiarazione di conformità UE nell’ambito di un sistema europeo di certificazione della cibersicurezza adottato a norma del regolamento (UE) 2019/881 si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, nella misura in cui tali requisiti siano contemplati dal certificato europeo di cibersicurezza o dalla dichiarazione di conformità UE o da loro parti.

9. Alla Commissione è conferito il potere di adottare atti delegati ai sensi dell’articolo 61 del presente regolamento per integrare il presente regolamento specificando i sistemi europei di certificazione della cibersicurezza adottati a norma del regolamento (UE) 2019/881 che possono essere utilizzati per dimostrare la conformità dei prodotti con elementi digitali ai requisiti essenziali di cibersicurezza o a parti di essi di cui all’allegato I del presente regolamento. Inoltre l’emissione di un certificato europeo di cibersicurezza rilasciato nell’ambito di tali sistemi con un livello di affidabilità almeno «sostanziale» sopprime l’obbligo per un fabbricante di effettuare una valutazione della conformità da parte di terzi per i requisiti corrispondenti, come previsto dall’articolo 32, paragrafo 2, lettere a) e b), e dall’articolo 32, paragrafo 3), lettere a) e b), del presente regolamento.