Articolo 32

1. Il fabbricante effettua una valutazione della conformità del prodotto con elementi digitali e dei processi messi in atto dal fabbricante per determinare se sono soddisfatti i requisiti essenziali di cibersicurezza di cui all’allegato I. Il fabbricante dimostra la conformità ai requisiti essenziali di cibersicurezza utilizzando una delle procedure seguenti:

• a) la procedura di controllo interno (basata sul modulo A) di cui all’allegato VIII;
• b) la procedura di esame UE del tipo (basata sul modulo B) di cui all’allegato VIII, seguita dalla conformità al tipo UE basata sul controllo interno della produzione (basata sul modulo C) di cui all’allegato VIII;
• c) una valutazione della conformità basata sulla garanzia della qualità totale (basata sul modulo H) di cui all’allegato VIII; o
• d) ove disponibile e applicabile, un sistema europeo di certificazione della cibersicurezza a norma dell’articolo 27, paragrafo 9.

2. Se per la valutazione della conformità del prodotto con elementi digitali importante rientrante nella classe I di cui all’allegato III e dei processi messi in atto dal suo fabbricante ai requisiti essenziali di cibersicurezza di cui all’allegato I il fabbricante non ha applicato o ha applicato solo in parte norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza con un livello di affidabilità almeno «sostanziale» di cui all’articolo 27, o nel caso in cui non esistano tali norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza, il prodotto con elementi digitali in questione e i processi messi in atto dal fabbricante sono sottoposti, per verificarne la conformità a tali requisiti essenziali di cibersicurezza, a una delle procedure seguenti:

• a) la procedura di esame UE del tipo (basata sul modulo B) di cui all’allegato VIII, seguita dalla conformità al tipo UE basata sul controllo interno della produzione (basata sul modulo C) di cui all’allegato VIII; o
• b) la valutazione della conformità basata sulla garanzia della qualità totale (basata sul modulo H) di cui all’allegato VIII.

3. Se il prodotto è un prodotto con elementi digitali importante rientrante nella classe II, come indicato nell’allegato III, il fabbricante dimostra la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I utilizzando una delle procedure seguenti:

• a) la procedura di esame UE del tipo (basata sul modulo B) di cui all’allegato VIII, seguita dalla conformità al tipo UE basata sul controllo interno della produzione (basata sul modulo C) di cui all’allegato VIII;
• b) la valutazione della conformità basata sulla garanzia della qualità totale (basata sul modulo H) di cui all’allegato VIII; o
• c) ove disponibile e applicabile, un sistema europeo di certificazione della cibersicurezza a norma dell’articolo 27, paragrafo 9, del presente regolamento con un livello di affidabilità almeno «sostanziale» ai sensi del regolamento (UE) 2019/881.

4. I prodotti con elementi digitali critici di classe II elencati nell’allegato IV dimostrano la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I utilizzando una delle procedure seguenti:

• a) un sistema europeo di certificazione della cibersicurezza a norma dell’articolo 8, paragrafo 1; o
• b) se le condizioni di cui all’articolo 8, paragrafo 1, non sono soddisfatte, una delle procedure di cui al paragrafo 3 del presente articolo.

5. I fabbricanti di prodotti con elementi digitali che si qualificano come software liberi e open-source che rientrano nelle categorie di cui all’allegato III sono in grado di dimostrare la conformità ai requisiti essenziali i cibersicurezza di cui all’allegato I utilizzando una delle procedure di cui al paragrafo 1 del presente articolo, a condizione che la documentazione tecnica di cui all’articolo 31 sia messa a disposizione del pubblico al momento dell’immissione sul mercato di tali prodotti.

6. Si dovrebbe tener conto degli interessi e delle esigenze specifici delle microimprese e delle piccole e medie imprese, comprese le start-up, nel definire le tariffe per le procedure di valutazione della conformità e tali tariffe sono ridotte proporzionalmente agli interessi e alle esigenze specifici di tali imprese.