Articolo 7

1. I prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti di cui all’allegato III sono considerati prodotti con elementi digitali importanti e sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3. L’integrazione di un prodotto con elementi digitali che ha la funzionalità principale di una categoria di prodotti di cui all’allegato III non rende di per sé il prodotto in cui è integrato assoggettato alle procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3.

2. Le categorie di prodotti con elementi digitali di cui al paragrafo 1 del presente articolo, suddivise nelle classi I e II di cui all’allegato III, soddisfano almeno uno dei criteri seguenti:

• a) il prodotto con elementi digitali svolge principalmente funzioni essenziali per la cibersicurezza di altri prodotti, reti o servizi, tra cui la sicurezza dell’autenticazione e dell’accesso, la prevenzione e il rilevamento delle intrusioni, la sicurezza dei terminali o la protezione della rete;
• b) il prodotto con elementi digitali svolge una funzione che comporta un rischio significativo di avere effetti negativi in ragione della sua intensità e capacità di perturbare, controllare o danneggiare un gran numero di altri prodotti o la salute, la sicurezza o l’incolumità dei suoi utenti attraverso la manipolazione diretta, come una funzione centrale di sistema, compresi la gestione della rete, il controllo di configurazione, la virtualizzazione o il trattamento dei dati personali.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 al fine di modificare l’allegato III, includendo nell’elenco una nuova categoria all’interno di ciascuna classe di categorie di prodotti con elementi digitali e specificandone la definizione, spostando una categoria di prodotti da una classe all’altra o eliminandone una categoria esistente. Nel valutare la necessità di modificare l’elenco di cui all’allegato III, la Commissione tiene conto delle funzionalità relative alla cibersicurezza o della funzione e del livello di rischio di cibersicurezza posto dai prodotti con elementi digitali come stabilito dai criteri di cui al paragrafo 2 del presente articolo.

Gli atti delegati di cui al primo comma del presente paragrafo prevedono, se del caso, un periodo di transizione minimo di 12 mesi, in particolare qualora una nuova categoria di prodotti con elementi digitali importanti sia aggiunta alla classe I o II o sia spostata dalla classe I alla classe II di cui all’allegato III, prima che inizino ad applicarsi le pertinenti procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3, a meno che un periodo di transizione più breve non sia giustificato da imperativi motivi di urgenza.

4. Entro l’11 dicembre 2025 la Commissione adotta un atto di esecuzione che specifica la descrizione tecnica delle categorie di prodotti con elementi digitali delle classi I e II di cui all’allegato III e la descrizione tecnica delle categorie di prodotti con elementi digitali di cui all’allegato IV. Tale atto di esecuzione è adottato conformemente alla procedura d’esame di cui all’articolo 62, paragrafo 2.