Is appointing an authorised representative mandatory under the CRA?

No. Article 18(1) of Regulation (EU) 2024/2847 reads, verbatim: 'A manufacturer may, by a written mandate, appoint an authorised representative.' This is permissive, not mandatory. The CRA does not impose AR appointment as a condition for placing products on the EU market, even for manufacturers established outside the Union. This differs from MDR Article 11 and RED Article 5, both of which require an AR for non-EU manufacturers. If a CRA product is also covered by MDR or RED, the AR requirement under those instruments still applies.

Why would a non-EU manufacturer still appoint an AR under the CRA?

Several practical reasons. A single EU-established legal contact point reduces friction with market surveillance authorities, who prefer correspondence with an entity in their jurisdiction and language. The AR can hold the Declaration of Conformity and Annex VII technical documentation locally for the 10-year retention period under Article 18(3)(a). Many non-EU manufacturers already use an MDR or RED AR and find it operationally simpler to extend that arrangement to CRA scope. Finally, a clearly named EU AR can shorten authority response cycles when a reasoned request arrives under Article 18(3)(b).

What can and cannot be delegated to a CRA authorised representative?

Article 18(2) explicitly excludes the obligations in Article 13(1) to (11), Article 13(12) first subparagraph, and Article 13(14) from the AR mandate. In plain terms: the substantive cybersecurity obligations (essential requirements, vulnerability handling, conformity assessment) cannot be passed to the AR. Article 18(3) sets the maximum scope of what an AR can do: hold the DoC and technical documentation for 10+ years, provide information and documentation to authorities on reasoned request, and cooperate on actions taken to eliminate risks. The manufacturer always remains the entity legally responsible for the substantive cybersecurity duties.

What is the difference between a CRA authorised representative and an EU importer?

They are independent roles. An importer is, by Article 3 definition, an EU-established person who places a product bearing a non-EU manufacturer's name or trademark on the EU market. Importers carry their own Article 19 obligations (conformity verification, document retention for 10 years, authority cooperation, vulnerability notification) regardless of whether an AR exists. An AR, when appointed, takes on the Article 18(3) tasks listed in the mandate. They are not substitutes: the importer role is triggered by the commercial supply route, the AR role by a written mandate. One EU entity may hold both, with separate paperwork.

Can my EU importer or distributor act as my authorised representative?

Yes. The CRA does not forbid one EU-established entity from holding both a commercial importer or distributor role and an AR mandate. The functions remain legally distinct: the importer carries Article 19 obligations from the commercial supply relationship, the AR carries Article 18(3) duties from a written mandate. To combine them, you need a separate written AR mandate that explicitly covers Article 18(3), professional indemnity sufficient for both roles, and a clear contractual line between the two functions.

Is the AR liable for product defects, or only for documentation duties?

The AR is responsible only for the duties listed in the written mandate, which under the CRA are bounded by Article 18(3): document custody, authority responsiveness, and cooperation on corrective action. Article 18(2) explicitly excludes the substantive Article 13 obligations from the mandate. Product defect liability and the underlying cybersecurity obligations remain with the manufacturer. National law in some Member States may extend AR exposure further, so the mandate should be drafted carefully.

Is a CRA authorised representative the same as an MDR or RED authorised representative?

The AR concept is shared across EU product regulations, but the regimes are not identical. MDR Article 11 makes AR appointment mandatory for non-EU manufacturers and imposes broader medical-specific duties including vigilance reporting. RED Article 5 also makes AR appointment mandatory for non-EU manufacturers. CRA Article 18(1) makes it optional. The Article 18(3) duties are narrower and centred on documentation, authority requests, and corrective-action cooperation. An incumbent MDR or RED AR can be a strong starting point, but the mandate must be re-papered for CRA scope and Article 18(2) non-delegation rules.

Does the AR sign the EU Declaration of Conformity?

No. The EU Declaration of Conformity is drawn up and signed by the manufacturer under Article 28. The AR, when appointed, holds the signed DoC and the technical documentation at the disposal of market surveillance authorities under Article 18(3)(a), but the act of declaring conformity is a manufacturer responsibility that Article 18(2) keeps out of the AR mandate.

Can I change my AR after appointment?

Yes. The mandate is a contract between the manufacturer and the AR, and either party can terminate subject to its terms. On change, the new AR takes over custody of the technical documentation and Declaration of Conformity, and the manufacturer should update the contact information communicated to market surveillance authorities. Plan for an explicit handover step in the mandate template.

Rappresentante autorizzato del Regolamento sulla cibersicurezza (articolo 18)

Riepilogo

Cinque elementi da conoscere sull'articolo 18 del Regolamento sulla cibersicurezza prima di decidere se nominare un rappresentante autorizzato.

Base giuridica: L'articolo 18, paragrafo 1, del Regolamento (UE) 2024/2847 (il Regolamento sulla cibersicurezza) è permissivo: «Un fabbricante può nominare, mediante mandato scritto, un rappresentante autorizzato.» La nomina è facoltativa. Non esiste una clausola separata che la imponga ai fabbricanti stabiliti fuori dall'UE (diversamente dall'articolo 11 del MDR o dall'articolo 5 della RED).
Perché nominarlo comunque: Un unico punto di contatto giuridico stabilito nell'Unione per le autorità di vigilanza del mercato, la custodia della documentazione da parte di un soggetto all'interno della giurisdizione competente e la parità operativa con gli accordi di rappresentanza MDR/RED già in essere presso molti fabbricanti stabiliti fuori dall'UE. Convenienza pratica, non obbligo di legge.
Cosa può fare il rappresentante autorizzato: L'articolo 18, paragrafo 3, fissa l'ambito massimo: mantenere la dichiarazione UE di conformità e la documentazione tecnica a disposizione delle autorità per almeno dieci anni (o per la durata del periodo di assistenza, se quest'ultimo è superiore); fornire informazioni alle autorità di vigilanza del mercato a seguito di richiesta motivata; collaborare alle azioni intraprese per eliminare i rischi.
Cosa resta in capo al fabbricante: L'articolo 18, paragrafo 2, esclude dal mandato gli obblighi di cui all'articolo 13, paragrafi da 1 a 11, paragrafo 12, primo comma, e paragrafo 14. I requisiti essenziali di cibersicurezza, la gestione delle vulnerabilità e la valutazione della conformità non possono essere delegati al rappresentante autorizzato.
Importatore dell'articolo 19: Se il prodotto di un fabbricante stabilito fuori dall'UE viene immesso sul mercato dell'Unione attraverso un soggetto commerciale stabilito nell'Unione, tale soggetto è l'importatore per definizione (articolo 3, punto 14) e assume gli obblighi dell'articolo 19 indipendentemente da qualsiasi nomina di rappresentante autorizzato.
Dove ci collochiamo: CRA Evidence è la piattaforma di evidenze per la custodia documentale dell'articolo 18, paragrafo 3, la risposta alle autorità e la tracciatura delle azioni correttive, utilizzata direttamente dai fabbricanti, dagli studi di rappresentanza o da entrambi. Stiamo inoltre costruendo una rete di partner composta da studi di rappresentanza stabiliti nell'Unione; oggi non assumiamo mandati di rappresentanza.

Le conviene nominare un rappresentante autorizzato?

La nomina del rappresentante autorizzato è facoltativa ai sensi dell'articolo 18, paragrafo 1, del Regolamento sulla cibersicurezza. La decisione è operativa, non giuridica: i benefici pratici di avere un punto di contatto giuridico stabilito nell'Unione superano il costo del mandato? I fattori che seguono coprono i ragionamenti tipici.

Fattore

A favore della nomina

Contro la nomina

Presenza del fabbricante nell'UE

Il fabbricante è stabilito fuori dall'Unione e non dispone di alcun ufficio nell'UE in grado di gestire in modo credibile la corrispondenza con le autorità di vigilanza del mercato.

Il fabbricante è stabilito nell'Unione oppure ha una filiale nell'UE che già gestisce la corrispondenza regolamentare.

Altri strumenti dell'UE

Il prodotto rientra anche nell'ambito di MDR o RED, entrambi i quali esigono un rappresentante autorizzato per i fabbricanti stabiliti fuori dall'UE. Riutilizzare lo stesso studio di rappresentanza per l'ambito del Regolamento sulla cibersicurezza è operativamente più semplice.

Il prodotto rientra esclusivamente nell'ambito del Regolamento sulla cibersicurezza, senza alcun obbligo parallelo di rappresentanza MDR o RED già in essere.

Corrispondenza con le autorità

Vuole che la corrispondenza con le autorità di vigilanza del mercato passi attraverso un referente locale nell'UE, nella lingua e nel fuso orario dello Stato membro competente.

Non ha difficoltà a gestire direttamente dalla sede del fabbricante le risposte alle richieste motivate previste dall'articolo 18, paragrafo 3, lettera b).

Custodia documentale

Vuole che la conservazione decennale della dichiarazione UE di conformità e della documentazione tecnica sia in capo a un custode stabilito nell'Unione.

Gestisce già una piattaforma interna di evidenze che mantiene la documentazione accessibile alle autorità su richiesta.

Canale dell'importatore

Ha più importatori o distributori nell'UE e vuole un unico rappresentante autorizzato nominato su tutto il canale, invece di frammentare la responsabilità.

Ha un unico importatore di fiducia nell'UE che già gestisce le verifiche dell'articolo 19 e la conservazione documentale.

Nessuno di questi fattori genera un obbligo di legge. Il Regolamento sulla cibersicurezza non sanziona l'assenza del rappresentante autorizzato. Sono leve operative; la maggior parte dei fabbricanti stabiliti fuori dall'UE nei settori regolamentati finisce per nominarlo perché la semplificazione operativa vale più del costo del mandato.

Ha deciso che nominare un rappresentante autorizzato è la scelta giusta? Stiamo costruendo una rete di partner composta da studi di rappresentanza stabiliti nell'Unione con esperienza in MDR, RED e RoHS. Ci indichi il prodotto e lo Stato membro, le presenteremo un partner non appena firmiamo un accordo coerente →

Di cosa risponde il rappresentante autorizzato, articolo 18, paragrafo 3

L'ambito del mandato è fissato dal fabbricante per iscritto, ma deve coprire almeno i tre compiti seguenti. Sono i primi su cui le autorità di vigilanza del mercato eserciteranno pressione.

Articolo 18, paragrafo 3, lettera a)

Mantenere a disposizione delle autorità la dichiarazione UE di conformità e la documentazione tecnica dell'Allegato VII per dieci anni.

mantenere a disposizione delle autorità di vigilanza del mercato la dichiarazione di conformità UE di cui all'articolo 28 e la documentazione tecnica di cui all'articolo 31 per un periodo di almeno dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per la durata del periodo di assistenza, se quest'ultimo è superiore

Articolo 18, paragrafo 3, lettera b)

Fornire documentazione e informazioni alle autorità a seguito di richiesta motivata.

a seguito di una richiesta motivata di un'autorità di vigilanza del mercato, fornire a tale autorità tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali

Articolo 18, paragrafo 3, lettera c)

Collaborare con le autorità sulle azioni correttive e sull'eliminazione dei rischi.

collaborare con le autorità di vigilanza del mercato, su richiesta di queste ultime, a qualsiasi azione intrapresa per eliminare i rischi posti da un prodotto con elementi digitali che rientra nel suo mandato

Rappresentante autorizzato e importatore: ruoli indipendenti

Il rappresentante autorizzato dell'articolo 18 e l'importatore dell'articolo 19 sono ruoli distinti con presupposti distinti. Il rappresentante autorizzato esiste quando il fabbricante decide di nominarlo; l'importatore esiste per fatto commerciale, quando un soggetto stabilito nell'Unione immette sul mercato il prodotto di un fabbricante stabilito fuori dall'UE. Nessuno dei due sostituisce l'altro, in nessuna direzione.

Rappresentante autorizzato · art. 18

Importatore nell'UE · art. 19

Presupposto

Facoltativo. Il fabbricante può nominare un rappresentante autorizzato mediante mandato scritto (articolo 18, paragrafo 1).

Status per definizione. Chiunque, stabilito nell'Unione, immetta sul mercato il prodotto recante il nome o il marchio di un fabbricante stabilito fuori dall'UE è l'importatore (articolo 3, punto 14).

Si origina da

Mandato scritto del fabbricante a una persona giuridica o fisica stabilita nell'Unione.

Il canale commerciale di fornitura. Nessuna nomina, nessun mandato.

Ambito massimo

Mantenere la dichiarazione UE di conformità e la documentazione tecnica per almeno dieci anni; fornirle a seguito di richiesta motivata delle autorità di vigilanza del mercato; collaborare sulle azioni correttive (articolo 18, paragrafo 3). L'articolo 18, paragrafo 2, esclude gli obblighi sostanziali dell'articolo 13.

Verificare la valutazione della conformità, la marcatura CE, la dichiarazione UE di conformità e le istruzioni per l'utilizzatore; conservare la documentazione per almeno dieci anni; collaborare con le autorità; segnalare i sospetti di non conformità e le vulnerabilità di cui si viene a conoscenza (articolo 19, paragrafi da 1 a 8).

Sostituisce l'altro?

No. La nomina del rappresentante autorizzato non solleva dagli obblighi di importatore chi immette il prodotto sul mercato dell'Unione.

No. Gli obblighi dell'importatore dell'articolo 19 sussistono in modo indipendente. Non creano né rimuovono alcuna nomina di rappresentante autorizzato.

È ammessa la stessa entità?

Sì. Un unico studio stabilito nell'Unione può assumere sia il mandato di rappresentante autorizzato sia il ruolo di importatore, con mandati scritti separati e una copertura assicurativa che copra entrambi.

Implicazione pratica: la scelta di nominare un rappresentante autorizzato è indipendente da chi importa il prodotto. Un importatore nell'UE non solleva il fabbricante da alcun obbligo di cibersicurezza, e un rappresentante autorizzato non solleva l'importatore da alcun obbligo dell'articolo 19. Se desidera che un unico partner nell'UE assuma entrambi i ruoli, è ammesso; le occorre un mandato scritto di rappresentanza distinto dal contratto commerciale di fornitura e una copertura assicurativa che copra entrambe le funzioni.

Cosa cercare nella nomina del rappresentante autorizzato

Se il suo panorama di fornitori include studi già attivi su MDR, RED o RoHS, è un punto di partenza ragionevole. Le verifiche specifiche del Regolamento sulla cibersicurezza riportate di seguito sono ciò che distingue un rappresentante autorizzato solido da uno che entrerà in difficoltà quando arriverà la prima lettera dell'autorità.

Sede: Persona giuridica stabilita nell'Unione in uno Stato membro, con sede legale e referente locale.
Assicurazione: Polizza di responsabilità civile professionale con copertura estesa esplicitamente all'ambito del Regolamento sulla cibersicurezza e alle classificazioni di prodotto dell'Allegato III.
Esperienza settoriale: Esperienza dimostrabile in MDR, atto delegato cibersicurezza della RED o RoHS, gli studi che oggi si stanno riconvertendo con credibilità al Regolamento sulla cibersicurezza.
Custodia documentale: Piattaforma conforme all'obbligo di conservazione decennale, con pista di audit a prova di manomissione ed esportazioni pronte per le autorità.
Responsabilità nominativa: Una persona fisica nominata che risponde alle autorità, non una casella generica dell'ufficio legale.
Lingua: Capacità di gestire la cooperazione sulle azioni correttive prevista dall'articolo 18, paragrafo 3, lettera c), nella lingua dell'autorità dello Stato membro competente.

Sa cosa cerca, ma non da dove iniziare? Salti la fase di ricerca a freddo. Richieda una presentazione con un rappresentante autorizzato non appena la nostra rete di partner sarà attiva →

Come CRA Evidence sostiene l'articolo 18

Sia che il fabbricante mantenga la custodia documentale al proprio interno, sia che la affidi a un rappresentante autorizzato esterno, sia che ripartisca il lavoro con un importatore nell'UE, i compiti operativi restano gli stessi: mantenere un fascicolo tecnico completo, consegnarlo alle autorità a seguito di richiesta motivata e registrare le azioni correttive. CRA Evidence è la piattaforma che sostiene questo lavoro, con o senza rappresentante autorizzato.

Articolo 18, paragrafo 3, lettera a)

Mantenere la dichiarazione UE di conformità e la documentazione tecnica dell'Allegato VII per almeno dieci anni

Pacchetti dell'Allegato VII, dichiarazioni UE di conformità firmate e SBOM, VEX e valutazioni di rischio sottostanti, conservati con una rigida politica di conservazione decennale e un registro di audit a prova di manomissione.

Esportazione del fascicolo tecnico che impacchetta l'Allegato VII in un file ZIP leggibile dalla macchina con manifesto.
Certificati di conformità che emettono dichiarazioni UE di conformità in PDF multilingue (modulo A / B+C / H / EUCC); immutabili dopo l'emissione.
Firma degli artefatti (Sigstore senza chiave o con chiave) che scrive le firme su un registro di trasparenza ai fini del non ripudio.
Conservazione decennale di SBOM, documenti, eventi di audit e registri di vulnerabilità, senza cancellazione anticipata al cambio di piano.

Articolo 18, paragrafo 3, lettera b)

Fornire tutto a un'autorità di vigilanza del mercato a seguito di richiesta motivata

Quando un'autorità scrive, il rappresentante autorizzato dispone di una richiesta numerata, di una scadenza e di un pacchetto di evidenze a portata di clic. Niente ricerche affannose tra dischi, nessun documento mancante.

Servizio richieste delle autorità che acquisisce le richieste delle autorità di vigilanza del mercato con tracciatura AUTH-AAAA-NNNN, scadenze e rilevazione dei ritardi.
Composizione del pacchetto di risposta che riunisce in un ZIP manifesto, informazioni di prodotto, verifiche della filiera, pista di audit e README pronti all'invio.
Vista unificata delle evidenze che normalizza SBOM, HBOM, VEX, documenti, certificati e istruzioni per l'utilizzatore dell'Allegato II in un unico indice interrogabile.
Portale fornitori che concede accesso esterno con token delimitati e tracciato in audit alle autorità o alle controparti della filiera.

Articolo 18, paragrafo 3, lettera c)

Collaborare sulle azioni correttive e sull'eliminazione dei rischi

La gestione delle vulnerabilità, i VEX e i registri delle azioni correttive sono tutti scritti sulla stessa base di evidenze tracciata in audit, così il rappresentante autorizzato può mostrare alle autorità cosa è stato fatto, quando e da chi.

Ciclo di vita della richiesta dell'autorità: ricevuta → presa in carico → in_corso → risposta → chiusa, con registrazione del metodo di risposta, del riferimento e dell'elenco dei documenti.
Automazione VEX (CycloneDX, CSAF, OpenVEX) che registra le decisioni di sfruttabilità per ciascuna evidenza.
Flusso di notifica a ENISA per le scadenze di 24, 72 e 14 giorni dell'articolo 14 (in sviluppo attivo).
Pista di audit che registra ogni aggiornamento di versione, modifica documentale e approvazione, con la tracciabilità completa delle azioni correttive.

Se nomina un rappresentante autorizzato, il mandato è in capo a lui. In ogni caso, le evidenze restano su CRA Evidence. Veda come funziona davvero un passaggio di consegne dell'articolo 18 sulla piattaforma, gratis per 14 giorni, senza carta di credito.

Lo provi su CRA Evidence Le serve aiuto per trovare un rappresentante autorizzato?

Articolo 18 e articolo 19, testo integrale

Dal Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali. Riprodotto a titolo di riferimento; fa fede il testo consolidato di EUR-Lex.

Articolo 18 · Rappresentanti autorizzati

1. Un fabbricante può nominare, mediante mandato scritto, un rappresentante autorizzato.

2. Gli obblighi di cui all'articolo 13, paragrafi da 1 a 11, paragrafo 12, primo comma, e paragrafo 14, non rientrano nel mandato del rappresentante autorizzato.

3. Il rappresentante autorizzato esegue i compiti specificati nel mandato ricevuto dal fabbricante. Il rappresentante autorizzato fornisce una copia del mandato alle autorità di vigilanza del mercato su richiesta. Tale mandato consente al rappresentante autorizzato di svolgere almeno i seguenti compiti:

a) mantenere a disposizione delle autorità di vigilanza del mercato la dichiarazione di conformità UE di cui all'articolo 28 e la documentazione tecnica di cui all'articolo 31 per un periodo di almeno dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per la durata del periodo di assistenza, se quest'ultimo è superiore;

b) a seguito di una richiesta motivata di un'autorità di vigilanza del mercato, fornire a tale autorità tutte le informazioni e la documentazione necessarie a dimostrare la conformità del prodotto con elementi digitali;

c) collaborare con le autorità di vigilanza del mercato, su richiesta di queste ultime, a qualsiasi azione intrapresa per eliminare i rischi posti da un prodotto con elementi digitali che rientra nel suo mandato.

Sorgente · EUR-Lex CELEX 32024R2847, articolo 18 (testo letterale)

Articolo 19 · Obblighi degli importatori (indipendenti dalla nomina del rappresentante autorizzato)

1. Gli importatori immettono sul mercato solo prodotti con elementi digitali conformi ai requisiti essenziali di cibersicurezza di cui all'allegato I, parte I, e laddove i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all'allegato I, parte II.

2. Prima di immettere un prodotto con elementi digitali sul mercato gli importatori si accertano che:

a) il fabbricante abbia eseguito le procedure di valutazione della conformità appropriate di cui all'articolo 32;

b) il fabbricante abbia redatto la documentazione tecnica;

c) il prodotto con elementi digitali rechi la marcatura CE di cui all'articolo 30 e sia accompagnato dalla dichiarazione di conformità UE di cui all'articolo 13, paragrafo 20, e dalle informazioni e dalle istruzioni per l'utilizzatore di cui all'allegato II, redatte in una lingua facilmente comprensibile per gli utilizzatori e le autorità di vigilanza del mercato;

d) il fabbricante abbia soddisfatto i requisiti di cui all'articolo 13, paragrafi 15, 16 e 19.

I paragrafi successivi dell'articolo 19 (paragrafi da 3 a 8) disciplinano la gestione della non conformità, l'identificazione dell'importatore sul prodotto, le misure correttive e la notifica delle vulnerabilità, la conservazione documentale decennale, la risposta alle richieste motivate delle autorità di vigilanza del mercato e l'obbligo di informare le autorità e gli utilizzatori quando il fabbricante cessa l'attività. Tali obblighi si applicano a chiunque agisca come importatore nell'UE, indipendentemente da qualsiasi nomina del rappresentante autorizzato dell'articolo 18.

Sorgente · EUR-Lex CELEX 32024R2847, articolo 19 (testo letterale, paragrafi 1 e 2; da 3 a 8 in sintesi)

Domande frequenti

La nomina del rappresentante autorizzato è obbligatoria ai sensi del Regolamento sulla cibersicurezza?

No. L'articolo 18, paragrafo 1, del Regolamento (UE) 2024/2847 recita testualmente: «Un fabbricante può nominare, mediante mandato scritto, un rappresentante autorizzato.» È una formulazione permissiva. Il Regolamento sulla cibersicurezza non impone la nomina del rappresentante autorizzato come condizione per immettere prodotti sul mercato dell'Unione, neanche ai fabbricanti stabiliti fuori dall'UE. Questo differisce dall'articolo 11 del MDR e dall'articolo 5 della RED, che invece la impongono ai fabbricanti stabiliti fuori dall'UE. Se un prodotto del Regolamento sulla cibersicurezza rientra anche nell'ambito di MDR o RED, l'obbligo di rappresentanza previsto da tali strumenti continua ad applicarsi.

Perché un fabbricante stabilito fuori dall'UE nominerebbe comunque un rappresentante autorizzato ai sensi del Regolamento sulla cibersicurezza?

Diverse ragioni pratiche. Un unico punto di contatto giuridico stabilito nell'Unione riduce gli attriti con le autorità di vigilanza del mercato, che preferiscono trattare con un soggetto nella propria giurisdizione e lingua. Il rappresentante autorizzato può mantenere localmente la dichiarazione UE di conformità e la documentazione tecnica per il periodo di conservazione decennale previsto dall'articolo 18, paragrafo 3, lettera a). Molti fabbricanti stabiliti fuori dall'UE hanno già un rappresentante autorizzato per MDR o RED e trovano operativamente più semplice estendere quell'accordo all'ambito del Regolamento sulla cibersicurezza. Infine, un rappresentante autorizzato nell'UE chiaramente identificato può accorciare i tempi di risposta quando arriva una richiesta motivata ai sensi dell'articolo 18, paragrafo 3, lettera b).

Cosa può e cosa non può essere delegato a un rappresentante autorizzato del Regolamento sulla cibersicurezza?

L'articolo 18, paragrafo 2, esclude espressamente dal mandato del rappresentante autorizzato gli obblighi di cui all'articolo 13, paragrafi da 1 a 11, paragrafo 12, primo comma, e paragrafo 14. Gli obblighi sostanziali di cibersicurezza (requisiti essenziali, gestione delle vulnerabilità, valutazione della conformità) non possono essere trasferiti al rappresentante autorizzato. L'articolo 18, paragrafo 3, fissa l'ambito massimo di ciò che il rappresentante autorizzato può fare: mantenere la dichiarazione UE di conformità e la documentazione tecnica per almeno dieci anni, fornire informazioni e documentazione alle autorità a seguito di richiesta motivata e collaborare alle azioni intraprese per eliminare i rischi. Il fabbricante resta sempre il soggetto giuridicamente responsabile degli obblighi sostanziali di cibersicurezza.

Qual è la differenza fra il rappresentante autorizzato del Regolamento sulla cibersicurezza e un importatore nell'UE?

Sono ruoli indipendenti. Per la definizione dell'articolo 3, l'importatore è il soggetto stabilito nell'Unione che immette sul mercato dell'Unione un prodotto recante il nome o il marchio di un fabbricante stabilito fuori dall'UE. Gli importatori assumono i propri obblighi dell'articolo 19 a prescindere dall'esistenza di un rappresentante autorizzato. Il rappresentante autorizzato, una volta nominato, assume i compiti dell'articolo 18, paragrafo 3, elencati nel mandato. Non si sostituiscono fra loro: il ruolo dell'importatore è attivato dal canale commerciale di fornitura, quello del rappresentante autorizzato da un mandato scritto. Un unico soggetto nell'UE può assumere entrambi, con documenti separati.

Il mio importatore o distributore nell'UE può agire come rappresentante autorizzato?

Sì. Il Regolamento sulla cibersicurezza non vieta a un unico soggetto stabilito nell'Unione di assumere contemporaneamente il ruolo commerciale di importatore o distributore e il mandato di rappresentante autorizzato. Le funzioni restano giuridicamente distinte: l'importatore assume gli obblighi dell'articolo 19 derivanti dal rapporto commerciale di fornitura, il rappresentante autorizzato assume i compiti dell'articolo 18, paragrafo 3, derivanti da un mandato scritto. Per combinarli occorrono un mandato scritto di rappresentanza distinto che copra espressamente l'articolo 18, paragrafo 3, una polizza di responsabilità civile professionale adeguata per entrambi i ruoli e una linea contrattuale chiara fra le due funzioni.

Il rappresentante autorizzato risponde dei difetti del prodotto o solo degli obblighi documentali?

Il rappresentante autorizzato risponde solo dei compiti elencati nel mandato scritto, che nel Regolamento sulla cibersicurezza sono delimitati dall'articolo 18, paragrafo 3: custodia documentale, capacità di risposta alle autorità e collaborazione sulle azioni correttive. L'articolo 18, paragrafo 2, esclude espressamente dal mandato gli obblighi sostanziali dell'articolo 13. La responsabilità per difetti del prodotto e gli obblighi sottostanti di cibersicurezza restano in capo al fabbricante. La normativa nazionale di alcuni Stati membri può estendere ulteriormente l'esposizione del rappresentante autorizzato, quindi conviene redigere il mandato con cura.

Il rappresentante autorizzato del Regolamento sulla cibersicurezza è lo stesso di un rappresentante autorizzato MDR o RED?

Il concetto di rappresentante autorizzato è condiviso fra varie normative europee di prodotto, ma i regimi non sono identici. L'articolo 11 del MDR rende obbligatoria la nomina per i fabbricanti stabiliti fuori dall'UE e impone compiti più ampi, specifici del settore sanitario, inclusa la vigilanza. L'articolo 5 della RED la rende obbligatoria anch'esso per i fabbricanti stabiliti fuori dall'UE. L'articolo 18, paragrafo 1, del Regolamento sulla cibersicurezza la lascia facoltativa. I compiti dell'articolo 18, paragrafo 3, sono più ristretti e incentrati su documentazione, richieste delle autorità e collaborazione sulle azioni correttive. Uno studio già attivo su MDR o RED è un buon punto di partenza, ma il mandato va rifatto per l'ambito del Regolamento sulla cibersicurezza e per le regole di non delegabilità dell'articolo 18, paragrafo 2.

Il rappresentante autorizzato firma la dichiarazione UE di conformità?

No. La dichiarazione UE di conformità è redatta e firmata dal fabbricante ai sensi dell'articolo 28. Il rappresentante autorizzato, una volta nominato, mantiene la dichiarazione UE di conformità firmata e la documentazione tecnica a disposizione delle autorità di vigilanza del mercato ai sensi dell'articolo 18, paragrafo 3, lettera a), ma l'atto di dichiarare la conformità è di responsabilità del fabbricante e l'articolo 18, paragrafo 2, lo tiene fuori dal mandato del rappresentante autorizzato.

Posso cambiare rappresentante autorizzato dopo la nomina?

Sì. Il mandato è un contratto fra il fabbricante e il rappresentante autorizzato e ciascuna parte può recedere nei termini previsti. Al cambio, il nuovo rappresentante autorizzato assume la custodia della documentazione tecnica e della dichiarazione UE di conformità, e il fabbricante deve aggiornare le informazioni di contatto comunicate alle autorità di vigilanza del mercato. Conviene prevedere nel modello di mandato un passaggio esplicito di consegne.