Art. 5 Vigilanza nazionale 1. L'Agenzia realizza l'attivita' di vigilanza del mercato in ambito nazionale ai fini della corretta applicazione delle regole previste dai sistemi europei di certificazione della cybersicurezza, con riferimento ai certificati di cybersicurezza ed alle dichiarazioni UE di conformita' emessi nel territorio dello Stato, ai sensi dell'articolo 58, paragrafo 7, lettere a) e b), del Regolamento, vigilando sui fornitori e fabbricanti emittenti le dichiarazioni UE di conformita', sui titolari di certificati europei di cybersicurezza e sugli organismi di valutazione della conformita', ai sensi dell'articolo 58, paragrafo 8, del Regolamento. L'Agenzia, inoltre, ai sensi dell'articolo 58, paragrafo 7, lettere c), d) ed e), del Regolamento: a) fatto salvo l'articolo 60, paragrafo 3, del Regolamento nonche' quanto stabilito alla lettera b) del presente comma, assiste e sostiene attivamente l'Organismo di accreditamento nel monitoraggio e nella vigilanza delle attivita' degli organismi di valutazione della conformita' ai fini del Regolamento. Le modalita' di sostegno ed assistenza dell'Agenzia all'Organismo di accreditamento per l'attivita' di vigilanza sono disciplinate da apposita convenzione o protocollo di intesa fra i medesimi soggetti; b) monitora e vigila sulle attivita' degli organismi di valutazione della conformita' pubblici di cui all'articolo 56, paragrafo 5, lettera b), del Regolamento; c) ove previsto dal sistema di certificazione ai sensi dell'articolo 54, paragrafo 1, lettera f), del Regolamento, autorizza gli organismi di valutazione della conformita' a norma dell'articolo 60, paragrafo 3, del Regolamento, e limita, sospende o revoca l'autorizzazione esistente qualora violino le prescrizioni del Regolamento medesimo, dandone notizia all'Organismo di accreditamento. 2. L'Agenzia, nello svolgimento dell'attivita' di vigilanza di cui al comma 1, opera anche in collaborazione con altre autorita' di vigilanza del mercato competenti in Italia e con le autorita' di vigilanza degli altri Stati membri ai sensi dell'articolo 58, paragrafo 7, lettere a) ed h), del Regolamento. L'Agenzia esegue l'attivita' di vigilanza di cui al comma 1 anche in collaborazione con le Forze dell'ordine. 3. L'Agenzia, nell'attivita' di vigilanza di cui al comma 1, puo' effettuare, nei confronti degli organismi di valutazione della conformita', dei titolari dei certificati europei di cybersicurezza e degli emittenti le dichiarazioni di conformita' UE, indagini ed audit, ottenendo informazioni anche tramite l'accesso ai locali degli organismi di valutazione della conformita' o dei titolari dei certificati europei di cybersicurezza, revocare certificati ai sensi del comma 4, irrogare sanzioni pecuniarie ed accessorie ai sensi dell'articolo 10. L'attivita' di vigilanza dell'Agenzia puo' prevedere prelievi di prodotti. 4. Nel caso in cui l'Agenzia, in esito alle attivita' di vigilanza di cui al comma 1, accerti l'emissione di un certificato non conforme, rilasciato ai sensi dell'articolo 56, paragrafi 4, 5, lettera b), o 6, lettere a) e b), del Regolamento, il certificato e' sottoposto a revoca: a) per il livello di affidabilita' elevato; b) per il livello di affidabilita' di base o sostanziale nel caso in cui il certificato non conforme sia relativo ad un prodotto TIC, servizio TIC o processo TIC che ha comportato un concreto e dimostrato pregiudizio ad un servizio essenziale ai sensi dell'allegato II del decreto legislativo 18 maggio 2018, n. 65, o a un servizio di comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n. 259, o alla salute o all'incolumita' personale; c) se previsto espressamente dallo specifico sistema europeo di certificazione. 5. Nella fattispecie di cui alla lettera a) del comma 4 l'Agenzia provvede direttamente alla revoca del certificato. Nella fattispecie di cui alla lettera b) del comma 4 l'Agenzia chiede all'organismo emittente il certificato di provvedere alla revoca del certificato entro e non oltre cinque giorni e, in caso di inottemperanza, provvede direttamente entro i successivi cinque giorni. Nella fattispecie di cui alla lettera c) del comma 4 si provvede in base alle regole stabilite dal sistema specifico di certificazione. 6. Accertata l'emissione di un certificato non conforme rilasciato ai sensi dell'articolo 56, paragrafi 4, 5, lettera b), o 6, lettere a) e b), del Regolamento, in esito alle attivita' di vigilanza di cui al comma 1, fatti salvi i casi di revoca di cui alle lettere a), b) o c) del comma 4, l'Agenzia chiede all'organismo che ha emesso il certificato di ripetere in tutto o in parte l'attivita' di valutazione o integrare l'attivita' di valutazione con ulteriori verifiche e ricondurre il certificato a conformita' entro centoventi giorni o revocare il certificato. In caso di mancata riconduzione a conformita' o mancata revoca del certificato non conforme da parte dell'organismo, il certificato decade. La riconduzione a conformita' o la revoca del certificato sono divulgate ai sensi dell'articolo 54, paragrafo 1, lettera s), del Regolamento. 7. L'Agenzia, per le prove tecniche nell'ambito delle attivita' di cui al comma 1, puo' effettuare valutazioni di sicurezza informatica anche attraverso esperti esterni o laboratori di prova abilitati dall'Agenzia, ai sensi dell'articolo 8, comma 4, e iscritti nell'elenco dei laboratori di prova e degli esperti per le attivita' di vigilanza nazionale. 8. E' fatto obbligo agli organismi di valutazione della conformita', ai titolari dei certificati europei di cybersicurezza ed agli emittenti delle dichiarazioni di conformita' durante l'attivita' di vigilanza a cui sono sottoposti di cooperare con l'Agenzia nell'attivita' di verifica sui certificati e sulle dichiarazioni UE da essi emessi. Gli stessi mettono a disposizione, su richiesta dell'Agenzia, tutti i documenti di valutazione necessari per dimostrare la conformita' dei certificati e le dichiarazioni oggetto di verifica da parte dell'Agenzia assieme agli strumenti di valutazione eventualmente forniti dal fabbricante o dal fornitore nell'attivita' di valutazione come indicato nei rapporti di valutazione. L'onere della prova della conformita' di certificati e dichiarazioni e' in capo agli organismi di valutazione della conformita', ai titolari dei certificati o agli emittenti delle dichiarazioni di conformita'. 9. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre 2012, n. 234, gli oneri derivanti dall'applicazione dei commi 3, 8 e 9 per i controlli effettuati dall'Agenzia e relativi in particolare all'impiego del personale in forza all'Agenzia, della strumentazione utilizzata nelle prove e dei materiali di consumo e per le missioni e spese generali, sono a carico dell'organismo di valutazione della conformita', del titolare del certificato o dell'emittente della dichiarazione UE di conformita' sottoposto all'attivita' di vigilanza. Nel caso in cui l'attivita' di vigilanza includa ulteriori spese, tra cui l'utilizzo di laboratori di prova esterni ed eventuali spese di trasporto per prodotti prelevati o sequestrati da sottoporre a verifica, le ulteriori spese sono ugualmente a carico del soggetto sottoposto all'attivita' di vigilanza. Le somme di cui al presente comma sono determinate e sono da corrispondere ai sensi dell'articolo 13.
Note all'art. 5: - Il decreto legislativo 18 maggio 2018, n. 65, recante attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, e' pubblicato nella GU n.132 del 9 giugno 2018. - Si riporta il testo dell'articolo 2, comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche: «Art. 2 (Definizioni). - Omissis. fff) servizio di comunicazione elettronica: i servizi, forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono, con l'eccezione dei servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti, i tipi di servizi seguenti: 1) servizio di accesso a internet quale definito all'articolo 2, secondo comma, punto 2), del regolamento (UE) 2015/2120; 2) servizio di comunicazione interpersonale; 3) servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina e per la diffusione circolare radiotelevisiva; Omissis.». - Si riporta il testo dell'articolo 30, commi 4 e 5, della citata legge 24 dicembre 2012, n. 234: «Art. 30 (Contenuti della legge di delegazione europea e della legge europea). - Omissis. 4. Gli oneri relativi a prestazioni e a controlli da eseguire da parte di uffici pubblici, ai fini dell'attuazione delle disposizioni dell'Unione europea di cui alla legge di delegazione europea per l'anno di riferimento e alla legge europea per l'anno di riferimento, sono posti a carico dei soggetti interessati, ove cio' non risulti in contrasto con la disciplina dell'Unione europea, secondo tariffe determinate sulla base del costo effettivo del servizio reso. Le tariffe di cui al primo periodo sono predeterminate e pubbliche. 5. Le entrate derivanti dalle tariffe determinate ai sensi del comma 4 sono attribuite, nei limiti previsti dalla legislazione vigente, alle amministrazioni che effettuano le prestazioni e i controlli, mediante riassegnazione ai sensi del regolamento di cui al decreto del Presidente della Repubblica 10 novembre 1999, n. 469. Omissis.».