Art. 5
Vigilanza nazionale
1. L'Agenzia realizza l'attivita' di vigilanza del mercato in
ambito nazionale ai fini della corretta applicazione delle regole
previste dai sistemi europei di certificazione della cybersicurezza,
con riferimento ai certificati di cybersicurezza ed alle
dichiarazioni UE di conformita' emessi nel territorio dello Stato, ai
sensi dell'articolo 58, paragrafo 7, lettere a) e b), del
Regolamento, vigilando sui fornitori e fabbricanti emittenti le
dichiarazioni UE di conformita', sui titolari di certificati europei
di cybersicurezza e sugli organismi di valutazione della conformita',
ai sensi dell'articolo 58, paragrafo 8, del Regolamento. L'Agenzia,
inoltre, ai sensi dell'articolo 58, paragrafo 7, lettere c), d) ed
e), del Regolamento:
a) fatto salvo l'articolo 60, paragrafo 3, del Regolamento
nonche' quanto stabilito alla lettera b) del presente comma, assiste
e sostiene attivamente l'Organismo di accreditamento nel monitoraggio
e nella vigilanza delle attivita' degli organismi di valutazione
della conformita' ai fini del Regolamento. Le modalita' di sostegno
ed assistenza dell'Agenzia all'Organismo di accreditamento per
l'attivita' di vigilanza sono disciplinate da apposita convenzione o
protocollo di intesa fra i medesimi soggetti;
b) monitora e vigila sulle attivita' degli organismi di
valutazione della conformita' pubblici di cui all'articolo 56,
paragrafo 5, lettera b), del Regolamento;
c) ove previsto dal sistema di certificazione ai sensi
dell'articolo 54, paragrafo 1, lettera f), del Regolamento, autorizza
gli organismi di valutazione della conformita' a norma dell'articolo
60, paragrafo 3, del Regolamento, e limita, sospende o revoca
l'autorizzazione esistente qualora violino le prescrizioni del
Regolamento medesimo, dandone notizia all'Organismo di
accreditamento.
2. L'Agenzia, nello svolgimento dell'attivita' di vigilanza di cui
al comma 1, opera anche in collaborazione con altre autorita' di
vigilanza del mercato competenti in Italia e con le autorita' di
vigilanza degli altri Stati membri ai sensi dell'articolo 58,
paragrafo 7, lettere a) ed h), del Regolamento. L'Agenzia esegue
l'attivita' di vigilanza di cui al comma 1 anche in collaborazione
con le Forze dell'ordine.
3. L'Agenzia, nell'attivita' di vigilanza di cui al comma 1, puo'
effettuare, nei confronti degli organismi di valutazione della
conformita', dei titolari dei certificati europei di cybersicurezza e
degli emittenti le dichiarazioni di conformita' UE, indagini ed
audit, ottenendo informazioni anche tramite l'accesso ai locali degli
organismi di valutazione della conformita' o dei titolari dei
certificati europei di cybersicurezza, revocare certificati ai sensi
del comma 4, irrogare sanzioni pecuniarie ed accessorie ai sensi
dell'articolo 10. L'attivita' di vigilanza dell'Agenzia puo'
prevedere prelievi di prodotti.
4. Nel caso in cui l'Agenzia, in esito alle attivita' di vigilanza
di cui al comma 1, accerti l'emissione di un certificato non
conforme, rilasciato ai sensi dell'articolo 56, paragrafi 4, 5,
lettera b), o 6, lettere a) e b), del Regolamento, il certificato e'
sottoposto a revoca:
a) per il livello di affidabilita' elevato;
b) per il livello di affidabilita' di base o sostanziale nel caso
in cui il certificato non conforme sia relativo ad un prodotto TIC,
servizio TIC o processo TIC che ha comportato un concreto e
dimostrato pregiudizio ad un servizio essenziale ai sensi
dell'allegato II del decreto legislativo 18 maggio 2018, n. 65, o a
un servizio di comunicazione elettronica ai sensi dell'articolo 2,
comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n.
259, o alla salute o all'incolumita' personale;
c) se previsto espressamente dallo specifico sistema europeo di
certificazione.
5. Nella fattispecie di cui alla lettera a) del comma 4 l'Agenzia
provvede direttamente alla revoca del certificato. Nella fattispecie
di cui alla lettera b) del comma 4 l'Agenzia chiede all'organismo
emittente il certificato di provvedere alla revoca del certificato
entro e non oltre cinque giorni e, in caso di inottemperanza,
provvede direttamente entro i successivi cinque giorni. Nella
fattispecie di cui alla lettera c) del comma 4 si provvede in base
alle regole stabilite dal sistema specifico di certificazione.
6. Accertata l'emissione di un certificato non conforme rilasciato
ai sensi dell'articolo 56, paragrafi 4, 5, lettera b), o 6, lettere
a) e b), del Regolamento, in esito alle attivita' di vigilanza di cui
al comma 1, fatti salvi i casi di revoca di cui alle lettere a), b) o
c) del comma 4, l'Agenzia chiede all'organismo che ha emesso il
certificato di ripetere in tutto o in parte l'attivita' di
valutazione o integrare l'attivita' di valutazione con ulteriori
verifiche e ricondurre il certificato a conformita' entro centoventi
giorni o revocare il certificato. In caso di mancata riconduzione a
conformita' o mancata revoca del certificato non conforme da parte
dell'organismo, il certificato decade. La riconduzione a conformita'
o la revoca del certificato sono divulgate ai sensi dell'articolo 54,
paragrafo 1, lettera s), del Regolamento.
7. L'Agenzia, per le prove tecniche nell'ambito delle attivita' di
cui al comma 1, puo' effettuare valutazioni di sicurezza informatica
anche attraverso esperti esterni o laboratori di prova abilitati
dall'Agenzia, ai sensi dell'articolo 8, comma 4, e iscritti
nell'elenco dei laboratori di prova e degli esperti per le attivita'
di vigilanza nazionale.
8. E' fatto obbligo agli organismi di valutazione della
conformita', ai titolari dei certificati europei di cybersicurezza ed
agli emittenti delle dichiarazioni di conformita' durante l'attivita'
di vigilanza a cui sono sottoposti di cooperare con l'Agenzia
nell'attivita' di verifica sui certificati e sulle dichiarazioni UE
da essi emessi. Gli stessi mettono a disposizione, su richiesta
dell'Agenzia, tutti i documenti di valutazione necessari per
dimostrare la conformita' dei certificati e le dichiarazioni oggetto
di verifica da parte dell'Agenzia assieme agli strumenti di
valutazione eventualmente forniti dal fabbricante o dal fornitore
nell'attivita' di valutazione come indicato nei rapporti di
valutazione. L'onere della prova della conformita' di certificati e
dichiarazioni e' in capo agli organismi di valutazione della
conformita', ai titolari dei certificati o agli emittenti delle
dichiarazioni di conformita'.
9. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre
2012, n. 234, gli oneri derivanti dall'applicazione dei commi 3, 8 e
9 per i controlli effettuati dall'Agenzia e relativi in particolare
all'impiego del personale in forza all'Agenzia, della strumentazione
utilizzata nelle prove e dei materiali di consumo e per le missioni e
spese generali, sono a carico dell'organismo di valutazione della
conformita', del titolare del certificato o dell'emittente della
dichiarazione UE di conformita' sottoposto all'attivita' di
vigilanza. Nel caso in cui l'attivita' di vigilanza includa ulteriori
spese, tra cui l'utilizzo di laboratori di prova esterni ed eventuali
spese di trasporto per prodotti prelevati o sequestrati da sottoporre
a verifica, le ulteriori spese sono ugualmente a carico del soggetto
sottoposto all'attivita' di vigilanza. Le somme di cui al presente
comma sono determinate e sono da corrispondere ai sensi dell'articolo
13.
Note all'art. 5:
- Il decreto legislativo 18 maggio 2018, n. 65, recante
attuazione della direttiva (UE) 2016/1148 del Parlamento
europeo e del Consiglio, del 6 luglio 2016, recante misure
per un livello comune elevato di sicurezza delle reti e dei
sistemi informativi nell'Unione, e' pubblicato nella GU
n.132 del 9 giugno 2018.
- Si riporta il testo dell'articolo 2, comma 1, lettera
fff), del decreto legislativo 1° agosto 2003, n. 259,
recante codice delle comunicazioni elettroniche:
«Art. 2 (Definizioni). - Omissis.
fff) servizio di comunicazione elettronica: i
servizi, forniti di norma a pagamento su reti di
comunicazioni elettroniche, che comprendono, con
l'eccezione dei servizi che forniscono contenuti trasmessi
utilizzando reti e servizi di comunicazione elettronica o
che esercitano un controllo editoriale su tali contenuti, i
tipi di servizi seguenti:
1) servizio di accesso a internet quale definito
all'articolo 2, secondo comma, punto 2), del regolamento
(UE) 2015/2120;
2) servizio di comunicazione interpersonale;
3) servizi consistenti esclusivamente o
prevalentemente nella trasmissione di segnali come i
servizi di trasmissione utilizzati per la fornitura di
servizi da macchina a macchina e per la diffusione
circolare radiotelevisiva;
Omissis.».
- Si riporta il testo dell'articolo 30, commi 4 e 5,
della citata legge 24 dicembre 2012, n. 234:
«Art. 30 (Contenuti della legge di delegazione
europea e della legge europea). - Omissis.
4. Gli oneri relativi a prestazioni e a controlli da
eseguire da parte di uffici pubblici, ai fini
dell'attuazione delle disposizioni dell'Unione europea di
cui alla legge di delegazione europea per l'anno di
riferimento e alla legge europea per l'anno di riferimento,
sono posti a carico dei soggetti interessati, ove cio' non
risulti in contrasto con la disciplina dell'Unione europea,
secondo tariffe determinate sulla base del costo effettivo
del servizio reso. Le tariffe di cui al primo periodo sono
predeterminate e pubbliche.
5. Le entrate derivanti dalle tariffe determinate ai
sensi del comma 4 sono attribuite, nei limiti previsti
dalla legislazione vigente, alle amministrazioni che
effettuano le prestazioni e i controlli, mediante
riassegnazione ai sensi del regolamento di cui al decreto
del Presidente della Repubblica 10 novembre 1999, n. 469.
Omissis.».