Art. 10
Quadro sanzionatorio
1. L'Agenzia, anche ai sensi dell'articolo 7, comma 1, lettera e),
del decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, in caso di
violazione degli obblighi del quadro europeo di certificazione della
cybersicurezza, ai sensi degli articoli 58, paragrafo 8, lettera f),
e 65 del Regolamento irroga sanzioni pecuniarie ed accessorie,
chiedendo la cessazione immediata della violazione. Si applica, in
quanto compatibile, la disciplina della legge 24 novembre 1981, n.
689.
2. Salvo che il fatto costituisca reato, l'organismo di valutazione
della conformita' che emette un certificato di cybersicurezza non
conforme e' punito con la sanzione del pagamento di una somma da
15.000 euro a 75.000 euro. In caso di omessa revoca di un certificato
da parte dell'organismo su richiesta dell'Agenzia ai sensi
dell'articolo 5, comma 5, si applica la sanzione del pagamento di una
somma da 30.000 euro a 150.000 euro.
3. Salvo che il fatto costituisca reato, il fabbricante o fornitore
che emette una dichiarazione UE di conformita' volontaria non
conforme e' punito con la sanzione del pagamento di una somma da
15.000 euro a 75.000 euro. In caso di omessa revisione o revoca di
dichiarazione UE di conformita' volontaria o obbligatoria ai sensi
dell'articolo 7, comma 3, si applica la sanzione del pagamento di una
somma da 30.000 euro a 150.000 euro.
4. Salvo che il fatto costituisca reato, in caso di obbligatorieta'
di una dichiarazione UE di conformita', ai sensi dell'articolo 7,
comma 4, o di un certificato di cybersicurezza, ai sensi
dell'articolo 6, comma 3, il fabbricante o fornitore che mette a
disposizione sul mercato un prodotto TIC o servizio TIC privo di
dichiarazione UE di conformita' obbligatoria o con dichiarazione UE
di conformita' obbligatoria non conforme o in assenza del certificato
di cybersicurezza obbligatorio, e' punito con la sanzione del
pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima
sanzione e' assoggettato il fabbricante o fornitore che per la messa
a disposizione sul mercato di un prodotto TIC o di un servizio TIC si
avvale di un processo TIC privo di dichiarazione UE di conformita'
obbligatoria o con dichiarazione UE di conformita' obbligatoria non
conforme o in assenza di certificato di cybersicurezza obbligatorio.
5. Nei casi di cui al comma 4 oppure ove, in esito ad un
accertamento di non conformita' ai sensi dei commi 4, 5 o 6
dell'articolo 5, sia revocato o decada un certificato obbligatorio
per la messa a disposizione sul mercato di un prodotto TIC o di un
servizio TIC, l'Agenzia dispone il ritiro del prodotto o l'inibizione
del servizio dal mercato a carico esclusivo del fabbricante o del
fornitore indicando i tempi ed eventuali modalita' per il richiamo
dei prodotti gia' immessi sul mercato o per l'inibizione del
servizio;
6. Salvo che il fatto costituisca reato, il fabbricante che non
ottempera a quanto prescritto al comma 5 per il richiamo di prodotti
gia' immessi sul mercato e' assoggettato alla sanzione del pagamento
di una somma da 60.000 euro a 300.000 euro. Nel caso in cui il
fabbricante non ottemperi al richiamo di prodotti dal mercato,
l'Agenzia, trascorsi sei mesi dalla scadenza fissata, puo'
provvedere, al sequestro dei prodotti in questione dal mercato, a
spese del fabbricante.
7. Salvo che il fatto costituisca reato, il fornitore che non
ottempera a quanto prescritto al comma 5 per l'inibizione del
servizio dal mercato e' assoggettato alla sanzione amministrativa da
60.000 euro a 300.000 euro.
8. Salvo che il fatto costituisca reato, Il titolare di un
certificato europeo di cybersicurezza che non notifichi, ai sensi
dell'articolo 56, paragrafo 8, del Regolamento, eventuali
vulnerabilita' o irregolarita' rilevate in relazione alla sicurezza
dei prodotti TIC, servizi TIC o processi TIC certificati e' punito
con la sanzione del pagamento di una somma da 60.000 euro a 300.000
euro. Alla medesima sanzione e' assoggettato l'organismo di
valutazione della conformita' emittente un certificato di
cybersicurezza o il suo titolare ovvero il fornitore o fabbricante
emittente una dichiarazione UE di conformita', che dovesse rilevare o
venire a conoscenza della presenza di vulnerabilita' nel prodotto
TIC, servizio TIC o processo TIC certificato o dichiarato conforme,
che non siano state riscontrate durante il processo di valutazione, e
non ottemperi agli obblighi riguardanti il modo in cui segnalare e
trattare le vulnerabilita' previste per lo specifico sistema di
certificazione ai sensi dell'articolo 54, paragrafo 1, lettera m),
del Regolamento.
9. Salvo che il fatto costituisca reato, il fabbricante o fornitore
che non renda disponibile, per il periodo stabilito ai sensi
dell'articolo 54, paragrafo 1, lettera q), del Regolamento, la
dichiarazione UE di conformita' o la documentazione tecnica o tutte
le altre informazioni pertinenti o non trasmetta una copia della
dichiarazione UE di conformita' all'Agenzia o ad ENISA ai sensi
dell'articolo 53, paragrafo 3, del Regolamento ovvero non renda
disponibili pubblicamente una o piu' delle informazioni previste ai
sensi dell'articolo 55 del Regolamento o non rispetti il formato o le
procedure di aggiornamento delle stesse informazioni ai sensi
dell'articolo 54, paragrafo 1, lettera v), del Regolamento o
pubblichi informazioni non corrette sui certificati detenuti o sulle
dichiarazioni UE di conformita' emesse, e' assoggettato alla sanzione
del pagamento di una somma da 30.000 euro a 150.000 euro. Alla
medesima sanzione e' assoggettato il fornitore o fabbricante che non
comunichi la revisione o la revoca di una dichiarazione UE di
conformita' ai sensi dell'articolo 7, comma 3, del presente decreto.
10. Salvo che il fatto costituisca reato, l'organismo di
valutazione della conformita' che non ottempera agli obblighi di
divulgazione dei certificati europei di cybersicurezza rilasciati,
modificati o revocati come previsto nell'ambito dello specifico
sistema di certificazione, ai sensi dell'articolo 54, paragrafo 1,
lettera s), del Regolamento, nonche' secondo le modalita' di cui
all'articolo 5, comma 6, e' assoggettato alla sanzione del pagamento
di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione e'
assoggettato l'organismo di valutazione della conformita' autorizzato
dall'Agenzia ai sensi dell'articolo 60, paragrafo 3, del Regolamento,
che non specifichi nella procedura per i reclami definita ai sensi
dell'articolo 11, comma 2, l'inoltro degli stessi per conoscenza
anche all'Agenzia.
11. Salvo che il fatto costituisca reato, nel caso di accertamento
di esercizio di organismo di valutazione della conformita' senza
autorizzazione di cui all'articolo 60, paragrafo 3, del Regolamento
si applica la sanzione del pagamento di una somma da 120.000 euro a
600.000 euro e al soggetto non possono essere rilasciate ulteriori
autorizzazioni nei successivi tre anni dall'accertamento della
violazione. Se l'autorizzazione e' scaduta da meno di un anno la
sanzione e' compresa tra 30.000 euro e 150.000 euro ed il soggetto
puo' richiedere il rilascio di nuova autorizzazione.
12. Salvo che i fatti costituiscano reato, il richiedente di una
certificazione che nell'ambito dello svolgimento dell'attivita' di
valutazione e di rilascio dei certificati, scientemente, fornisce
dati, informazioni o documentazione falsi o ometta informazioni
necessarie per espletare la certificazione, in violazione
dell'articolo 54, paragrafo 1, lettera h), e dell'articolo 56,
paragrafo 7, del Regolamento, e' assoggettato alla sanzione del
pagamento di una somma da 90.000 euro a 450.000 euro. Alla medesima
sanzione e' assoggettato il soggetto che, scientemente, durante le
verifiche di vigilanza, a cui e' sottoposto, ai sensi dell'articolo
5, comma 8, fornisce dati, informazioni o documentazione falsi.
13. Salvo che il fatto costituisca reato, il fabbricante che viola
le condizioni di utilizzo degli eventuali marchi o etichette previste
da un sistema europeo di certificazione, ai sensi dell'articolo 54,
paragrafo 1, lettera i), del Regolamento, e' assoggettato alla
sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.
14. Salvo che il fatto costituisca reato, l'organismo di
valutazione della conformita' che non ottempera agli eventuali
obblighi riguardanti la conservazione dei registri di cui
all'articolo 54, paragrafo 1, lettera n), del Regolamento, e'
assoggettato alla sanzione del pagamento di una somma da 45.000 euro
a 225.000 euro.
15. L'Agenzia puo' impartire ordini o intimare diffide ai soggetti
che operano in contrasto con quanto previsto dal quadro europeo di
certificazione. Ai soggetti che non ottemperano nel termine indicato
nell'ordine o nella diffida l'Agenzia commina la sanzione del
pagamento di una somma da 200.000 euro ad 1.000.000 di euro. Se le
violazioni riguardano provvedimenti adottati dall'Agenzia nei
confronti di soggetti con fatturato pari almeno a 200.000.000 euro,
si applica a ciascun soggetto interessato una sanzione amministrativa
pecuniaria non inferiore allo 0,3 per cento e non superiore all'1,5
per cento del fatturato, restando comunque fermo il limite massimo di
5.000.000 di euro. Come riferimento per il fatturato si assume il
valore realizzato dallo stesso soggetto nell'esercizio precedente a
quello in cui sia stato impartito l'ordine o sia stata intimata la
diffida.
16. Fermo restando il limite massimo di 5.000.000 di euro per la
sanzione, i valori minimi e massimi delle sanzioni pecuniarie dal
comma 2 al comma 15, sono triplicati, se la violazione ha riguardato
un certificato relativo ad un prodotto TIC, ad un servizio TIC o ad
un processo TIC rilasciato nell'ambito di un sistema di
certificazione destinato, ai sensi dell'articolo 54, paragrafo 1,
lettere a) o b), del Regolamento, all'utilizzo con le finalita' o
nell'ambito di un servizio essenziale ai sensi dell'allegato II del
decreto legislativo 18 maggio 2018, n. 65, o di un servizio di
comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera
fff), del decreto legislativo 1° agosto 2003, n. 259.
17. I criteri di graduazione nell'irrogazione delle sanzioni
pecuniarie sono definiti con successivo provvedimento dell'Agenzia,
adottato secondo la procedura di cui all'articolo 5, comma 3, alinea,
del decreto del Presidente del Consiglio dei ministri 9 dicembre
2021, n. 223. Nelle more dell'adozione del provvedimento di
definizione dei criteri di graduazione si applicano i criteri di cui
all'articolo 11 della legge 24 novembre 1981, n. 689.
18. Fermo restando il limite massimo di 5.000.000 di euro per la
sanzione, le sanzioni amministrative pecuniarie previste ai commi dal
2 al 14 sono rivalutate ogni cinque anni con provvedimento
dell'Agenzia, adottato secondo la procedura di cui all'articolo 5,
comma 3, alinea, del regolamento adottato con decreto del Presidente
del Consiglio dei ministri 9 dicembre 2021, n. 223, in misura pari
all'indice ISTAT dei prezzi al consumo previo arrotondamento
all'unita' di euro secondo il seguente criterio: se la parte decimale
e' inferiore a 50 centesimi l'arrotondamento va effettuato per
difetto, se e' uguale o superiore a 50 centesimi l'arrotondamento va
effettuato per eccesso. L'importo della sanzione pecuniaria
rivalutato secondo i predetti criteri si applica esclusivamente per
le violazioni commesse successivamente alla data di entrata in vigore
del provvedimento che lo prevede.
19. L'autorizzazione di un organismo di valutazione della
conformita' ad operare nel sistema europeo di certificazione ai sensi
dell'articolo 60, paragrafo 3, del Regolamento, ove prevista, e'
sospesa per 6 mesi o revocata nel caso di piu' di due violazioni del
quadro europeo di certificazione rispettivamente in un quinquennio o
in un biennio. In caso di revoca dell'autorizzazione, il trasgressore
non puo' ottenere nuova autorizzazione nei successivi cinque anni dal
provvedimento di revoca.
20. L'Agenzia notifica alla Commissione europea il quadro
sanzionatorio di cui al presente articolo entro sessanta giorni dalla
data di entrata in vigore del presente decreto e provvede poi a dare
notifica delle eventuali modifiche entro sessanta giorni successivi
alle stesse.
Note all'art. 10:
- Per il testo dell'articolo 7, comma 1, lettera e),
del decreto-legge 14 giugno 2021, n. 82, si rimanda nelle
note alle premesse.
- Per i riferimenti alla legge 24 novembre 1981, n.
689, si rimanda nelle note alle premesse.
- Per i riferimenti al decreto legislativo 18 maggio
2018, n. 65, si rimanda nelle note all'articolo 5.
- Per il testo dell'articolo 2, comma 1, lettera fff),
del decreto legislativo 1° agosto 2003, n. 259, si rimanda
nelle note all'articolo 5.
- Per il testo dell'articolo 5, comma 3, del decreto
del Presidente del Consiglio dei ministri 9 dicembre 2021,
n. 223, si rimanda nelle note all'articolo 4.
- Si riporta il testo dell'articolo 11 della citata
legge 24 novembre 1981, n. 689:
«Art. 11 (Criteri per l'applicazione delle sanzioni
amministrative pecuniarie). - Nella determinazione della
sanzione amministrativa pecuniaria fissata dalla legge tra
un limite minimo ed un limite massimo e nell'applicazione
delle sanzioni accessorie facoltative, si ha riguardo alla
gravita' della violazione, all'opera svolta dall'agente per
la eliminazione o attenuazione delle conseguenze della
violazione, nonche' alla personalita' dello stesso e alle
sue condizioni economiche.».
- Per il testo all'articolo 5, comma 3, del decreto del
Presidente del Consiglio dei ministri 9 dicembre 2021, n.
223, si rimanda nelle note all'articolo 4.