Articolo 54 – Regolamento sulla cibersicurezza
Elementi dei sistemi europei di certificazione della cibersicurezza
1. Un sistema europeo di certificazione della cibersicurezza comprende almeno i seguenti elementi:
|
a) |
l’oggetto e l’ambito di applicazione del sistema di certificazione, compresi il tipo o le categorie di prodotti TIC, servizi TIC o processi TIC coperti; |
|
b) |
una chiara descrizione dello scopo del sistema e delle modalità con cui le norme, i metodi di valutazione e i livelli di affidabilità selezionati corrispondono alle esigenze degli utenti del sistema previsti; |
|
c) |
i riferimenti alle norme internazionali, europee o nazionali applicate nella valutazione o, laddove tali norme non siano disponibili o adeguate, alle specifiche tecniche che rispettano le prescrizioni enunciate all’allegato II del regolamento (UE) n. 1025/2012 oppure, se tali specifiche non sono disponibili, alle specifiche tecniche o ad altri requisiti di cibersicurezza definiti nel sistema europeo di certificazione della cibersicurezza; |
|
d) |
se del caso, uno o più livelli di affidabilità; |
|
e) |
l’indicazione se l’autovalutazione della conformità sia autorizzata nell’ambito del sistema; |
|
f) |
se del caso, requisiti specifici o supplementari a cui sono soggetti gli organismi di valutazione della conformità al fine di garantire che abbiano la competenza tecnica per valutare i requisiti di cibersicurezza; |
|
g) |
i criteri e i metodi di valutazione specifici da utilizzare, compresi i tipi di valutazione, al fine di dimostrare che gli obiettivi di sicurezza di cui all’articolo 51 sono stati conseguiti; |
|
h) |
se del caso, le informazioni che sono necessarie per la certificazione e che un richiedente deve fornire agli organismi di valutazione della conformità o che deve altrimenti mettere a loro disposizione; |
|
i) |
le condizioni alle quali possono essere utilizzati gli eventuali marchi o etichette previsti dal sistema; |
|
j) |
le regole per il controllo della conformità dei prodotti TIC, servizi TIC e processi TIC ai requisiti dei certificati europei di cibersicurezza o delle dichiarazioni UE di conformità, compresi i meccanismi per dimostrare il mantenimento della conformità ai requisiti di cibersicurezza specificati; |
|
k) |
se del caso, le condizioni per il rilascio, il mantenimento, la prosecuzione e il rinnovo dei certificati europei di cibersicurezza, nonché le condizioni per l’estensione o la riduzione del campo di applicazione della certificazione; |
|
l) |
le regole riguardanti le conseguenze per i prodotti TIC, servizi TIC e processi TIC che sono stati certificati o per i quali è stata rilasciata una dichiarazione UE di conformità ma che non sono conformi ai requisiti del sistema; |
|
m) |
le regole riguardanti il modo in cui segnalare e trattare le vulnerabilità della cibersicurezza nei prodotti TIC, servizi TIC e processi TIC precedentemente non rilevate; |
|
n) |
se del caso, le regole riguardanti la conservazione dei registri da parte degli organismi di valutazione della conformità; |
|
o) |
l’individuazione dei sistemi nazionali o internazionali di certificazione della cibersicurezza relativi allo stesso tipo o alle stesse categorie di prodotti TIC, servizi TIC e processi TIC, requisiti di sicurezza, criteri e metodi di valutazione nonché livelli di affidabilità; |
|
p) |
il contenuto e il formato dei certificati europei di cibersicurezza e le dichiarazioni UE di conformità da rilasciare; |
|
q) |
il periodo di disponibilità della dichiarazione UE di conformità, la documentazione tecnica e tutte le altre informazioni pertinenti da rendere disponibili da parte del fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC; |
|
r) |
il periodo massimo di validità dei certificati europei di cibersicurezza rilasciati nell’ambito del sistema; |
|
s) |
la politica di divulgazione dei certificati europei di cibersicurezza rilasciati, modificati o revocati nell’ambito del sistema; |
|
t) |
le condizioni per il riconoscimento reciproco dei sistemi di certificazione con i paesi terzi; |
|
u) |
se del caso, le regole riguardanti eventuali meccanismi di valutazione inter pares istituito dal sistema per le autorità o gli organismi che rilasciano certificati europei di cibersicurezza per il livello di affidabilità «elevato» a norma dell’articolo 56, paragrafo 6. Tali meccanismi non pregiudicano la valutazione inter pares di cui all’articolo 59; |
|
v) |
il formato e le procedure che i fabbricanti o i fornitori di prodotti TIC, servizi TIC o processi TIC devono rispettare nel fornire e aggiornare le informazioni supplementari sulla cibersicurezza a norma dell’articolo 55. |
2. I requisiti specificati del sistema europeo di certificazione della cibersicurezza devono essere coerenti con gli obblighi di legge applicabili, in particolare quelli derivanti dal diritto armonizzato dell’Unione.
3. Se un atto giuridico specifico dell’Unione lo prevede, un certificato o una dichiarazione UE di conformità rilasciati nell’ambito di un sistema europeo di certificazione della cibersicurezza possono essere utilizzati per dimostrare la presunzione di conformità agli obblighi imposti da tale atto giuridico.
4. In assenza di diritto armonizzato dell’Unione, anche il diritto degli Stati membri può disporre che un sistema europeo di certificazione della cibersicurezza possa essere utilizzato per stabilire la presunzione di conformità agli obblighi di legge.
