Articolo 59 – Regolamento sulla cibersicurezza
Autorità nazionali di certificazione della cibersicurezza
1. Ciascuno Stato membro designa una o più autorità nazionali di certificazione della cibersicurezza nel suo territorio oppure, con l’accordo di un altro Stato membro, designa una o più autorità nazionali di certificazione della cibersicurezza stabilite in tale altro Stato membro affinché siano responsabili dei compiti di vigilanza nello Stato membro designante.
2. Ciascuno Stato membro comunica alla Commissione l’identità delle autorità nazionali di certificazione della cibersicurezza designate. Se uno Stato membro designa più di una autorità, comunica alla Commissione anche i compiti assegnati a ciascuna di tali autorità.
3. Fatti salvi l’articolo 56, paragrafo 5, lettera a), e l’articolo 56, paragrafo 6, ciascuna autorità nazionale di certificazione della cibersicurezza è indipendente dai soggetti sui quali vigila per quanto riguarda la sua organizzazione, le decisioni di finanziamento, la struttura giuridica e il processo decisionale.
4. Gli Stati membri assicurano che le attività delle autorità nazionali di certificazione della cibersicurezza relative al rilascio di certificati europei di cibersicurezza di cui all’articolo 56, paragrafo 5, lettera a), e dell’articolo 56, paragrafo 6, siano rigorosamente separate dalle attività di vigilanza indicate nel presente articolo e che tali attività siano svolte indipendentemente le une dalle altre.
5. Gli Stati membri provvedono affinché le autorità nazionali di certificazione della cibersicurezza dispongano di risorse adeguate per l’esercizio dei loro poteri e per l’esecuzione efficiente ed efficace dei loro compiti.
6. Ai fini dell’effettiva attuazione del presente regolamento, è opportuno che le autorità nazionali di certificazione della cibersicurezza partecipino in modo attivo, efficace, efficiente e sicuro all’ECCG.
7. Le autorità nazionali di certificazione della cibersicurezza:
a) |
supervisionano e fanno applicare le regole previste nei sistemi europei di certificazione della cibersicurezza a norma dell’articolo 54, paragrafo 1, lettera j), per il controllo della conformità dei prodotti TIC, servizi TIC e processi TIC con i requisiti dei certificati europei di cibersicurezza rilasciati nei rispettivi territori, in cooperazione con altre autorità di vigilanza del mercato competenti; |
b) |
controllano la conformità agli obblighi e fanno applicare gli obblighi che incombono ai fabbricanti o ai fornitori di prodotti TIC, servizi TIC o processi TIC che sono stabiliti nei rispettivi territori e che effettuano un’autovalutazione della conformità, in particolare controllano la conformità agli obblighi e fanno applicare gli obblighi di tali fabbricanti o fornitori di cui all’articolo 53, paragrafi 2 e 3, e nel corrispondente sistema europeo di certificazione della cibersicurezza; |
c) |
fatto salvo l’articolo 60, paragrafo 3, assistono e sostengono attivamente gli organismi nazionali di accreditamento nel monitoraggio e nella vigilanza delle attività degli organismi di valutazione della conformità ai fini del presente regolamento; |
d) |
monitorano e vigilano sulle attività degli organismi pubblici di cui all’articolo 56, paragrafo 5; |
e) |
ove applicabile, autorizzano gli organismi di valutazione della conformità a norma dell’articolo 60, paragrafo 3, e limitano, sospendono o revocano l’autorizzazione esistente qualora gli organismi di valutazione della conformità violino le prescrizioni del presente regolamento; |
f) |
trattano i reclami delle persone fisiche o giuridiche in relazione ai certificati europei di cibersicurezza rilasciati dalle autorità nazionali di certificazione della cibersicurezza o ai certificati europei di cibersicurezza rilasciati dagli organismi di valutazione della conformità in conformità dell’articolo 56, paragrafo 6, oppure in relazione alle dichiarazioni UE di conformità rilasciate ai sensi dell’articolo 53, e svolgono le indagini opportune sull’oggetto di tali reclami e informano il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole; |
g) |
trasmettono all’ENISA e all’ECCG una relazione sintetica annuale sulle attività svolte ai sensi del presente paragrafo, lettere b), c) e d), o del paragrafo 8; |
h) |
cooperano con le altre autorità nazionali di certificazione della cibersicurezza o con altre autorità pubbliche, anche mediante lo scambio di informazioni sugli eventuali prodotti TIC, servizi TIC e processi TIC non conformi ai requisiti del presente regolamento o ai requisiti di specifici sistemi europei di certificazione della cibersicurezza; e |
i) |
sorvegliano gli sviluppi che presentano un interesse nel campo della certificazione della cibersicurezza. |
8. Ciascuna autorità nazionale di certificazione della cibersicurezza dispone almeno dei seguenti poteri:
a) |
richiedere agli organismi di valutazione della conformità, ai titolari di certificati europei della cibersicurezza e agli emittenti di dichiarazioni UE di conformità di fornire le eventuali informazioni necessarie all’esecuzione dei suoi compiti; |
b) |
condurre indagini, sotto forma di verifiche contabili, nei confronti degli organismi di valutazione della conformità, dei titolari dei certificati europei di cibersicurezza e degli emittenti di dichiarazioni UE di conformità allo scopo di verificarne l’osservanza del presente titolo; |
c) |
adottare misure appropriate, nel rispetto del diritto nazionale, per accertare che gli organismi di valutazione della conformità, i titolari di certificati europei di cibersicurezza e gli emittenti di dichiarazioni UE di conformità si conformino al presente regolamento o a un sistema europeo di certificazione della cibersicurezza; |
d) |
ottenere accesso ai locali degli organismi di valutazione della conformità o dei titolari dei certificati europei di cibersicurezza al fine di svolgere indagini in conformità con il diritto dell’Unione o il diritto processuale degli Stati membri; |
e) |
revocare, conformemente al diritto nazionale, i certificati europei di cibersicurezza rilasciati dalle autorità nazionali di certificazione della cibersicurezza o i certificati europei di cibersicurezza rilasciati dagli organismi di valutazione della conformità in conformità dell’articolo 56, paragrafo 6, qualora tali certificati non siano conformi al presente regolamento o a un sistema europeo di certificazione della cibersicurezza; |
f) |
irrogare sanzioni conformemente al diritto nazionale, a norma dell’articolo 65, e chiedere la cessazione immediata delle violazioni degli obblighi di cui al presente regolamento. |
9. Le autorità nazionali di certificazione della cibersicurezza cooperano tra di loro e con la Commissione, in particolare scambiandosi informazioni, esperienze e buone pratiche per quanto concerne la certificazione della cibersicurezza e le questioni tecniche riguardanti la cibersicurezza di prodotti TIC, servizi TIC e processi TIC.