Articolo 56 – Regolamento sulla cibersicurezza
Certificazione della cibersicurezza
1. I prodotti TIC, i servizi TIC e i processi TIC certificati ricorrendo a un sistema europeo di certificazione della cibersicurezza adottato a norma dell’articolo 49 sono considerati conformi ai requisiti di tale sistema.
2. La certificazione della cibersicurezza è volontaria, salvo diversamente specificato dal diritto dell’Unione o degli Stati membri.
3. La Commissione valuta periodicamente l’efficacia e l’utilizzo dei sistemi europei di certificazione della cibersicurezza adottati e l’eventuale necessità di rendere obbligatorio uno specifico sistema europeo di certificazione della cibersicurezza per mezzo di disposizioni normative dell’Unione pertinenti al fine di garantire l’opportuno livello di cibersicurezza dei prodotti TIC, servizi TIC e processi TIC nell’Unione e migliorare il funzionamento del mercato interno. La prima valutazione di questo genere è effettuata entro il 31 dicembre 2023 e le successive valutazioni sono effettuate almeno ogni due anni. Sulla base dei risultati di tali valutazioni, la Commissione individua i prodotti TIC, servizi TIC e processi TIC coperti da un sistema di certificazione esistente che devono rientrare in un sistema obbligatorio di certificazione.
In via prioritaria la Commissione si concentra sui settori elencati all’allegato II della direttiva (UE) 2016/1148, che sono sottoposti a valutazione al più tardi due anni dopo l’adozione del primo sistema europeo di certificazione della cibersicurezza.
Nel preparare la valutazione la Commissione:
a) |
prende in considerazione l’impatto delle misure sui fabbricanti o fornitori di tali prodotti TIC, servizi TIC o processi TIC e sugli utenti in termini di costi di tali misure nonché i benefici sociali o economici derivanti dal previsto aumento del livello di sicurezza per i prodotti TIC, i servizi TIC o i processi TIC in questione; |
b) |
tiene conto dell’esistenza e dell’attuazione di diritto degli Stati membri e dei paesi terzi in materia; |
c) |
procede a un processo di consultazione aperto, trasparente e inclusivo con tutti i pertinenti portatori di interesse e gli Stati membri; |
d) |
prende in considerazione le scadenze di attuazione e le misure transitorie e i periodi di transizione, in particolare con riferimento al possibile impatto delle misure sui fornitori o fabbricanti di prodotti TIC, servizi TIC o processi TIC, PMI comprese; |
e) |
propone il modo più rapido ed efficace per realizzare la transizione da un sistema di certificazione volontario a uno obbligatorio. |
4. Gli organismi di valutazione della conformità di cui all’articolo 60 rilasciano certificati europei di cibersicurezza ai sensi del presente articolo che fanno riferimento a un livello di affidabilità «di base» o «sostanziale» sulla base dei criteri previsti dal sistema europeo di certificazione della cibersicurezza adottato dalla Commissione a norma dell’articolo 49.
5. In deroga al paragrafo 4, in casi debitamente giustificati un sistema europeo di certificazione della cibersicurezza può prevedere che i certificati europei di cibersicurezza derivanti da tale sistema possano essere rilasciati unicamente da un ente pubblico. Detto ente è uno dei seguenti:
a) |
un’autorità nazionale di certificazione della cibersicurezza ai sensi dell’articolo 58, paragrafo 1; o |
b) |
un organismo pubblico accreditato come organismo di valutazione della conformità a norma dell’articolo 60, paragrafo 1. |
6. Ove un sistema europeo di certificazione della cibersicurezza adottato a norma dell’articolo 49 richieda un livello di affidabilità «elevato», il certificato europeo di cibersicurezza nell’ambito di tale sistema deve essere rilasciato solo da un’autorità nazionale di certificazione della cibersicurezza oppure, nei casi seguenti, da un organismo di valutazione della conformità:
a) |
previa approvazione dell’autorità nazionale di certificazione della cibersicurezza per ogni singolo certificato europeo di cibersicurezza rilasciato da un organismo di valutazione della conformità; o |
b) |
sulla base di una delega generale del compito di rilasciare tali certificati europei di cibersicurezza a un organismo di valutazione della conformità da parte dell’autorità nazionale di certificazione della cibersicurezza. |
7. La persona fisica o giuridica che presenta i prodotti TIC, servizi TIC o processi TIC per la certificazione mette a disposizione dell’autorità nazionale di certificazione della cibersicurezza di cui all’articolo 58, qualora tale autorità sia l’organismo che rilascia il certificato europeo di cibersicurezza, o dell’organismo di valutazione della conformità di cui all’articolo 60 tutte le informazioni necessarie a espletare la certificazione.
8. Il titolare di un certificato europeo di cibersicurezza informa l’autorità o l’organismo di cui all’articolo 7 delle eventuali vulnerabilità o irregolarità successivamente rilevate in relazione alla sicurezza dei prodotti TIC, servizi TIC o processi TIC certificati che possono incidere sulla conformità ai requisiti relativi alla certificazione. Tale autorità o organismo trasmette tali informazioni senza indebiti ritardi all’autorità nazionale di certificazione della cibersicurezza interessata.
9. Un certificato europeo di cibersicurezza è rilasciato per il periodo indicato nel sistema europeo di certificazione della cibersicurezza e può essere rinnovato, purché continuino a essere soddisfatti i requisiti pertinenti.
10. I certificati europei di cibersicurezza rilasciati a norma del presente articolo sono riconosciuti in tutti gli Stati membri.