Art. 4.
Organismo di certificazione
1. L'Istituto superiore delle comunicazioni e delle tecnologie
dell'informazione (ISCTI) del Ministero delle comunicazioni e'
l'organismo di certificazione della sicurezza informatica nel settore
della tecnologia dell'informazione, anche ai sensi dell'art. 10 del
decreto legislativo 23 gennaio 2002, n. 10 e dell'art. 3, paragrafo 4
della direttiva 1999/93/CE.
2. L'organismo di certificazione sovrintende alle attivita'
operative di valutazione e certificazione nell'ambito dello Schema
nazionale attraverso:
a) la predisposizione di regole tecniche in materia di
certificazione sulla base delle norme e direttive nazionali,
comunitarie ed internazionali di riferimento, ai fini
dell'approvazione con decreto del Presidente del Consiglio dei
Ministri o, per sua delega, del Ministro per l'innovazione e le
tecnologie, di concerto con il Ministro delle comunicazioni;
b) il coordinamento delle attivita' nell'ambito dello Schema
nazionale in armonia con i criteri ed i metodi di valutazione;
c) la predisposizione delle linee guida per la valutazione di
prodotti, traguardi di sicurezza, profili di protezione e sistemi, ai
fini dell'approvazione con decreto del Presidente del Consiglio dei
Ministri o, per sua delega, del Ministro per l'innovazione e le
tecnologie, di concerto con il Ministro della Comunicazioni;
d) la divulgazione dei principi e delle procedure relative allo
Schema nazionale;
e) l'accreditamento, la sospensione e la revoca
dell'accreditamento dai LVS;
f) la verifica del mantenimento dell'indipendenza, imparzialita',
affidabilita', competenze tecniche e capacita' operative da parte dei
LVS accreditati;
g) l'approvazione dei piani di valutazione;
h) l'ammissione e registrazione delle valutazioni;
i) l'approvazione dei rapporti finali di valutazione;
l) l'emissione dei rapporti di certificazione sulla base delle
valutazioni eseguite dai LVS;
m) l'emissione e la revoca dei cerificati di sicurezza;
n) la definizione, l'aggiornamento e la diffusione, su base
semestrale, di una lista di prodotti, sistemi e profili di protezione
certificati;
o) la predisposizione, la tenuta e l'aggiornamento dell'elenco
dai LVS accreditati;
p) la promozione delle attivita' per la diffusione della cultura
della sicurezza nel settore della tecnologia dell'informazione;
q) la formazione, abilitazione e addestramento dei certificatori,
personale dipendente dell'organismo di certificazione, nonche' dei
valutatori, dipendenti dei LVS e assistenti, ai fini dello
svolgimento delle attivita' di valutazione;
r) la predisposizione, tenuta e aggiornamento dell'elenco dei
certificatori valutatori e assistenti.
3. L'organismo di certificazione riferisce semestralmente
sull'attivita' al Dipartimento per l'innovazione e le tecnologie
della Presidenza del Consiglio dei Ministri.
4. Sulla base degli indirizzi stabiliti dal Presidente del
Consiglio dei Ministri o, per sua delega, dal Ministro per
l'innovazione e le tecnologie e dal Ministro delle comunicazioni,
l'organismo di certificazione cura i rapporti con organismi di
certificazione esteri congiuntamente con l'Autorita' Nazionale di
Sicurezza, nonche' partecipa alle altre attivita' in ambito
internazionale e comunitario riguardanti il mutuo riconoscimento dei
certificati di sicurezza.
5. Alle predette attivita' l'Istituto superiore delle comunicazioni
e delle tecnologie dell'informazione (ISCTI) fara' fronte senza oneri
aggiuntivi per il bilancio dello Stato.