Art. 3
Definizioni
1. Ai fini del presente decreto, oltre alle definizioni contenute
nel regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio,
del 17 aprile 2019, si applicano le seguenti:
a) «TIC»: Tecnologia dell'Informazione e della Comunicazione;
b) «Regolamento»: Titolo III del regolamento (UE) 2019/881 del
Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo
all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e
alla certificazione della cibersicurezza per le tecnologie
dell'informazione e della comunicazione, e che abroga il regolamento
(UE) n. 526/2013;
c) «quadro europeo di certificazione»: il Regolamento ed i
successivi sistemi europei di certificazione adottati a norma
dell'articolo 49 del Regolamento;
d) «messa a disposizione sul mercato»: la fornitura di un
prodotto TIC o di un servizio TIC per la distribuzione, il consumo o
l'uso sul mercato dell'Unione Europea nel corso di un'attivita'
commerciale, a titolo oneroso o gratuito;
e) «richiamo»: qualsiasi provvedimento volto ad ottenere la
restituzione di un prodotto TIC che e' gia' stato reso disponibile
all'utilizzatore finale;
f) «ritiro»: qualsiasi provvedimento volto ad impedire la messa a
disposizione sul mercato di un prodotto TIC o servizio TIC nella
catena della fornitura;
g) «vigilanza del mercato»: le attivita' svolte ed i
provvedimenti adottati dall' Agenzia e dalle altre autorita'
pubbliche competenti per garantire che i prodotti TIC, i servizi TIC
ed i processi TIC ad essi collegati siano conformi ai requisiti
stabiliti dal quadro europeo di certificazione e non pregiudichino la
salute, la sicurezza o qualsiasi altro aspetto della protezione del
pubblico interesse;
h) «Agenzia»: l'Agenzia per la cybersicurezza nazionale di cui
all'articolo 5 del decreto-legge 14 giugno 2021, n. 82, convertito,
con modificazioni, dalla legge 4 agosto 2021, n. 109, designata
dall'articolo 7, comma 1, lettera e), del medesimo decreto-legge, per
l'Italia, quale autorita' nazionale di certificazione della
cybersicurezza, di cui all'articolo 58, paragrafo 1, del Regolamento;
i) «standard» o «norma»: una specifica tecnica, adottata da un
organismo di normazione riconosciuto ai sensi dell'articolo 2,
paragrafo 1, numero 1), del regolamento (UE) n. 1025/2012;
l) «norma armonizzata»: una norma europea adottata sulla base di
una richiesta della Commissione Europea ai fini dell'applicazione
della legislazione dell'Unione sull'armonizzazione ai sensi
dell'articolo 2, paragrafo 1, numero 1, lettera c), del regolamento
(UE) n. 1025/2012;
m) «Organismo di accreditamento»: l'organismo autorizzato a
svolgere l'attivita' di accreditamento nel territorio dello Stato, ai
sensi dell'articolo 2, paragrafo 1, numero 11, del regolamento (CE)
765/2008, designato con decreto del Ministro dello sviluppo economico
del 22 dicembre 2009 in attuazione dell'articolo 4, comma 2, della
legge 23 luglio 2009, n. 99;
n) «autorizzazione»: provvedimento con il quale l'Agenzia accerta
il possesso, a norma dell'articolo 54, paragrafo 1, lettera f), del
Regolamento, di requisiti specifici o supplementari a cui sono
soggetti gli organismi di valutazione della conformita' per poter
operare nell'ambito di uno specifico sistema europeo di
certificazione, in aggiunta a quanto gia' previsto nell'allegato del
Regolamento;
o) «abilitazione»: provvedimento con il quale l'Agenzia accerta i
requisiti necessari affinche' un esperto o un laboratorio di prova
possa coadiuvare l'Agenzia nelle attivita' di vigilanza nazionale o
di rilascio dei certificati di cybersicurezza;
p) «laboratorio di prova»: organismo di valutazione della
conformita' che svolge verifiche documentali e/o prove in base alle
norme armonizzate europee ed agli standard e specifiche tecniche
nell'ambito del sistema europeo di certificazione in cui e'
accreditato;
q) «organismo di certificazione»: organismo di valutazione della
conformita' che emette certificati europei di cybersicurezza in base
alle norme armonizzate europee ed agli standard di riferimento ai
sensi dell'articolo 54, paragrafo 1, lettera c), del Regolamento per
il sistema di certificazione in cui e' accreditato;
r) «elenco dei laboratori di prova e degli esperti per le
attivita' di vigilanza nazionale»: registro aggiornato dei laboratori
di prova e degli esperti abilitati dall'Agenzia ad effettuare
attivita' di valutazione di sicurezza informatica nell'ambito dei
compiti di vigilanza nazionale dell'Agenzia;
s) «elenco dei laboratori di prova e degli esperti per le
attivita' di certificazione»: registro aggiornato dei laboratori di
prova e degli esperti abilitati dall'Agenzia ad effettuare attivita'
di valutazione di sicurezza informatica nell'ambito dei compiti di
rilascio dei certificati di cybersicurezza dell'Agenzia;
t) «Organismo di Certificazione della Sicurezza Informatica» o
«OCSI»: organismo di certificazione dell'Agenzia, accreditato ai
sensi dell'articolo 60, paragrafo 2, del Regolamento, istituito ai
sensi dell'articolo 4 del decreto del Presidente del Consiglio dei
ministri del 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale n.
98 del 27 aprile 2004;
u) «dichiarazione UE di conformita'»: attestazione di conformita'
rilasciata da un fabbricante di prodotti TIC o fornitore di servizi
TIC ai sensi dell'articolo 53, paragrafo 1, del regolamento UE
2019/881, a seguito del processo di autovalutazione di conformita'
previsto dallo stesso articolo;
v) «emittenti delle dichiarazioni di conformita' UE»: i soggetti
di cui all'articolo 53, paragrafo 1, del regolamento UE 2019/881;
z) «certificato europeo di cybersicurezza»: un documento
rilasciato da un organismo di certificazione che attesta che un
determinato prodotto TIC, servizio TIC o processo TIC e' stato
oggetto di una valutazione di conformita' ai requisiti stabiliti da
un sistema europeo di certificazione;
aa) «certificato europeo di cybersicurezza (o dichiarazione UE di
conformita') non conforme»: certificato europeo di cybersicurezza (o
dichiarazione UE di conformita') che non soddisfa uno o piu'
requisiti di un sistema europeo di certificazione ai sensi
dell'articolo 54, paragrafo 1, del Regolamento;
bb) «revoca di un certificato europeo di cybersicurezza»:
annullamento di un certificato europeo di cybersicurezza prima della
sua scadenza da parte dell'organismo di valutazione della conformita'
emittente o da parte dell'Agenzia;
cc) «revoca di una dichiarazione UE di conformita'»: annullamento
di una dichiarazione UE di conformita' prima della sua scadenza da
parte del fabbricante o fornitore emittente;
dd) «livello di affidabilita' di base»: livello di affidabilita'
che soddisfa i requisiti ed e' valutato con i criteri specificati al
paragrafo 5 dell'articolo 52 del Regolamento;
ee) «livello di affidabilita' sostanziale»: livello di
affidabilita' che soddisfa i requisiti ed e' valutato con i criteri
specificati al paragrafo 6 dell'articolo 52 del Regolamento;
ff) «livello di affidabilita' elevato»: livello di affidabilita'
che soddisfa i requisiti ed e' valutato con i criteri specificati al
paragrafo 7 dell'articolo 52 del Regolamento;
gg) «ECCG»: Gruppo europeo di certificazione della
cibersicurezza, ai sensi dell'articolo 62 del Regolamento;
hh) «ENISA»: l'Agenzia dell'Unione europea per la cibersicurezza
di cui al Titolo II del regolamento (UE) 2019/881.
Note all'art. 3:
- Per i riferimenti al regolamento (UE) 2019/881, si
rimanda nelle note alle premesse.
- Per il testo dell'articolo 7, comma 1, lettera e),
del decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, si
rimanda nelle note alle premesse.
- Il regolamento (UE) n. 1025/2012, sulla normazione
europea, che modifica le direttive 89/686/CEE e 93/15/CEE
del Consiglio nonche' le direttive 94/9/CE, 94/25/CE,
95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE,
2009/23/CE e 2009/105/CE del Parlamento europeo e del
Consiglio e che abroga la decisione 87/95/CEE del Consiglio
e la decisione n. 1673/2006/CE del Parlamento europeo e del
Consiglio, e' pubblicato nella GUUE L 316/12 del 14
novembre 2012.
- Per i riferimenti al regolamento CE 765/2008, si
rimanda nelle note alle premesse.
- Il decreto del Ministero dello sviluppo economico 22
dicembre 2009, recante prescrizioni relative
all'organizzazione ed al funzionamento dell'unico organismo
nazionale italiano autorizzato a svolgere attivita' di
accreditamento in conformita' al regolamento (CE) n.
765/2008, e' pubblicato nella Gazzetta Ufficiale n. 19 del
25 gennaio 2010.