Art. 31.


                       Piano per la sicurezza


  1.  Il  certificatore definisce un piano per la sicurezza nel quale
sono contenuti almeno i seguenti elementi:
   a) struttura generale, modalita' operativa e struttura logistica;
   b)  descrizione  dell'infrastruttura di sicurezza fisica rilevante
ai fini dell'attivita' di certificatore;
   c) allocazione dei servizi e degli uffici negli immobili rilevanti
ai fini dell'attivita' di certificatore;
   d)  descrizione  delle funzioni del personale e sua allocazione ai
fini dell'attivita' di certificatore;
   e) attribuzione delle responsabilita';
   f) algoritmi crittografici o altri sistemi utilizzati;
   g)   descrizione  delle  procedure  utilizzate  nell'attivita'  di
certificatore;
   h) descrizione dei dispositivi installati;
   i) descrizione dei flussi di dati;
   l) procedura di gestione delle copie di sicurezza dei dati;
   m)   procedura   di   continuita'   operativa   del   servizio  di
pubblicazione delle liste di revoca e sospensione;
   n) analisi dei rischi;
   o) descrizione delle contromisure;
   p) descrizione delle verifiche e delle ispezioni;
   q)  descrizione  delle misure adottate ai sensi degli articoli 28,
comma 1 e 43, comma 2;
   r) procedura di gestione dei disastri.
  2.   Il   piano   per   la   sicurezza,   sottoscritto  dal  legale
rappresentante  del  certificatore,  e'  consegnato al CNIPA in busta
sigillata  o  inviato,  cifrato ai fini di riservatezza, in base alle
indicazioni fornite dal CNIPA.
  3.  Il  piano per la sicurezza si attiene almeno alle misure minime
di  sicurezza  per il trattamento dei dati personali emanate ai sensi
dell'art. 33 del decreto legislativo 30 giugno 2003, n. 196.