Art. 38. Generalita' 1. Le informazioni e i materiali concernenti la sicurezza della trattazione di informazioni classificate con sistemi EAD richiedono norme e procedure di protezione specifiche. Nei casi in cui per i sistemi informativi e' prevista l'applicazione contemporanea di misure di sicurezza COMPUSEC e COMSEC, si attuano le conseguenti misure di sicurezza INFOSEC. 2. Al fine di poter trattare informazioni classificate, i sistemi informatici devono essere sottoposti, ai fini della sicurezza, a specifici processi di certificazione ed omologazione. 3. La certificazione del sistema EAD, che tratta informazioni classificate, consiste nel processo di valutazione della documentazione tecnica prodotta dal soggetto, pubblico o privato, interessato all'impiego del sistema. La documentazione in argomento e' riferita alle misure di sicurezza, previste per il sistema, che devono essere idonee a soddisfare i requisiti necessari a garantire la riservatezza, la disponibilita' e l'integrita' dei dati. Il certificato relativo all'idoneita' del sistema in argomento e' rilasciato dall'Ufficio centrale per la sicurezza. 4. A seguito del rilascio del certificato di cui al comma 3, l'Ufficio centrale per la sicurezza verifica la corretta ed integrale realizzazione delle misure di sicurezza del sistema EAD che ha formato oggetto del processo di certificazione. 5. La positiva conclusione del processo di certificazione di cui al comma 3 e della verifica di cui al comma 4, da' luogo al rilascio, da parte dell'Autorita' nazionale per la sicurezza, del certificato di omologazione. Con detto certificato il soggetto richiedente, pubblico o privato, e' autorizzato ad impiegare il sistema EAD per la trattazione delle informazioni classificate. 6. La valutazione relativa all'idoneita' delle funzioni di sicurezza COMPUSEC di un prodotto o sistema e' effettuata sulla base delle disposizioni contenute nel decreto del Presidente del Consiglio dei Ministri 11 aprile 2002. 7. La valutazione di cui al comma 6 e' effettuata dall'Ufficio centrale per la sicurezza nella qualita' di «Ente di certificazione», mentre il certificato attestante la sicurezza delle tecnologie dell'informazione e' rilasciato dall'Autorita' nazionale per la sicurezza quale «Autorita' di certificazione». 8. La trattazione, da parte di qualunque soggetto, pubblico o privato, di informazioni classificate con sistemi EAD, richiede la costituzione di una struttura di sicurezza, autorizzata dall'Autorita' nazionale per la sicurezza, basata su: a) infrastrutture e locali rispondenti a specifici requisiti; b) procedure di sicurezza dedicate; c) la designazione di un funzionario/ufficiale alla sicurezza EAD e del suo sostituto.