                              Art. 38.
                             Generalita'
  1.  Le  informazioni  e  i materiali concernenti la sicurezza della
trattazione  di  informazioni classificate con sistemi EAD richiedono
norme  e  procedure  di  protezione specifiche. Nei casi in cui per i
sistemi  informativi  e'  prevista  l'applicazione  contemporanea  di
misure  di  sicurezza  COMPUSEC  e  COMSEC, si attuano le conseguenti
misure di sicurezza INFOSEC.
  2.  Al  fine di poter trattare informazioni classificate, i sistemi
informatici  devono  essere  sottoposti,  ai  fini della sicurezza, a
specifici processi di certificazione ed omologazione.
  3.  La  certificazione  del  sistema  EAD,  che tratta informazioni
classificate,    consiste   nel   processo   di   valutazione   della
documentazione  tecnica  prodotta  dal  soggetto, pubblico o privato,
interessato  all'impiego  del sistema. La documentazione in argomento
e'  riferita  alle  misure di sicurezza, previste per il sistema, che
devono  essere  idonee a soddisfare i requisiti necessari a garantire
la  riservatezza,  la  disponibilita'  e  l'integrita'  dei  dati. Il
certificato  relativo  all'idoneita'  del  sistema  in  argomento  e'
rilasciato dall'Ufficio centrale per la sicurezza.
  4.  A  seguito  del  rilascio  del  certificato  di cui al comma 3,
l'Ufficio centrale per la sicurezza verifica la corretta ed integrale
realizzazione  delle  misure  di  sicurezza  del  sistema  EAD che ha
formato oggetto del processo di certificazione.
  5. La positiva conclusione del processo di certificazione di cui al
comma 3 e della verifica di cui al comma 4, da' luogo al rilascio, da
parte  dell'Autorita'  nazionale per la sicurezza, del certificato di
omologazione. Con detto certificato il soggetto richiedente, pubblico
o  privato,  e'  autorizzato  ad  impiegare  il  sistema  EAD  per la
trattazione delle informazioni classificate.
  6.   La   valutazione  relativa  all'idoneita'  delle  funzioni  di
sicurezza  COMPUSEC di un prodotto o sistema e' effettuata sulla base
delle disposizioni contenute nel decreto del Presidente del Consiglio
dei Ministri 11 aprile 2002.
  7.  La  valutazione  di  cui  al comma 6 e' effettuata dall'Ufficio
centrale per la sicurezza nella qualita' di «Ente di certificazione»,
mentre  il  certificato  attestante  la  sicurezza  delle  tecnologie
dell'informazione  e'  rilasciato  dall'Autorita'  nazionale  per  la
sicurezza quale «Autorita' di certificazione».
  8.  La  trattazione,  da  parte  di  qualunque soggetto, pubblico o
privato,  di  informazioni  classificate con sistemi EAD, richiede la
costituzione    di    una   struttura   di   sicurezza,   autorizzata
dall'Autorita' nazionale per la sicurezza, basata su:
    a) infrastrutture e locali rispondenti a specifici requisiti;
    b) procedure di sicurezza dedicate;
    c) la designazione di un funzionario/ufficiale alla sicurezza EAD
e del suo sostituto.