Art. 10
Protezione delle ICUE trattate nei sistemi di comunicazione e informazione
In vigore dal 31 mar 2011
Protezione delle ICUE trattate nei sistemi di comunicazione e informazione
1. Per «garanzia di sicurezza delle informazioni (IA) nel campo dei sistemi di comunicazione e informazione» si intende la fiducia nel fatto che tali sistemi proteggeranno le informazioni che trattano e funzioneranno nel modo dovuto e a tempo debito sotto il controllo degli utenti legittimi. Una IA efficace garantisce gli adeguati livelli di riservatezza, integrità, disponibilità, non disconoscibilità e autenticità. L'IA si basa su una procedura di gestione del rischio.
2. Per «sistema di comunicazione e informazione» si intende ogni sistema che consente il trattamento delle informazioni in forma elettronica. Un sistema di comunicazione e informazione comprende l'insieme delle risorse necessarie al suo funzionamento, ivi compresi l'infrastruttura, l'organizzazione, il personale e le risorse dell'informazione. La presente decisione si applica ai sistemi di comunicazione e informazione che trattano ICUE (CIS).
3. I CIS trattano le ICUE conformemente al concetto di IA.
4. Tutti i CIS sono sottoposti a una procedura di accreditamento. L'accreditamento ha lo scopo di ottenere la garanzia che sono state messe in atto tutte le misure di sicurezza adeguate e che si è raggiunto un livello sufficiente di protezione delle ICUE e del CIS, conformemente alla presente decisione. La dichiarazione di accreditamento determina il livello di classifica più elevato delle informazioni che può essere trattato in un CIS nonché i termini e le condizioni ivi associati.
5. I CIS che trattano informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL e superiore sono protetti in modo tale che le informazioni non possano essere compromesse da radiazioni elettromagnetiche non intenzionali («misure di sicurezza TEMPEST»).
6. Qualora la protezione delle ICUE sia assicurata mediante prodotti crittografici, tali prodotti sono approvati secondo le modalità seguenti:
a)
la riservatezza delle informazioni classificate di livello SECRET UE/EU SECRET e superiore è protetta mediante prodotti crittografici approvati dal Consiglio in quanto autorità di approvazione degli apparati crittografici (CAA), su raccomandazione del Comitato per la sicurezza;
b)
la riservatezza delle informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED è protetta mediante prodotti crittografici approvati dal segretario generale del Consiglio («il segretario generale») in quanto CAA, su raccomandazione del Comitato per la sicurezza.
In deroga alla lettera b), all'interno dei sistemi nazionali degli Stati membri la riservatezza delle ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED può essere protetta mediante prodotti crittografici approvati dalla CAA di uno Stato membro.
7. Per la trasmissione di ICUE con mezzi elettronici si usano prodotti crittografici approvati. In deroga a tale requisito, si possono applicare procedure specifiche in particolari situazioni di emergenza o in configurazioni tecniche specifiche di cui all'allegato IV.
8. Le autorità competenti dell'SGC e degli Stati membri stabiliscono rispettivamente le seguenti funzioni relative alla IA:
a)
un'autorità IA (IAA);
b)
un'autorità TEMPEST (TA);
c)
un'autorità di approvazione degli apparati crittografici (CAA);
d)
un'autorità di distribuzione degli apparati crittografici (CDA).
9. Per ciascun sistema le autorità competenti dell'SGC e degli Stati membri stabiliscono rispettivamente:
a)
un'autorità di accreditamento di sicurezza (SAA);
b)
un'autorità operativa IA.
10. Le disposizioni di attuazione del presente articolo figurano nell'allegato IV.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:dec:2011:292:oj#art-10