Art. 10
Protezione delle ICUE trattate nei sistemi di comunicazione e informazione
In vigore dal 23 set 2013
Protezione delle ICUE trattate nei sistemi di comunicazione e informazione
1. Per «garanzia di sicurezza delle informazioni (IA) nel campo dei sistemi di comunicazione e informazione» si intende la fiducia nel fatto che tali sistemi proteggeranno le informazioni che trattano e funzioneranno nel modo dovuto e a tempo debito sotto il controllo degli utenti legittimi. Una IA efficace garantisce gli adeguati livelli di riservatezza, integrità, disponibilità, non disconoscibilità e autenticità. L’IA si basa su una procedura di gestione del rischio.
2. Per «sistema di comunicazione e informazione» (CIS) si intende ogni sistema che consente il trattamento delle informazioni in forma elettronica. Un CIS comprende l’insieme delle risorse necessarie al suo funzionamento, ivi compresi l’infrastruttura, l’organizzazione, il personale e le risorse dell’informazione. La presente decisione si applica ai CIS che trattano ICUE.
3. I CIS trattano le ICUE conformemente al concetto di IA.
4. Tutti i CIS sono sottoposti a una procedura di accreditamento. L’accreditamento ha lo scopo di ottenere la garanzia che sono state messe in atto tutte le misure di sicurezza adeguate e che si è raggiunto un livello sufficiente di protezione delle ICUE e del CIS, conformemente alla presente decisione. La dichiarazione di accreditamento determina il livello di classifica più elevato delle informazioni che può essere trattato in un CIS nonché i termini e le condizioni ivi associati.
5. Sono attuate misure di sicurezza per proteggere i CIS che trattano informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL e superiore in modo tale che tali informazioni non possano essere compromesse da radiazioni elettromagnetiche non intenzionali («misure di sicurezza TEMPEST»). Dette misure di sicurezza sono commisurate al rischio di sfruttamento e al livello di classifica delle informazioni.
6. Qualora la protezione delle ICUE sia assicurata mediante prodotti crittografici, tali prodotti sono approvati secondo le modalità seguenti:
a)
la riservatezza delle informazioni classificate di livello SECRET UE/EU SECRET e superiore è protetta mediante prodotti crittografici approvati dal Consiglio in quanto autorità di approvazione degli apparati crittografici (CAA), su raccomandazione del Comitato per la sicurezza;
b)
la riservatezza delle informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED è protetta mediante prodotti crittografici approvati dal segretario generale del Consiglio («segretario generale») in quanto CAA, su raccomandazione del Comitato per la sicurezza.
In deroga alla lettera b), all’interno dei sistemi nazionali degli Stati membri la riservatezza delle ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED può essere protetta mediante prodotti crittografici approvati dalla CAA di uno Stato membro.
7. Durante la trasmissione di ICUE con mezzi elettronici si usano prodotti crittografici approvati. In deroga a tale requisito, si possono applicare procedure specifiche in particolari situazioni di emergenza o in configurazioni tecniche specifiche di cui all’allegato IV.
8. Le autorità competenti dell’SGC e degli Stati membri stabiliscono rispettivamente le seguenti funzioni relative alla IA:
a)
un’autorità IA (IAA);
b)
un’autorità TEMPEST (TA);
c)
un’autorità di approvazione degli apparati crittografici (CAA);
d)
un’autorità di distribuzione degli apparati crittografici (CDA).
9. Per ciascun sistema le autorità competenti dell’SGC e degli Stati membri stabiliscono rispettivamente:
a)
un’autorità di accreditamento di sicurezza (SAA);
b)
un’autorità operativa IA.
10. Le disposizioni di attuazione del presente articolo figurano nell’allegato IV.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:dec:2013:488:oj#art-10