Art. 4
Autorità di accreditamento di sicurezza
In vigore dal 7 apr 2022
Autorità di accreditamento di sicurezza
1. L’autorità di sicurezza della Commissione è responsabile dell’accreditamento delle zone protette conformi ai requisiti di cui all’ della decisione (UE, Euratom) 2015/444 e dell’accreditamento dei CIS per il trattamento delle ICUE.
2. Ciascun servizio della Commissione consulta, in coordinamento con il proprio LSO o con il proprio responsabile della sicurezza informatica a livello locale (LISO) secondo il caso, l’autorità di accreditamento di sicurezza ogniqualvolta intende:
a)
allestire una zona protetta;
b)
approntare un CIS per il trattamento di ICUE;
c)
installare qualsiasi altra attrezzatura per il trattamento di informazioni classificate, compreso il collegamento con un CIS di terzi.
L’autorità di accreditamento di sicurezza offre consulenza sulle attività elencate, nelle fasi di pianificazione e di allestimento così come di sviluppo.
3. Le ICUE sono trattate in una zona protetta o in un CIS soltanto previo accreditamento rilasciato dall’autorità di accreditamento di sicurezza per il livello di ICUE adeguato.
4. Sono presupposti indispensabili dell’accreditamento della zona protetta:
a)
l’approvazione dei piani per la zona protetta;
b)
l’approvazione di qualsiasi contratto d’opera per lavori eseguiti da contraenti esterni, tenuto conto delle disposizioni in materia di sicurezza industriale quali l’obbligo di nulla osta di sicurezza dei contraenti e del relativo personale;
c)
la disponibilità di tutte le dichiarazioni e di tutti i certificati di conformità necessari;
d)
un’ispezione fisica della zona protetta per verificare che i materiali e i metodi di costruzione, i controlli dell’accesso, le attrezzature di sicurezza e ogni altro elemento soddisfino i requisiti stabiliti dall’autorità di sicurezza della Commissione;
e)
la convalida delle misure contro le radiazioni elettromagnetiche per qualsiasi zona protetta tecnicamente;
f)
l’approvazione delle procedure operative di sicurezza (SecOP) per la zona protetta.
5. Sono presupposti indispensabili dell’accreditamento del CIS che tratta ICUE:
a)
la definizione di una strategia di accreditamento del sistema;
b)
la convalida del piano di sicurezza del CIS in linea con un approccio di gestione del rischio;
c)
la convalida delle SecOP per il CIS;
d)
la convalida di ogni altra documentazione di sicurezza necessaria, stabilita dall’autorità di accreditamento di sicurezza;
e)
l’approvazione dell’impiego di tecnologie di crittografia;
f)
la convalida delle misure contro le radiazioni elettromagnetiche per il CIS che tratta informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore;
g)
l’ispezione del CIS per verificare la corretta attuazione delle misure di sicurezza documentate.
6. Se i requisiti per l’accreditamento sono soddisfatti, l’autorità di accreditamento di sicurezza rilascia l’autorizzazione ufficiale per il trattamento delle ICUE nella zona protetta o nel CIS, per un dato livello massimo di ICUE e per un periodo non superiore a cinque anni, a seconda del livello delle ICUE trattate e dei rischi collegati.
7. Se è notificata una violazione della sicurezza o una variazione consistente della progettazione o delle misure di sicurezza della zona protetta o del CIS, l’autorità di accreditamento di sicurezza riesamina l’autorizzazione di trattare ICUE e, se del caso, può revocarla fino alla risoluzione dei problemi riscontrati.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:dec:2022:640:oj#art-4