ricerca avanzata
ricerca anche su

  • Privacy - Sicurezza dei dati -Tecnologie dell'informazione e della comunicazione (ICT)

18 dicembre 2024

Regolamento (UE) 18 dicembre 2024, n. 2024/3143

Regolamento di esecuzione (UE) 2024/3143 della Commissione, del 18 dicembre 2024, che stabilisce le circostanze, i formati e le procedure per le notifiche a norma dell’articolo 61, paragrafo 5, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione.

(Regolamento (UE) 18/12/2024, n. 2024/3143, pubblicato in G.U.U.E. 19 dicembre 2024, n. L)


LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»), in particolare l’articolo 61, paragrafo 5,

considerando quanto segue:

(1) A norma dell’articolo 61, paragrafo 1, del regolamento (UE) 2019/881 (regolamento sulla cibersicurezza), le autorità nazionali di certificazione della cibersicurezza (National Cybersecurity Certification Authorities – NCCA) sono responsabili della notifica alla Commissione degli organismi di valutazione della conformità che sono stati accreditati e, se del caso, autorizzati a rilasciare certificati europei di cibersicurezza a determinati livelli di affidabilità, e dovrebbero tenere aggiornata tale notifica. A norma dell’articolo 61, paragrafo 2, del regolamento (UE) 2019/881, la Commissione è inoltre tenuta a pubblicare nella Gazzetta ufficiale dell’Unione europea un elenco degli organismi di valutazione della conformità notificati nell’ambito di un sistema europeo di certificazione della cibersicurezza un anno dopo la sua entrata in vigore. Al fine di garantire un approccio armonizzato per le notifiche e agevolare il processo di notifica per le NCCA, il presente regolamento dovrebbe specificare ulteriormente le circostanze, i formati e le procedure per le notifiche. È importante che tali aspetti siano chiariti in vista dell’applicazione del primo sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC) istituito dal regolamento di esecuzione (UE) 2024/482 della Commissione.

(2) Il presente regolamento riconosce le sinergie tra il regolamento (UE) 2019/881 e la pertinente normativa di armonizzazione dell’Unione, compreso il regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio (regolamento sulla ciberresilienza). Si propone pertanto che le NCCA informino la Commissione tramite lo strumento elettronico di notifica di cui alla decisione n. 768/2008/CE del Parlamento europeo e del Consiglio, elaborato e gestito dalla Commissione. Fatto salvo l’obbligo della Commissione di pubblicare l’elenco degli organismi di valutazione della conformità notificati nella Gazzetta ufficiale dell’Unione europea, tale elenco dovrebbe essere reso pubblico anche sullo strumento elettronico di notifica elaborato e gestito dalla Commissione.

(3) La notifica degli organismi di valutazione della conformità accreditati e, se del caso, autorizzati è indice di affidabilità di tali organismi per lo svolgimento delle attività di valutazione e certificazione conformemente al regolamento (UE) 2019/881, contribuendo in tal modo alla reputazione generale dei sistemi europei di certificazione della cibersicurezza. È pertanto fondamentale garantire che gli organismi di valutazione della conformità che sono stati notificati soddisfino i requisiti e adempiano i loro obblighi nel tempo. L’elenco pubblicato degli organismi di valutazione della conformità notificati dovrebbe essere accurato e aggiornato e rispecchiare la loro conformità ai requisiti di cui al regolamento (UE) 2019/881 e, se del caso, ai requisiti specifici o supplementari ai sensi di un sistema europeo di certificazione della cibersicurezza. A tal fine è necessario che le NCCA notifichino alla Commissione, senza indebito ritardo, ogni modifica della notifica, conformemente all’articolo 61, paragrafo 1, del regolamento (UE) 2019/881.

(4) Le NCCA hanno la responsabilità di provvedere affinché gli organismi di valutazione della conformità siano conformi al regolamento (UE) 2019/881 e ai sistemi europei di certificazione della cibersicurezza e, in tale contesto, garantiscono l’accuratezza delle notifiche. Tali attività sono soggette a una valutazione inter pares il cui risultato dovrebbe contribuire a stabilire eventuali modifiche necessarie per migliorare l’efficacia delle NCCA. A seguito di preoccupazioni che sono state portate alla loro attenzione in circostanze diverse, le NCCA possono constatare che un organismo di valutazione della conformità non soddisfa più i requisiti pertinenti. Se del caso, i risultati dei meccanismi di valutazione inter pares dovrebbero aiutare le NCCA a monitorare il mantenimento della competenza degli organismi di valutazione della conformità notificati. Anche altre NCCA, la Commissione o i portatori di interessi possono sollevare con l’NCCA notificante preoccupazioni in merito al mantenimento della competenza di un organismo di valutazione della conformità notificato.

(5) Nel decidere di sospendere, limitare o revocare la notifica di un organismo di valutazione della conformità, l’NCCA notificante è tenuta a cooperare con l’organismo nazionale di accreditamento designato a norma del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio. Ciò è conforme al regolamento (UE) 2019/881, che prevede che le NCCA assistano e sostengano attivamente gli organismi nazionali di accreditamento nelle loro attività di monitoraggio e vigilanza e che cooperino con essi. La limitazione della notifica dovrebbe riferirsi a un caso in cui l’ambito di applicazione dell’accreditamento o, se del caso, l’ambito di applicazione dell’autorizzazione e quindi l’ambito di applicazione della notifica siano ridotti.

(6) A norma dell’articolo 54, paragrafo 1, lettera n), del regolamento (UE) 2019/881, ogni sistema europeo di certificazione della cibersicurezza deve comprendere, se del caso, le regole riguardanti la conservazione dei registri da parte degli organismi di valutazione della conformità. In caso di limitazione, sospensione o revoca della notifica, o qualora l’organismo di valutazione della conformità notificato abbia cessato l’attività, è pertanto necessario che l’NCCA notificante garantisca che i registri di tale organismo di valutazione della conformità siano conservati in modo sicuro e per il periodo necessario, come prescritto ai sensi di un sistema europeo di certificazione della cibersicurezza.

(7) Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall’articolo 66 del regolamento (UE) 2019/881,
 

HA ADOTTATO IL PRESENTE REGOLAMENTO:
 

Articolo 1

Oggetto

Il presente regolamento stabilisce le circostanze, i formati e le procedure per le notifiche degli organismi di valutazione della conformità da parte delle autorità nazionali di certificazione della cibersicurezza (NCCA) a norma dell’articolo 61, paragrafo 1, del regolamento (UE) 2019/881.

 

Articolo 2

Procedura di notifica

1. Conformemente all’articolo 61, paragrafo 1, del regolamento (UE) 2019/881, le NCCA notificano alla Commissione gli organismi di valutazione della conformità che hanno soddisfatto i requisiti di cui allo stesso regolamento e, se del caso, i requisiti specifici o supplementari ai sensi di un sistema europeo di certificazione della cibersicurezza.

2. L’NCCA ne dà notifica alla Commissione utilizzando lo strumento elettronico di notifica elaborato e gestito dalla Commissione, di cui alla decisione n. 768/2008/CE.

3. La notifica reca le informazioni riportate nell’allegato.

 

Articolo 3

Numeri di identificazione ed elenco degli organismi di valutazione della conformità

1. La Commissione assegna un numero di identificazione all’organismo di valutazione della conformità notificato. La Commissione assegna un numero di identificazione unico anche se l’organismo è notificato ai sensi di diversi sistemi europei di certificazione della cibersicurezza o atti dell’Unione.

2. Nel mettere a disposizione l’elenco degli organismi di valutazione della conformità notificati tramite lo strumento elettronico di notifica elaborato e gestito dalla Commissione, essa include i numeri di identificazione assegnati agli organismi di valutazione della conformità notificati e le attività per le quali sono stati notificati.

3. L’ENISA mette a disposizione le informazioni relative agli organismi di valutazione della conformità notificati sul suo sito web apposito sui sistemi europei di certificazione della cibersicurezza di cui all’articolo 50, paragrafo 1, del regolamento (UE) 2019/881.

 

Articolo 4

Modifiche delle notifiche

1. Le NCCA notificano alla Commissione, senza indebito ritardo, ogni successiva modifica della notifica di cui all’articolo 2 tramite lo strumento elettronico di notifica elaborato e gestito dalla Commissione, conformemente all’articolo 61, paragrafo 1, del regolamento (UE) 2019/881.

2. Qualora una NCCA abbia constatato, in cooperazione con l’organismo nazionale di accreditamento di cui al regolamento (UE) 2019/881, che un organismo di valutazione della conformità notificato non soddisfa più i requisiti o non adempie più gli obblighi cui è soggetto, l’NCCA limita, sospende o revoca la notifica, a seconda dei casi, in funzione della gravità del mancato rispetto di tali requisiti o dell’inadempimento di tali obblighi. L’NCCA ne informa la Commissione senza indebito ritardo tramite lo strumento elettronico di notifica elaborato e gestito dalla Commissione.

3. In caso di limitazione, sospensione o revoca della notifica, o qualora l’organismo di valutazione della conformità notificato abbia cessato l’attività, l’NCCA notificante adotta le misure appropriate per garantire che i registri di tale organismo di valutazione della conformità siano conservati in modo sicuro e per il periodo necessario, come prescritto ai sensi di un sistema europeo di certificazione della cibersicurezza.

 

Articolo 5

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.


Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 18 dicembre 2024


Per la Commissione

La presidente

Ursula VON DER LEYEN

 

ALLEGATO

Informazioni da includere nella notifica di un organismo di valutazione della conformità ai sensi di un sistema europeo di certificazione della cibersicurezza a norma dell’articolo 61, paragrafo 1, del regolamento (UE) 2019/881, di cui all’articolo 2, paragrafo 3, del presente regolamento

1.    Informazioni generali:

(1) Nome del sistema di certificazione della cibersicurezza

(2) Livello/i di affidabilità (ad esempio di base, sostanziale, elevato), se del caso, e relative procedure di valutazione della conformità

(3) Ambito di applicazione (ad esempio ambito di applicazione dell’accreditamento, categorie o tipi di prodotti, servizi, processi)

2.    Informazioni sull’autorità nazionale di certificazione della cibersicurezza notificante:

(1) Nome

(2) Paese

(3) Indirizzo postale

(4) Indirizzo/i e-mail

(5) Numero/i di telefono

(6) Sito web

3.     Informazioni sull’organismo di valutazione della conformità notificato:

(1) Nome

(2) Paese

(3) Indirizzo postale

(4) Indirizzo/i e-mail

(5) Numero/i di telefono

(6) Sito web

4.     Informazioni sull’accreditamento:

(1) Accreditamento:

a) Data dell’accreditamento

b) Numero di riferimento dell’accreditamento

c) Ambito di applicazione dell’accreditamento

d) Durata di validità dell’accreditamento

(2) Organismo nazionale di accreditamento:

a) Nome

b) Paese

c) Indirizzo postale

d) Indirizzo/i e-mail

e) Numero/i di telefono

f) Sito web

5.    Informazioni sull’autorizzazione (se del caso):

(1) Autorizzazione:

a) Data dell’autorizzazione

b) Numero di riferimento dell’autorizzazione

c) Ambito di applicazione dell’autorizzazione

d) Durata di validità dell’autorizzazione

(2) Autorità nazionale per la cibersicurezza di autorizzazione (se diversa dall’autorità nazionale di certificazione della cibersicurezza notificante):

a) Nome

b) Paese

c) Indirizzo postale

d) Indirizzo/i e-mail

e) Numero/i di telefono

f) Sito web

6.    Informazioni aggiuntive:

(1) Eventuali informazioni aggiuntive richieste in uno specifico sistema europeo di certificazione della cibersicurezza

(2) Eventuali documenti giustificativi

 

×
©2024 - Sprint Soluzioni Editoriali s.r.l. - P.I. 15078421003 - Riproduzione Riservata

I testi presenti in questa banca dati hanno finalità unicamente informative e scientifiche e non rivestono carattere di ufficialità; si declina, pertanto, ogni responsabilità per eventuali errori o inesattezze. Tutti i marchi riportati appartengono ai legittimi proprietari; marchi di terzi, nomi di prodotti, nomi commerciali e immagini di prodotti sono di proprietà dei rispettivi titolari. Sono utilizzati nella seguente banca dati a puro scopo divulgativo e informativo, senza alcun fine di violazione dei diritti vigenti.

informativa privacy - informativa cookie