Decreto del Presidente del consiglio dei ministri 19 luglio 2012.  Definizione dei termini di validità delle autocertificazioni circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza di cui al Decreto del Presidente del Consigl

Definizione dei termini di validità delle autocertificazioni circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza di cui al Decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003, e dei termini per la sostituzione dei dispositivi automatici di firma.

 

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400 e successive modificazioni, recante la «disciplina dell’attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri»;

Visti i decreti del Presidente della Repubblica del 16 novembre 2011 di nomina del Presidente del Consiglio dei Ministri;

Visto il decreto del Presidente del Consiglio dei Ministri del 13 dicembre 2011, recante delega di funzioni del Presidente del Consiglio dei Ministri in materia di innovazione tecnologica e sviluppo della società dell’informazione al Ministro dell’istruzione dell’università e della ricerca prof. Francesco Profumo;

Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante Codice dell’amministrazione digitale e, in particolare, gli articoli 29, 31, 35 e 71;

Visto il decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010 riguardante la «Fissazione del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza» pubblicato nella Gazzetta Ufficiale n. 98 del 28 aprile 2010;

Visto il decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, pubblicato nella Gazzetta Ufficiale della Repubblica n. 254 del 31 ottobre 2011, ed in particolare, l’Articolo 1 del predetto decreto;

Considerato che, il citato decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, è stato pubblicato nella Gazzetta Ufficiale della Repubblica italiana in data 31 ottobre 2011;

Ritenuto il termine del 1° novembre 2011 previsto dall’Articolo 1 del citato decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, non congruo in relazione alla complessità della procedura di accertamento di conformità dei dispositivi automatici di firma ai requisiti di sicurezza;

Considerato che l’applicazione delle disposizioni di cui al citato Articolo 1 potrebbe avere un signifi cativo impatto sui servizi assicurati dall’utilizzo dei dispositivi automatici di firma, creando notevoli disservizi agli utenti che se ne avvalgono, ivi comprese numerose amministrazioni ed enti pubblici;

Considerata, pertanto, l’esigenza di adeguare il termine di cui all’Articolo 1 del predetto decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, in modo da consentire ai certifi catori l’impiego dei dispositivi per i quali, alla data del 1° novembre 2011, sia stata formalmente attivata la procedura di accertamento di conformità presso l’Organismo di certificazione della sicurezza informatica (OCSI);

Considerato che, ai sensi della «Procedura di accertamento di conformità di un dispositivo per la creazione di firme elettroniche ai requisiti di sicurezza previsti dall’allegato III della direttiva 1999/93/CE» di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010 e pubblicata sul sito web dell’Organismo di certificazione della sicurezza informatica (OCSI), il processo di accertamento è costituito da un processo di valutazione che si conclude con un pronunciamento da parte dell’OCSI sull’adeguatezza del traguardo di sicurezza e da una successiva fase di certificazione presso il medesimo organismo o presso analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme, che si conclude con un attestato finale di conformità;

Considerata pertanto, l’esigenza, sempre in relazione alle ragioni sopra evidenziate, di stabilire in via definitiva le condizioni volte all’attestazione della rispondenza dei dispositivi per l’apposizione di firma elettronica con procedure automatiche già in uso ai requisiti di sicurezza previsti dalla vigente normativa nonché i termini di validità dell’efficacia delle autodichiarazioni e autocertificazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010;

Su proposta del Ministro dell’istruzione, dell’università e della ricerca;

Di concerto con il Ministro dell’economia e delle finanze, acquisito con nota n. 15776 del 25 giugno 2012, e il Ministro dello sviluppo economico, acquisito con nota n. 9440 del 4 maggio 2012;

Visto il decreto-legge 22 giugno 2012, n. 83, pubblicato nella Gazzetta Ufficiale , supplemento ordinario, n. 147 del 26 giugno 2012, recante «Misure urgenti per la crescita» ed, in particolare, gli articoli 19, 20, 21 e 22 con iquali è «istituita l’Agenzia per l’Italia digitale che, tra le altre, svolge le funzioni di coordinamento, di indirizzo e regolazione affidate a DigitPA dalla normativa vigente e, in particolare, dall’Articolo 3 del decreto legislativo 1° dicembre 2009, n. 177, fatto salvo quanto previsto dal successivo comma 4″, e che «dall’entrata in vigore del decreto DigitPA e l’Agenzia per la diffusione delle tecnologie per l’innovazione sono soppressi»;

 

Decreta:

 

Articolo 1.

1. A decorrere dall’entrata in vigore del presente decreto, i certifi catori di firma elettronica di cui all’Articolo 29 del decreto legislativo 7 marzo 2005, n. 82, possono attestare, mediante autocertificazione, non oltre il termine di ventuno mesi dall’entrata in vigore del presente decreto, la rispondenza dei dispositivi per l’apposizione di firme elettroniche con procedure automatiche ai requisiti di sicurezza previsti dalla vigente normativa, a condizione che per gli stessi dispositivi:

a) alla data del 1° novembre 2011 sia stata formalmente attivata la procedura di accertamento di conformità presso l’Organismo di certificazione della sicurezza informatica (OCSI);

b) entro novanta giorni dalla data di entrata in vigore del presente decreto, si ottenga il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di certificazione della sicurezza informatica (OCSI) ed entro i successivi quindici giorni sia avviato un processo di certificazione debitamente comprovato presso l’Organismo di certificazione della sicurezza informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.

2. Le autocertificazioni e le autodichiarazioni, già rese ai sensi del decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, continuano a spiegare ininterrottamente i propri effetti, anche dopo il 1° novembre 2011 e non oltre il termine di ventuno mesi dalla data di entrata in vigore del presente decreto, alle medesime condizioni previste dal comma 1.

Articolo 2.

1. È possibile generare nuove chiavi crittografi che afferenti a certificati qualifi cati solo dopo avere ottenuto, per i relativi dispositivi, il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di certificazione della sicurezza informatica (OCSI) ed entro i successivi quindici giorni sia avviato un processo di certificazione debitamente comprovato presso il medesimo Organismo di certificazione o analogo organismo di certificazione che aderisce all’Accordo internazionale denominato Common Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.

Articolo 3.

1. Il certificatore che, nei termini indicati all’Articolo 1, primo comma, lettera b) , non dia prova all’Agenzia per l’Italia digitale che per i dispositivi in uso si sia ottenuto il pronunciamento positivo e sia in corso il processo di certificazione indicato nel medesimo articolo, presenta all’Agenzia per l’Italia digitale, entro i successivi quindici giorni, un piano di migrazione per la sostituzione dei dispositivi in uso con altri dispositivi che soddisfi no tali requisiti, da completarsi inderogabilmente entro sei mesi.

2. Fino all’avvenuta migrazione ed entro il termine di sei mesi indicato nel comma precedente, le autocertificazioni e le autodichiarazioni di cui all’Articolo 1 continuano a spiegare ininterrottamente i propri effetti. Il certificatore comunica all’Agenzia per l’Italia digitale la data di effettivo completamento della migrazione.

Articolo 4.

1. Il certificatore che entro il termine di ventuno mesi di cui all’Articolo 1 non dia prova all’Agenzia per l’Italia digitale dell’avvenuto rilascio dell’attestato finale di conformità a seguito dell’avvio del processo di certificazione, entro i quindici giorni successivi alla scadenza del medesimo termine presenta all’Agenzia per l’Italia digitale un piano di migrazione per la sostituzione dei dispositivi in uso con altri dispositivi che soddisfi no tali requisiti, da completarsi inderogabilmente entro i successivi sei mesi.

2. Fino all’avvenuta migrazione ed entro il termine di sei mesi indicato nel comma precedente, le autocertificazioni e le autodichiarazioni, di cui all’Articolo 1, continuano a spiegare ininterrottamente i propri effetti. Il certificatore comunica all’Agenzia per l’Italia digitale la data di effettivo completamento della migrazione.

Articolo 5.

1. Scaduti i termini stabiliti nel presente decreto, le dichiarazioni ed autocertificazioni già rese allo scopo di attestare la rispondenza dei dispositivi automatici di firma ai requisiti stabiliti dalla vigente normativa cessano definitivamente di avere efficacia.

Articolo 6.

1. Il presente decreto entra in vigore dopo quindici giorni dalla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Il presente decreto non reca oneri aggiuntivi per il bilancio dello Stato.

Il presente decreto è inviato ai competenti organi di controllo.

Roma, 19 luglio 2012

p. Il Presidente del Consiglio dei Ministri

Il Ministro delegato

PROFUMO

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.