IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto l'articolo 35 del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante «Codice dell'Amministrazione digitale» e, in particolare, il comma 5 ai sensi del quale la conformita' dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata, prescritti dall'allegato III della direttiva 1999/93/CE, e' accertata, in Italia, dall'Organismo di certificazione della sicurezza informatica (OCSI) in base allo Schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione fissato con decreto del Presidente del Consiglio dei Ministri o, per sua delega, del Ministro per la pubblica amministrazione e l'innovazione di concerto con i Ministri per lo sviluppo economico e dell'economia e finanze; Vista la direttiva 1999/93/CE del 13 dicembre 1999 del Parlamento europeo e del Consiglio, relativa ad un quadro comunitario per le firme elettroniche e, in particolare, l'allegato III, cosi' come modificato in esito alla rettifica pubblicata nella Gazzetta Ufficiale delle Comunita' europee serie L 13 del 19 gennaio 2000; Vista la decisione della Commissione europea 2003/511/CE del 14 luglio 2003, relativa alla pubblicazione dei numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica conformemente alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio; Visto il decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale del 27 aprile 2004, n. 98, recante approvazione dello Schema nazionale per la valutazione e la certificazione della sicurezza nel settore delle tecnologie dell'informazione e, in particolare, l'articolo 13, comma 4, che, riproducendo quanto gia' previsto dall'articolo 63 del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, prevede un periodo transitorio di nove mesi durante il quale i certificatori di firma elettronica attestano la rispondenza dei propri prodotti e dispositivi di firma elettronica ai requisiti di sicurezza previsti dalla vigente normativa mediante autodichiarazione; Visto il decreto del Presidente del Consiglio dei Ministri 30 marzo 2009, pubblicato nella Gazzetta Ufficiale 6 giugno 2009, n. 129, recante «regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici»; Visto il decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, pubblicato nella Gazzetta Ufficiale del 28 aprile 2010, n. 98, recante «fissazione del termine che autorizza l'autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza», ed in particolare l'articolo 1, comma 1, che, da ultimo, ha prorogato al 1° novembre 2011, nelle more della comprovabilita' dell'utilizzo di dispositivi di generazione della firma con specifici criteri di sicurezza, ai sensi del decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003, la data entro la quale effettuare l'attestazione, mediante autodichiarazione, della rispondenza dei dispositivi ai requisiti di sicurezza imposti dalle suddette disposizioni; Visto il decreto del Presidente della Repubblica in data 7 maggio 2008, con il quale l'on. Renato Brunetta e' stato nominato Ministro senza portafoglio; Visto il decreto del Presidente del Consiglio dei Ministri dell'8 maggio 2008, con il quale al predetto Ministro senza portafoglio, on. Renato Brunetta, e' stato conferito l'incarico per la pubblica amministrazione e l'innovazione; Visto il decreto del Presidente del Consiglio dei Ministri 13 giugno 2008, recante delega di funzioni del Presidente del Consiglio dei Ministri in materia di pubblica amministrazione ed innovazione al Ministro senza portafoglio on. Renato Brunetta; Considerato che, allo stato attuale, non sono ancora disponibili nel contesto internazionale norme generalmente riconosciute utilizzabili per accertare la conformita' ai requisiti di sicurezza prescritti dall'allegato III della direttiva 1999/93/CE di dispositivi sicuri per l'apposizione di firme secondo le procedure automatiche di cui all'articolo 35, comma 3, del decreto legislativo n. 82 del 2005; Ritenuto opportuno comunque consentire l'utilizzo di dispositivi sicuri per l'apposizione di firme con procedure automatiche, per i quali sia in corso il processo di certificazione della sicurezza informatica, ai sensi del suindicato decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003 o, nell'ambito di uno schema di certificazione estero mutuamente riconosciuto, nel periodo di tempo necessario per ottenere la suddetta certificazione; Considerata l'esigenza, anche in virtu' dei tempi incomprimibili dell'ultimazione della suindicata procedura di valutazione e certificazione di sicurezza dei suddetti dispositivi di firma, di differire ulteriormente, per detti dispositivi, l'efficacia delle autodichiarazioni e autocertificazioni di cui al citato decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010 effettuate dai certificatori qualificati, fino al 1° novembre 2013 nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull'adeguatezza del traguardo di sicurezza da parte dell'Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso l'Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all'accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme; di concerto con il Ministro dello sviluppo economico e il Ministro dell'economia e delle finanze;
Decreta:
Art. 1
1. Le autocertificazioni e le autodichiarazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, riguardante i dispositivi per l'apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull'adeguatezza del traguardo di sicurezza da parte dell'Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all'accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme. 2. Il presente decreto non reca oneri aggiuntivi per il bilancio dello Stato. Il presente decreto e' inviato ai competenti organi di controllo e sara' pubblicato nella Gazzetta Ufficiale della Repubblica Italiana. Roma, 14 ottobre 2011
p. il Presidente del Consiglio dei Ministri Il Ministro delegato per la pubblica amministrazione e l'innovazione Brunetta
Il Ministro dello sviluppo economico Romani
Il Ministro dell'economia e delle finanze Tremonti |