Art. 1.
(Definizioni).

      1. Ai fini della presente legge si intende per:

          a) dispositivo: ogni elemento hardware, software o firmware idoneo a fornire una determinata funzionalità e progettato per essere utilizzato o incorporato in uno o più sistemi interconnessi;

          b) sistema: ogni insieme degli elementi hardware, software e firmware, funzionalmente o fisicamente interconnessi, destinato al trattamento di dati e operante in un ambiente definito;

          c) prodotto: dispositivo o sistema, soggetto a certificazione, acquisito ai sensi della presente legge;

          d) trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

          e) dato: qualunque informazione, di qualsiasi genere e natura, relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, trattata dagli enti aggiudicatori;

          f) informazione classificata: ogni informazione, documento o materiale cui è stata attribuita, da un'autorità competente, una classifica di segretezza;

 
Pag. 4

          g) organismo di certificazione della sicurezza informatica (OCSI): organismo pubblico responsabile della certificazione dei dispositivi e dei sistemi informatici e dell'applicazione e dell'aggiornamento dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione;

          h) certificazione: l'attestazione da parte dell'OCSI che conferma i risultati della valutazione e la corretta applicazione dei criteri adottati e della relativa metodologia;

          i) fiducia: la fiducia che si può riporre nel soddisfacimento degli obiettivi di sicurezza da parte dell'oggetto della valutazione considerando le minacce e l'ambiente descritti nel traguardo di sicurezza;

          l) livello di fiducia: la misura della fiducia espressa mediante identificatori alfanumerici la cui parte numerica cresce con il crescere della fiducia (in ITSEC da E0 a E6; nei Common Criteria da EAL0 a EAL7);

          m) committente: l'ente aggiudicatore individuato ai sensi dell'articolo 2, comma 2;

          n) incidente: l'evento, naturale o umano, causato con qualunque mezzo e per il perseguimento di qualsiasi scopo, suscettibile di pregiudicare la riservatezza, l'integrità e la disponibilità dei dati trattati.

      2. Il Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA) è l'organismo pubblico responsabile dell'individuazione delle norme e dei criteri per la progettazione, la realizzazione, la gestione e il controllo dei sistemi informatici delle pubbliche amministrazioni, della loro qualità e dei relativi aspetti organizzativi.