32008R0482

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Regolamento - 482/2008 - EN - EUR-Lex

Document 32008R0482

Help

Regolamento (CE) n. 482/2008 della Commissione, del 30 maggio 2008 , che istituisce un sistema di garanzia della sicurezza del software obbligatorio per i fornitori di servizi di navigazione aerea e recante modifica dell'allegato II del regolamento (CE) n. 2096/2005 Testo rilevante ai fini del SEE

OJ L 141, 31.5.2008, p. 5–10 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 07 Volume 016 P. 88 - 93

Legal status of the document No longer in force, Date of end of validity: 01/01/2020; abrogato da 32017R0373

ELI: http://data.europa.eu/eli/reg/2008/482/oj

HTML

PDF

Official Journal

31.5.2008

Gazzetta ufficiale dell'Unione europea

L 141/5

REGOLAMENTO (CE) N. 482/2008 DELLA COMMISSIONE

del 30 maggio 2008

che istituisce un sistema di garanzia della sicurezza del software obbligatorio per i fornitori di servizi di navigazione aerea e recante modifica dell'allegato II del regolamento (CE) n. 2096/2005

(Testo rilevante ai fini del SEE)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

visto il regolamento (CE) n. 550/2004 del Parlamento europeo e del Consiglio, del 10 marzo 2004, sulla fornitura di servizi di navigazione aerea nel cielo unico europeo (regolamento sulla fornitura di servizi) (1), in particolare l’articolo 4,

considerando quanto segue:

(1)

A norma del regolamento (CE) n. 550/2004, la Commissione è tenuta a individuare e adottare le disposizioni pertinenti delle norme di sicurezza di Eurocontrol (ESARR), tenendo conto della normativa comunitaria vigente. L’ESARR 6 relativo al software dei sistemi ATM contiene una serie di norme di sicurezza per l’attuazione di un sistema di garanzia della sicurezza del software.

(2)

Il regolamento (CE) n. 2096/2005 della Commissione, del 20 dicembre 2005, che stabilisce requisiti comuni per la fornitura di servizi di navigazione aerea (2) stabilisce, al considerando 12, ultima frase, che «Le pertinenti disposizioni dell’ESARR 1 sul controllo ATM e dell’ESARR 6 sui software dei sistemi ATM devono essere individuate e adottate mediante distinti atti comunitari».

(3)

L'allegato II del regolamento (CE) n. 2096/2005 impone ai fornitori di servizi di traffico aereo di mettere in atto un sistema di gestione della sicurezza e requisiti di sicurezza per la valutazione e la riduzione del rischio con riferimento alle modifiche. Nel quadro del suo sistema di gestione della sicurezza e nell’ambito delle sue attività di valutazione e riduzione del rischio con riferimento alle modifiche, è opportuno che il fornitore di servizi di navigazione aerea definisca e attui un sistema di garanzia della sicurezza del software, focalizzato in modo specifico sugli aspetti relativi al software.

(4)

Il principale obiettivo in materia di sicurezza del software, che i sistemi funzionali contenenti software devono raggiungere, è quello di ridurre a un livello tollerabile i rischi collegati all’uso del software all’interno dei sistemi della rete europea di gestione del traffico aereo («software EATMN»).

(5)

È opportuno che le operazioni e l’addestramento militari di cui all’articolo 1, paragrafo 2, del regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio, del 10 marzo 2004, che stabilisce i principi generali per l’istituzione del cielo unico europeo («regolamento quadro») (3) siano esclusi dal campo di applicazione del presente regolamento.

(6)	L'allegato II del regolamento (CE) n. 2096/2005 deve essere pertanto modificato di conseguenza.

(7)	Le misure di cui al presente regolamento sono conformi al parere del comitato per il cielo unico,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

Oggetto e campo di applicazione

1. Il presente regolamento stabilisce i requisiti per la definizione e l’attuazione di un sistema di garanzia della sicurezza del software da parte dei fornitori di servizi di traffico aereo (ATS), degli enti che assicurano la gestione del flusso del traffico aereo (ATFM) e la gestione dello spazio aereo (ASM) per il traffico aereo generale e dei fornitori di servizi di comunicazione, di navigazione e di sorveglianza (CNS).

Il presente regolamento individua e adotta le disposizioni obbligatorie contenute nelle norme di sicurezza di Eurocontrol ESARR 6 relative al software nei sistemi ATM pubblicate il 6 novembre 2003.

2. Il presente regolamento si applica al software nuovo e a qualsiasi modifica apportata al software dei sistemi ATS, ASM, ATFM e CNS.

Esso non si applica al software dei componenti installati a bordo di velivoli, né alle apparecchiature installate su velivoli spaziali.

Articolo 2

Definizioni

Ai fini del presente regolamento si applicano le definizioni di cui all'articolo 2 del regolamento (CE) n. 549/2004.

S’intende inoltre per:

1)	«software», i programmi per computer e i corrispondenti dati di configurazione, compreso il software esterno, ma esclusi i dispositivi elettronici quali circuiti integrati destinati ad applicazioni specifiche, porte logiche oppure controllori logici programmabili a stato solido;

2)	«dati di configurazione», i dati che permettono di configurare un sistema di software generico per una determinata condizione di utilizzo;

3)	«software esterno», un software che non è stato sviluppato per il contratto in corso;

4)	«garanzia di sicurezza», tutte le azioni programmate e sistematiche necessarie a garantire con un grado di affidabilità sufficiente che un prodotto, un servizio, un’organizzazione o un sistema funzionale raggiunge un livello di sicurezza accettabile o tollerabile;

5)	«organizzazione», un fornitore ATS, un fornitore CNS oppure un ente che fornisce ATFM o ASM;

6)	«sistema funzionale», la combinazione di sistemi, procedure e risorse umane organizzate per svolgere una funzione nel contesto della gestione del traffico aereo;

7)	«rischio», la combinazione della probabilità generale o della frequenza del verificarsi di un effetto nocivo indotto da un pericolo e la gravità di tale effetto;

8)	«pericolo», qualsiasi condizione, evento o circostanza che possa indurre un incidente;

9)	«software nuovo», un software che è stato ordinato o per il quale sono stati sottoscritti contratti vincolanti dopo l’entrata in vigore del presente regolamento;

10)	«obiettivo di sicurezza», una dichiarazione qualitativa e quantitativa che definisce la frequenza o la probabilità massima con la quale può verificarsi un pericolo;

11)

«requisito di sicurezza», un dispositivo atto a ridurre il rischio, definito dalla strategia di riduzione del rischio per il conseguimento di un determinato obiettivo di sicurezza, compresi i requisiti organizzativi, operativi, procedurali, funzionali, di rendimento e interoperabilità o le caratteristiche del contesto ambientale;

12)	«cutover o sostituzione a caldo», la sostituzione di componenti o software del sistema della rete europea di gestione del traffico aereo (EATMN) mentre il sistema è in funzione;

13)	«requisito di sicurezza del software», una descrizione di ciò che il software deve produrre tenuto conto di determinati input e vincoli, il cui rispetto garantisce il funzionamento sicuro e conforme alle esigenze operative del software EATMN;

14)	«software EATMN», il software utilizzato nei sistemi EATMN di cui all’articolo 1;

15)	«validità dei requisiti», la conferma, attraverso il controllo e la fornitura di prove obiettive, che i requisiti particolari per un uso specifico sono quelli previsti;

16)	«da eseguire in modo indipendente», per quanto riguarda le attività del processo di verifica del software, l’indipendenza della verifica che deve essere compiuta da una o più persone diverse dallo sviluppatore dell’elemento da verificare;

17)	«malfunzionamento del software», l’incapacità di un programma di eseguire correttamente una funzione richiesta;

18)	«avaria del software», l’incapacità di un programma di eseguire una funzione richiesta;

19)	«COTS», un programma disponibile in commercio e venduto attraverso cataloghi pubblici e non destinato ad essere personalizzato o migliorato;

20)	«componente software», un modulo software che può essere aggiunto o collegato ad altri moduli software per combinare e creare un’applicazione software personalizzata;

21)	«componenti software indipendenti», i componenti software il cui funzionamento non è pregiudicato dalla stessa condizione di avaria che provoca un pericolo;

22)	«tempi di risposta del software», il tempo impiegato dal software per rispondere a determinati input o a eventi periodici e/o le prestazioni del software in termini di transazioni o messaggi gestiti per unità di tempo;

23)	«capacità del software», l’abilità del software a gestire un determinato volume di flusso di dati;

24)	«precisione», la precisione di calcolo richiesta;

25)	«utilizzo di risorse», la quantità di risorse del sistema informatico che può essere utilizzata dal software applicativo;

26)	«robustezza del software», il comportamento del software in caso di input imprevisti, guasti all’hardware e interruzioni dell’alimentazione elettrica, nel sistema informatico stesso oppure nei dispositivi collegati;

27)	«tolleranza al sovraccarico», il comportamento del sistema, in particolare la sua tolleranza, in caso di immissione di una quantità di dati superiore a quella prevista durante il normale funzionamento del sistema;

28)

«verifica corretta e completa del software EATMN», tutti i requisiti di sicurezza del software che enunciano correttamente le condizioni che devono essere rispettate dal componente software nell’ambito del processo di valutazione e riduzione dei rischi e che è dimostrato il rispetto di tali condizioni secondo il necessario livello di sicurezza del software;

29)

«dati del ciclo di vita del software», i dati prodotti durante il ciclo di vita del software per pianificare, dirigere, spiegare, definire, registrare o dare prova di attività; questi dati permettono l’approvazione del ciclo di vita del software, del sistema o delle apparecchiature, nonché delle modifiche apportate al prodotto software, dopo la sua approvazione;

30)

«ciclo di vita del software»:

a)	un insieme ordinato di processi che un’organizzazione ritiene sufficiente e idoneo a produrre un prodotto software;

b)	il periodo di tempo compreso tra la decisione di produrre o modificare un prodotto software e il momento in cui il prodotto è ritirato dal servizio;

31)	«requisito di sicurezza applicabile al sistema», un requisito di sicurezza che si applica a un sistema funzionale.

Articolo 3

Requisiti generali di sicurezza

1. Quando è tenuta a compiere un processo di valutazione e riduzione dei rischi conformemente alla legislazione comunitaria o nazionale in vigore, l’organizzazione definisce e attua un sistema di garanzia della sicurezza del software, riguardante in modo specifico le caratteristiche del software EATMN, comprese tutte le modifiche operative in linea, in particolare le procedure di cutover o le sostituzioni a caldo.

2. L’organizzazione assicura, come minimo, che il proprio sistema di garanzia della sicurezza del software è in grado di fornire argomentazioni e comprovare che:

a)	i requisiti di sicurezza del software enunciano correttamente i criteri che il software deve rispettare per essere conforme agli obiettivi e ai requisiti di sicurezza, individuati dal processo di valutazione e riduzione dei rischi;

b)	è assicurata la tracciabilità di tutti i requisiti di sicurezza del software;

c)	l’implementazione del software non contiene alcuna funzione che ne possa pregiudicare la sicurezza;

d)	il software EATMN soddisfa i requisiti pertinenti, con un livello di affidabilità coerente con la criticità del medesimo;

esistono garanzie del rispetto dei requisiti generali di sicurezza di cui alle lettere da a) a d) e argomentazioni che comprovano che tali garanzie poggiano, in ogni momento, su:

i)	una versione eseguibile nota del software;

ii)	un insieme noto di dati di configurazione;

iii)	un insieme noto dei prodotti software e delle relative descrizioni, comprese le specifiche, utilizzati nella produzione della versione in questione.

3. L’organizzazione fornisce all’autorità nazionale di vigilanza le garanzie richieste del rispetto delle prescrizioni di cui al paragrafo 2.

Articolo 4

Requisiti applicabili al sistema di garanzia della sicurezza del software

L’organizzazione garantisce, come minimo, che il sistema di garanzia della sicurezza del software:

1)	è documentato, in particolare nell’ambito della documentazione complessiva relativa alla valutazione e riduzione dei rischi;

2)	attribuisce livelli di garanzia del software a tutto il software EATMN operativo conformemente alle prescrizioni di cui all’allegato I;

offre garanzie circa:

a)	la validità dei requisiti di sicurezza del software, conformemente alle prescrizioni di cui all’allegato II, parte A;

b)	la verifica del software, conformemente alle prescrizioni di cui all’allegato II, parte B;

c)	la gestione della configurazione del software, conformemente alle prescrizioni di cui all’allegato II, parte C;

d)	la tracciabilità dei requisiti di sicurezza del software, conformemente alle prescrizioni di cui all’allegato II, parte D;

stabilisce il rigore delle singole garanzie. Il rigore è definito per ogni livello di garanzia del software e aumenta con l’aumentare della criticità del medesimo. A tal fine:

i vari gradi di rigore delle garanzie per ogni livello di garanzia del software comprendono i seguenti criteri:

i)	deve essere eseguito in modo indipendente;

ii)	deve essere eseguito;

iii)	non è richiesto;

b)	le garanzie corrispondenti a ogni livello di garanzia del software indicano con sufficiente affidabilità che il software EATMN può essere eseguito in condizioni di sicurezza tollerabili;

utilizza l’esperienza acquisita nell’uso del software EATMN per confermare l’adeguatezza del sistema di garanzia della sicurezza e dell’attribuzione dei livelli di garanzia. A tal fine, per valutare gli effetti di un malfunzionamento o di un’avaria del software, notificati conformemente alle prescrizioni pertinenti in materia di notifica e analisi degli eventi legati alla sicurezza, si confrontano con gli effetti ottenuti applicando al sistema interessato lo schema di classificazione della gravità di cui alla sezione 3.2.4 dell’allegato II del regolamento (CE) n. 2096/2005.

Articolo 5

Requisiti applicabili alle modifiche del software e di software specifici

1. Per ogni modifica del software o di determinati tipi di software come i COTS, il software esterno oppure il software riutilizzato per cui non si possono applicare alcune prescrizioni di cui all’articolo 3, paragrafo 2, lettere d) ed e) e all’articolo 4, paragrafi 2, 3, 4 o 5, l’organizzazione fa sì che il sistema di garanzia della sicurezza del software offra, attraverso altri mezzi scelti e approvati dall’autorità nazionale di vigilanza, un livello di affidabilità pari al pertinente livello di affidabilità del software, se definito.

Tali mezzi permettono di stabilire con sufficiente affidabilità che il software rispetta gli obiettivi e i requisiti di sicurezza individuati dal processo di valutazione e riduzione dei rischi legati alla sicurezza.

2. Per la valutazione dei mezzi di cui al paragrafo 1, l’autorità nazionale di vigilanza può fare ricorso a un’organizzazione riconosciuta o a un ente notificato.

Articolo 6

Modifica del regolamento (CE) n. 2096/2005

All’allegato II del regolamento (CE) n. 2096/2005 è aggiunta la seguente sezione:

«3.2.5 Sezione 5

Sistema di garanzia della sicurezza del software

Nell’ambito del funzionamento del sistema di gestione della sicurezza, un fornitore di servizi di traffico aereo attua un sistema di garanzia della sicurezza del software conformemente al regolamento (CE) n. 482/2008 del 30 maggio 2008, della Commissione che istituisce un sistema di garanzia della sicurezza del software obbligatorio per i fornitori di servizi di navigazione aerea e recante modifica del regolamento (CE) n. 2096/2005 (4).

Articolo 7

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Esso si applica a decorrere dal 1o gennaio 2009 al nuovo software dei sistemi EATMN di cui all’articolo 1, paragrafo 2.

Esso si applica a decorrere dal 1o luglio 2010 a ogni modifica apportata al software dei sistemi EATMN di cui all’articolo 1, paragrafo 2, in funzione in quel momento.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 30 maggio 2008.

Per la Commissione

Antonio TAJANI

Membro della Commissione

(1) GU L 96 del 31.3.2004, pag. 10.

(2) GU L 335 del 21.12.2005, pag. 13. Regolamento modificato dal regolamento (CE) n. 1315/2007 (GU L 291 del 9.11.2007, pag. 16).

(3) GU L 96 del 31.3.2004, pag. 1.

(4) GU L 141 del 31.5.2008, pag. 5.»

ALLEGATO I

Requisiti applicabili ai livelli di garanzia del software di cui all’articolo 4, paragrafo 2

Il livello di garanzia di un software mette in correlazione il rigore delle garanzie del software al grado di criticità del software EATMN utilizzando lo schema di classificazione della gravità stabilito all’allegato II, punto 3.2.4, sezione 4, del regolamento (CE) n. 2096/2005 della Commissione, in combinazione con la probabilità che si verifichi un determinato effetto avverso. Sono individuati almeno quattro livelli di garanzia del software, dei quali il livello 1 designa il livello più critico.

Il livello di garanzia del software assegnato è commisurato all’effetto più negativo che può essere causato da malfunzionamenti o avarie del software, come stabilito nell’allegato II, punto 3.2.4, sezione 4, del regolamento (CE) n. 2096/2005 della Commissione. Tale livello tiene conto, in particolare, dei rischi collegati ai malfunzionamenti o alle avarie del software e alle difese a livello di architettura e/o procedura individuate.

3.	Ai componenti del software EATMN dei quali non è possibile dimostrare l’indipendenza è assegnato il livello di garanzia corrispondente al componente dipendente più critico.

ALLEGATO II

Parte A: Prescrizioni applicabili alla garanzia della validità dei requisiti di sicurezza del software di cui all’articolo 4, paragrafo 3, lettera a)

I requisiti di sicurezza del software specificano il comportamento operativo nelle modalità di funzionamento nominale e ridotto del software EATMN, nonché, in base alle esigenze, i tempi di risposta, la capacità, la precisione, l’utilizzo di risorse software nell’hardware per il quale il software è progettato, la sua robustezza in condizioni anomale di funzionamento e la sua tolleranza al sovraccarico.

2.	I requisiti di sicurezza del software sono completi, corretti e conformi ai requisiti di sicurezza del sistema.

Parte B: Prescrizioni applicabili alla garanzia della verifica del software di cui all’articolo 4, paragrafo 3, lettera b)

Il comportamento funzionale del software EATMN, i tempi di risposta, la capacità, la precisione, l’utilizzo di risorse software nell’hardware per il quale il software è progettato, la sua robustezza in condizioni anomale di funzionamento e la sua tolleranza al sovraccarico sono conformi ai requisiti del software.

2.	Il software EATMN è verificato adeguatamente attraverso analisi e/o prove e/o mezzi equivalenti, secondo quanto concordato con l’autorità nazionale di vigilanza.

3.	La verifica del software EATMN è corretta e completa.

Parte C: Prescrizioni applicabili alle garanzie di gestione della configurazione del software di cui all’articolo 4, paragrafo 3, lettera c)

Sono previste procedure di identificazione della configurazione, nonché di tracciabilità e di registrazione dello stato della configurazione, che permettono di dimostrare che i dati relativi al ciclo di vita del software sono sottoposti a un controllo di configurazione durante l’intero ciclo di vita del software EATMN.

2.	Sono previste procedure per la notifica dei problemi e il seguito da dare ai medesimi, nonché azioni correttive che permettono di dimostrare che i problemi di sicurezza legati al software sono stati ridotti.

3.	Sono previste procedure di recupero e di rilascio che permettono di ricostruire e di restituire i dati del ciclo di vita del software nel corso dell’intero ciclo di vita del software.

Parte D: Prescrizioni applicabili alle garanzie di tracciabilità dei requisiti di sicurezza del software di cui all’articolo 4, paragrafo 3, lettera d)

1.	La tracciabilità di ogni requisito di sicurezza del software permette di risalire al livello di progettazione al quale se ne dimostra il rispetto.

2.	La tracciabilità di ogni requisito di sicurezza del software, ad ogni livello di progettazione al quale se ne dimostra il rispetto, permette di risalire a un requisito di sicurezza del sistema.

Top