REGOLAMENTO PER LA CONCESSIONE ED IL MANTENIMENTO DELLA CERTIFICAZIONE DEI SISTEMI DI GESTIONE

Transcript

1 Pag 1 di 13 REGOLAMENTO PER LA CONCESSIONE ED IL MANTENIMENTO DELLA CERTIFICAZIONE DEI SISTEMI INDICE Art. 1 OGGETTO DEL REGOLAMENTO 1.1 CAMPO DI APPLICAZIONE 1.2 ACCESSO ALLA CERTIFICAZIONE 1.3 TERMINOLOGIA Art. 2 REQUISITI GENERALI PER LA CERTIFICAZIONE DI UN SG Art. 3 CONCESSIONE DELLA CERTIFICAZIONE 3.1 RICHIESTA DI CERTIFICAZIONE 3.2 VALUTAZIONE DELLA DOMANDA DI CERTIFICAZIONE 3.3. VALUTAZIONE DEL SG PRESSO L ORGANIZZAZIONE 3.4 CONCESSIONE E REGISTRAZIONE DELLA CERTIFICAZIONE 3.5 CLASSIFICAZIONE DELLE CARENZE RILEVATE DURANTE GLI AUDIT 3.6 VISITE IN ACCOMPAGNAMENTO Art. 4 MANTENIMENTO DELLA CERTIFICAZIONE Art. 5 RINNOVO DELLA CERTIFICAZIONE Art. 6 ESTENSIONE E RIDUZIONE DELLA CERTIFICAZIONE Art. 7 RINUNCIA, SOSPENSIONE E REVOCA DELLA CERTIFICAZIONE E SUBENTRO 7.1 RINUNCIA 7.2 SOSPENSIONE 7.3 REVOCA 7.4 SUBENTRO Art. 8 RECLAMI, APPELLI E CONTENZIOSI 8.1 RECLAMI 8.2 APPELLI 8.3 CONTENZIOSI Art. 9 TARIFFE Art. 10 CONSENSO AL SUBAPPALTO Art. 11 RISERVATEZZA Art. 12 PUBBLICITÀ - USO DEL CERTIFICATO E DEL MARCHIO DI CERTIFICAZIONE Art.13 PENALI Il presente regolamento entra in vigore dal 28/11/ /11/ /04 5 Ultime parti evidenziate R. Zavattari P. Cau 24/03/ /04 4 Parti evidenziate R. Zavattari P. Cau 30/04/ /04 3 Agg.. a ISO R. Zavattari P. Cau 04/07/ /04 2 Aggiornamento art 2.2, 3.3, 4, 5 R. Zavattari P. Cau 18/05/ /04 1 Aggiornamento art. 2.1, 4, 5 R. Zavattari P. Cau 01/03/ /04 0 Prima emissione - Sost. Reg.004/95 e. Reg.006/97 R. Zavattari P. Cau Data Doc. N. Rev Descrizione Visto Approvato

2 Pag 2 di 13 Art. 1 OGGETTO DEL REGOLAMENTO Il presente Regolamento stabilisce le procedure applicate dal Sistema CSICERT, di seguito denominato CSICERT, per la certificazione di Sistemi di Gestione e le modalità che devono seguire le aziende per chiedere, ottenere e mantenere tale certificazione. Nell'ambito dell'applicazione del presente regolamento CSICERT non fornisce servizi di consulenza alle aziende per l'impostazione del loro sistema di gestione né per la stesura dei documenti ad esso relativi. 1.1 CAMPO DI APPLICAZIONE La certificazione si riferisce solo alla conformità del sistema di gestione alle norme di riferimento indicate al punto 2.1 e non garantisce la rispondenza dei prodotti o dei servizi forniti a norme, regole o ad altri documenti normativi specificatamente ad essi applicabili. 1.2 ACCESSO ALLA CERTIFICAZIONE L'accesso alla certificazione è garantito da CSICERT secondo procedure non discriminatorie ovvero: tutte le organizzazioni le cui attività rientrano nel campo di applicazione della norma di riferimento applicabile possono accedere alla certificazione senza condizionamento derivante dalla loro appartenenza o meno a qualsiasi associazione o gruppo; non vengono applicati indebiti condizionamenti di natura finanziaria e/o di altro tipo; non viene condizionato dal numero di certificati già emessi. Per l'attività di certificazione CSICERT applicherà le proprie tariffe vigenti, garantendone l'equità e l'uniformità di applicazione. Tutte le decisioni prese circa la certificazione rispondono a criteri di imparzialità e di obiettiva evidenza della conformità e non sono influenzate da altri interessi; sono inoltre garantite competenza, responsabilità, riservatezza e sensibilità ai reclami La corretta applicazione delle procedure e del rispetto dei principi suddetti è garantita dal Comitato per la salvaguardia dell imparzialità (Consiglio Direttivo) di CSICERT nel quale sono rappresentate tutte le parti interessate all attività di certificazione senza predominanza di singoli interessi. 1.3 TERMINOLOGIA La terminologia usata nel presente regolamento è conforme alle norme UNI EN ISO 9000:2005 ISO/IEC 17000:2004. Per organizzazione si intende l azienda che accede ai servizi di CSICERT. Art. 2 REQUISITI GENERALI PER LA CERTIFICAZIONE DI UN SISTEMA (SG) Per ottenere e mantenere la certificazione da parte di CSICERT, il Sistema di Gestione di una Organizzazione deve, per quanto applicabile in relazione al tipo di prodotto o servizio considerato, soddisfare inizialmente e mantenere nel tempo la conformità ai requisiti della norma di riferimento. Le aziende che richiedono la certificazione del proprio SG devono indicare la norma di riferimento applicabile scegliendo fra quelle elencate al punto 2.1. CSICERT rilascia la certificazione ad organizzazioni il cui sistema di gestione (SG) sia stato riconosciuto conforme ai requisiti applicabili stabiliti dalla norma di riferimento scelta fra quelle indicate al punto 2.1, valutati secondo quanto prescritto dai documenti emanati dall ente di accreditamento cui CSI è tenuto ad uniformarsi (vedere 2.2). Nel richiedere la certificazione l organizzazione deve indicare lo scopo di certificazione ovvero, le attività e i siti che intende certificare. L eventuale esclusione dallo scopo di certificazione di attività svolte, siti, requisiti normativi, prodotti o processi, sarà valutata e conseguentemente accettata o meno in linea con quanto previsto dalle norme di riferimento applicabili (vedere 2.1) o da norme o altri documenti di riferimento cui CSI è tenuto ad uniformarsi (vedere 2.2). Tutte le attività di verifica (audit) presso le sedi dell organizzazione devono essere effettuate in periodi durante i quali sono in corso le attività oggetto di certificazione. Tutto quanto previsto dal presente regolamento e, conseguentemente, la certificazione rilasciata da CSI è applicabile a tutte le attività e sedi dell organizzazione seguenti: a) durante la fase di rilascio: quelle indicate nella domanda di certificazione presentata dall organizzazione; b) durante le fasi di mantenimento e rinnovo: quelle indicate sul certificato emesso da CSI. La certificazione potrà essere rilasciata con riferimento: a) alle sedi/unità operative seguenti: regolarmente registrate presso la CCIAA; oppure

3 Pag 3 di 13 regolarmente presidiate, nei soli casi in cui l iscrizione alla CCIAA non sia richiesta dalla legislazione vigente. b) alle attività seguenti: che compaiono nel certificato di iscrizione alla CCIAA; oppure che compaiono nello scopo sociale, nei soli casi in cui l iscrizione alla CCIAA non sia richiesta dalla legislazione vigente NORME E DOCUMENTI DI RIFERIMENTO PER I SISTEMI UNI EN ISO 9001:2008 Sistemi di gestione per la qualità - Requisiti UNI EN ISO : 2004 Sistemi di gestione ambientale. Requisiti e guida per l uso ISO 22000:2005 Sistemi di gestione della sicurezza alimentare Requisiti per tutte le organizzazioni nella catena alimentare BS-OHSAS 18001: 2007 Occupational health and safety management system - Requirements UNI 10617:2009 Impianti a rischio di incidente rilevante Sistema di gestione della sicurezza terminologia e requisiti essenziali. UNI EN ISO 13485: 2004 Dispositivi medici sistemi di gestione della qualità requisiti per scopi regolamentari UNI TR 11331:2009 Sistemi di gestione ambientale Indicazioni relative all applicazione della UNI EN ISO in Italia, formulate a partire dalle criticità emerse e dalle esperienze pratiche 2.2. NORME E DOCUMENTI DI RIFERIMENTO PER CSI Di seguito sono indicati i riferimenti delle norme e/o documenti di altra natura che regolamentano le attività di certificazione ed ai quali CSI è tenuto ad uniformarsi nell ambito dell accreditamento. I requisiti contenuti in tali documenti sono riferiti e vincolanti per CSI; tuttavia il rispetto di tali requisiti da parte di CSI può avere influenza sull organizzazione certificata che, conseguentemente, è tenuta ad accettarli e uniformarvisi. UNI CEI EN ISO/IEC Valutazione della conformità Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione UNI EN ISO Linee guida per gli audit dei sistemi di gestione per la qualità e/o di gestione ambientale, per quanto applicabile. ISO Sistemi di gestione della sicurezza alimentare Requisiti per gli enti che forniscono audit dei sistemi di gestione della sicurezza alimentare Documenti emanati dall ente di accreditamento ACCREDIA, dall EA e/o dallo IAF applicabili al sistema di gestione e/o settore specifico cui CSICERT è tenuto ad uniformarsi (per es. regolamento ACCREDIA RG01; regolamenti tecnici SINCERT RT05 RT09 RT012; doc. IAF MD1 MD2 MD3 MD4 e MD5 Altre norme emanate dagli Enti di normazione UNI e/o ISO e/o CEN relative ad aspetti/settori specifici cui CSICERT è tenuto ad uniformarsi Delle norme indicate in 2.1 e 2.2 viene applicata l ultima revisione in vigore, tenendo conto di eventuali periodi di transizione e/o coesistenza fra due edizioni successive in base alle regole definite a livello nazionale e/o internazionale caso per caso. Art. 3 CONCESSIONE DELLA CERTIFICAZIONE 3.1 RICHIESTA DI CERTIFICAZIONE La richiesta di certificazione è articolata in due momenti: il primo (richiesta di offerta) nel corso della quale CSICERT invia all organizzazione interessata una offerta economica per l erogazione del servizio; a tale scopo l organizzazione deve fornire a CSICERT le informazioni necessarie attraverso l invio del modulo di richiesta offerta compilato in ogni sua parte. Le informazioni necessarie possono essere raccolte da CSICERT anche in altra forma (es. contatto telefonico o posta elettronica). Il secondo (domanda di certificazione) nel quale, avendo ritenuto accettabile l offerta economica ricevuta, l organizzazione che desidera ottenere la certificazione del proprio SG presenta formale richiesta. inviando a CSICERT la seguente documentazione: a) modulo di domanda compilato in ogni sua parte; b) contratto di certificazione firmato per accettazione dal legale rappresentante; CSICERT potrà richiedere a sua discrezione, per esame, documentazione del SG (es. manuale, procedure, altra documentazione pertinente), giudicati importanti ai fini della valutazione del SG.

4 Pag 4 di 13 Con la presentazione della domanda di certificazione CSICERT si impegna nei confronti dell Organizzazione richiedente al trattamento riservato di tutte le informazioni e documentazioni di cui entrerà in possesso nell ambito del servizio erogato. Con la presentazione della domanda di certificazione l Organizzazione si impegna ad accettare contrattualmente quanto previsto dal presente regolamento ed a: rispettare tutti i requisiti applicabili previsti dalla norma di riferimento scelta (vedere 2.1.); accettare le modalità operative per la valutazione dei sistemi di gestione adottate da CSI previste dai documenti cui CSI è tenuto ad uniformarsi (vedere 2.2). 3.2 VALUTAZIONE DELLA DOMANDA DI CERTIFICAZIONE Al ricevimento della domanda di certificazione e della documentazione eventualmente richiesta CSICERT effettua un riesame per verificarne la completezza e la congruità rispetto alle informazioni che ha ricevuto in fase di richiesta offerta e in base alle quali ha predisposto l offerta economica per l erogazione del servizio. A verifica effettuata CSI: a) in caso di esito positivo: invia all Organizzazione per iscritto la conferma di ricevimento e accettazione della domanda stessa; b) in caso di esito negativo: invia all organizzazione una comunicazione con richiesta delle informazioni integrative ritenute necessarie e, se necessario, un aggiornamento dell offerta economica. La richiesta di certificazione dell Organizzazione e la relativa accettazione da parte di CSICERT formalizzano contrattualmente gli interventi previsti dal presente regolamento VALUTAZIONE DEL SG PRESSO L ORGANIZZAZIONE La valutazione del SG viene eseguita presso la sede dell Organizzazione attraverso un audit, la cui pianificazione, comunicata preventivamente alla stessa, ha lo scopo di verificare la conformità del SG rispetto ai requisiti applicabili e la sua corretta applicazione ed efficacia. Tale audit viene effettuato da un gruppo di audit, costituito da uno o più ispettori qualificati da CSICERT, la cui composizione viene preventivamente comunicata all Organizzazione che ha facoltà di richiederne la sostituzione, di uno o più dei componenti del gruppo di audit, motivando per iscritto le ragioni. Il Gruppo di audit sarà considerato tacitamente accettato salvo comunicazione contraria entro 3 (tre) giorni dal ricevimento della notifica. La scelta dei componenti del gruppo di audit viene fatta da CSICERT secondo logiche di competenza (secondo quanto prescritto dalle regole di accreditamento) e di territorialità; pertanto, nel caso di richiesta di sostituzione di uno o più dei componenti del gruppo di audit da parte dell organizzazione, i costi aggiuntivi derivanti da tale richiesta (per es. costi di trasferta) non previsti nelle condizioni economiche di fornitura del servizio,saranno a carico dell organizzazione. L audit per la valutazione del SG presso l organizzazione viene eseguito in due fasi (stage 1 e stage 2) eseguite separatamente; Ciascuna delle due fasi dell audit di valutazione viene svolta in sintesi nel modo seguente: una riunione iniziale con la Direzione ed i responsabili di funzione dell Organizzazione per illustrare le finalità e le modalità di effettuazione della visita stessa; visite e interviste nelle aree dove vengono svolte le attività dell Organizzazione per valutare quanto illustrato ai successivi e 3.3.2; una riunione finale per illustrare i risultati della visita. I risultati complessivi delle due fasi di valutazione e le eventuali carenze riscontrate sono verbalizzate su due distinti rapporti di audit che viengono consegnati in copia all Organizzazione. L organizzazione ha la possibilità di esprimere riserve sui risultati dell audit. I rapporti di audit si intendono confermati salvo comunicazione contraria da parte di CSICERT entro 7 (sette) giorni lavorativi. Nel caso in cui al termine dello stage 2 vengano rilevate NC o OSS, l organizzazione deve comunicare a CSICERT entro 10 (dieci) giorni lavorativi dalla data dell audit le azioni correttive che intende apportare (eventualmente allegando documentazione di supporto ad evidenza di quanto attuato). Solo in caso di risultato positivo (nessuna non conformità rilevata) dello stage 1 è possibile eseguire lo stage 2; l organizzazione ha la facoltà di richiedere una deroga a tale prescrizione ma, in ogni caso, il permanere di non conformità al termine dello stage 2 impedirà l emissione del certificato fino a quando CSICERT non avrà verificato l adeguata risoluzione delle stesse. Al termine dell audit di stage 2 il gruppo di audit analizzerà le risultanze dello stage 1 e stage 2 per formulare un giudizio complessivo sulle conclusioni dell audit.

5 Pag 5 di Visita di stage 1 La visita di stage 1 ha, lo scopo seguente: a) valutare la conformità della documentazione del sistema di gestione dell organizzazione; b) valutare il sito dell organizzazione e sue eventuali specifiche condizioni e, attraverso colloqui con il personale, determinare il grado di preparazione per lo stage 2; c) riesaminare il grado di conoscenza dei requisiti normativi con particolare riferimento a: identificazione di: prestazioni fondamentali o aspetti significativi delle attività svolte, dei processi, degli obiettivi e operatività del sistema di gestione; d) raccogliere informazioni circa lo scopo del sistema di gestione; i processi; il sito dell organizzazione e i relativi requisiti cogenti applicabili, la conformità rispetto a questi ed eventuali autorizzazioni; e) verificare se composizione e competenze del gruppo di audit incaricato sono adeguate per il successivo stage 2; f) fornire gli elementi fondamentali per la pianificazione del successivo stage 2; g) valutare se gli audit interni e il riesame della direzione sono stati pianificati ed eseguiti e che il livello di implementazione del sistema fornisce evidenza che l organizzazione è preparata per lo stage 2. h) Nel caso della certificazione secondo la UNI EN ISO 22000, dovranno essere analizzati anche i vari PRP, PRPOP, CCP, etc. i) Nel caso di certificazioni in conformità alle norma UNI EN ISO e BS-OHSAS 18001, valutare lo stato autorizzativo rispetto ai requisiti cogenti applicabili; j) Nel caso di certificazioni in conformità alla norma BS-OHSAS 18001, che il sistema di gestione SCR comprenda un processo solido, dinamico e partecipato di identificazione dei pericoli e valutazione dei relativi rischi inerenti la salute e la sicurezza sul luogo di lavoro, e che tali rischi coprano tutti i possibili pericoli compresi quelli derivanti dai processi messi in essere da fornitori che operano, anche in modo sporadico, presso il sito/i siti oggetto di certificazione, quelli relativi alla presenza dei visitatori; Nel rapporto di audit dello stage 1 vengono fornite indicazioni circa i tempi per l esecuzione dello stage 2, tenendo conto delle eventuali carenze rilevate nello stage 1 e del tempo necessario all organizzazione per risolverle. Gli audit di stage 1 e stage 2 sono, di regola, eseguiti con un intervallo sufficiente all organizzazione per risolvere le eventuali carenze rilevate nello stage 1 (nel caso di una certificazione secondo la UNI EN ISO 22000, tale intervallo non potrà superare i 6 mesi; se tale intervallo dovesse essere superato, sarà necessario svolgere un nuovo audit di stage 1); per questa ragione la consecutività fra i due stage è, di regola, ammessa solamente nel caso in cui lo stage 1 non abbia evidenziato carenze. Tuttavia è facoltà dell organizzazione chiedere una deroga a tale regola, compilando l apposito spazio sul documento attestazione di audit ; in tal caso l organizzazione è consapevole che il permanere di non conformità al termine dello stage 2 impedirà il rilascio della certificazione fino a che CSICERT non abbia avuto evidenza della loro risoluzione. Per ragioni di ottimizzazione della pianificazione degli audit la consecutività degli audit di stage 1 e stage 2 sono accettate nei casi seguenti: organizzazioni di piccole dimensioni (fino a 10 dipendenti equivalenti calcolati); nel caso di presenza complessiva del gruppo di audit on site per l audit iniziale (stage 1 + stage 2) fino a 1,5 gg Nel caso si evidenzino, nel corso dello stage 1, condizioni tali da richiedere una modifica dei tempi di audit della verifica di stage 2, CSICERT provvederà ad aggiornare l offerta economica ed inviarla all organizzazione; la verifica di fase 2 potrà essere eseguita solamente se l organizzazione ha accettato le nuove condizioni economiche. La mancata accettazione delle nuove condizioni economiche configura automaticamente la rinuncia da parte dell organizzazione al proseguimento dell iter di certificazione Visita di stage 2 La visita di stage 2 ha lo scopo di valutare l implementazione, l efficacia e la conformità del sistema di gestione dell organizzazione rispetto a requisiti applicabili e includerà almeno quanto segue: a) informazioni ed evidenze della conformità del SG rispetto ai requisiti applicabili della norma di riferimento o di altri documenti normativi applicabili; b) monitoraggio delle prestazioni, misurazioni, reporting e riesame rispetto agli obiettivi, traguardi e prestazioni fondamentali (secondo quanto richiesto dalla norma di sistema o altro documento normativo applicabile); c) prestazioni del sistema di gestione del organizzazione rispetto ai requisiti cogenti applicabili; d) controllo operativo dei processi dell organizzazione; e) verifiche ispettive interne e riesame della direzione;

6 Pag 6 di 13 f) responsabilità della direzione per la politica dell organizzazione; g) collegamenti fra requisiti normativi, traguardi e obiettivi prestazionali (secondo quanto richiesto dalla norma di sistema o altro documento normativo applicabile), requisiti cogenti applicabili, responsabilità, competenze del personale, attività, procedure, dati sulle prestazioni, risultanze e conclusioni degli audit interni. 3.4 CONCESSIONE E REGISTRAZIONE DELLA CERTIFICAZIONE La decisione sul rilascio della certificazione è responsabilità del comitato di certificazione (funzione tecnica deliberante) di CSICERT. La certificazione viene rilasciata solamente a condizione che il risultato complessivo della valutazione presso l Organizzazione (audit di stage 1 e stage 2) sia positivo; ovvero: a) il piano di azioni correttive predisposto dall organizzazione per le eventuali NC e OSS rilevate sia accettato da CSICERT; e b) nel caso siano state rilevate non conformità (NC), CSICERT abbia avuto evidenza della loro efficace risoluzione (o attraverso adeguata documentazione fornita dall organizzazione stessa o attraverso una verifica supplementare presso l organizzazione). La decisone viene comunicata all Organizzazione. In caso di decisione positiva viene rilasciato e registrato il certificato di conformità del SG in esame che ha validità di tre anni ed è rinnovabile. Nel caso in cui non venga rilasciata la certificazione, CSICERT comunicherà all organizzazione le modalità per il proseguimento dell iter di certificazione. Se l Organizzazione non concorda con le decisioni prese da CSICERT può chiedere un supplemento di indagine, esponendo le motivazioni del proprio dissenso. A fronte di tale richiesta CSICERT riesamina e conferma o modifica la decisione presa eventualmente disponendo ulteriori accertamenti e visite per le quali potrà utilizzare un gruppo di valutazione diverso da quello che ha effettuato la precedente visita. La certificazione viene rilasciata e registrata a fronte del pagamento della quota prevista. Una copia della documentazione del SG esaminata ed approvata da CSCERT deve essere: inviata in formato elettronico a CSICERT successivamente all audit di certificazione (stage 2); conservata dall Organizzazione in forma controllata e tenuta a disposizione di CSICERT per eventuali verifiche. 3.5 CLASSIFICAZIONE DELLE CARENZE RILEVATE DURANTE GLI AUDIT Durante gli audit di valutazione della conformità le eventuali carenze del sistema di gestione in esame sono classificate come segue: Non conformità (NC); nel caso in cui sia riscontrato un completo non soddisfacimento di un requisito applicabile o un parziale soddisfacimento di un requisito che: abbia, o lasci ragionevolmente presupporre (o fornisca dubbi significativi) di avere, come conseguenza il non rispetto di un requisito (cogente o atteso, o richiesto o concordato contrattualmente con il cliente) applicabile al prodotto fornito o servizio erogato nell ambito delle attività incluse nello scopo di certificazione; e/o abbia, o lasci ragionevolmente presupporre (o fornisca dubbi significativi) di avere, come conseguenza l incapacità del sistema di gestione di conseguire i risultati previsti e/o pianificati (siano essi in ambito cogente, volontario concordati contrattualmente con i clienti e/o le parti interessate) nell ambito delle attività incluse nello scopo di certificazione. Osservazioni (OSS): nel caso in cui sia riscontrato un parziale non soddisfacimento di un requisito che: non abbia, o lasci ragionevolmente presupporre (o fornisca dubbi significativi) di non avere, come conseguenza il non rispetto di un requisito (cogente o atteso, o richiesto o concordato contrattualmente con il cliente) applicabile al prodotto fornito o servizio erogato nell ambito delle attività incluse nello scopo di certificazione; e/o non abbia, o lasci ragionevolmente presupporre (o fornisca dubbi significativi) di non avere, come conseguenza l incapacità del sistema di gestione di conseguire i risultati previsti e/o pianificati (siano essi in ambito cogente, volontario concordati contrattualmente con i clienti e/o le parti interessate) nell ambito delle attività incluse nello scopo di certificazione. Commenti (COM): indicazioni relative ad azioni che sono ritenute utili ai fini del miglioramento del sistema di gestione, sia nel suo complesso sia su aspetti specifici. Presuppongono la conformità rispetto al requisito applicabile.

7 Pag 7 di VISITE IN ACCOMPAGNAMENTO Alle visite condotte da CSICERT presso le organizzazioni per la valutazione del sistema di gestione (rilascio, mantenimento, rinnovo, supplementari) i gruppi di audit incaricati possono essere affiancati da osservatori: nominati dall ente di accreditamento con lo scopo di monitorare la conformità del servizio erogato da CSICERT; nominati da CSICERT con lo scopo di monitorare l attività dei propri auditor. L eventuale presenza di tale figura sarà preventivamente comunicata da CSICERT all organizzazione interessata. La mancata accettazione della presenza di tale figura da parte dell organizzazione impedirà l erogazione del servizio con le conseguenze relative per l organizzazione stessa; ovvero: sospensione o non rinnovo della certificazione già rilasciata, oppure interruzione dell iter di rilascio della certificazione. Gli eventuali danni per l organizzazione conseguenti all adozione di tale provvedimento non potranno essere imputati a CSICERT. Art. 4 MANTENIMENTO DELLA CERTIFICAZIONE CSICERT effettua un controllo periodico, sulle aziende certificate per verificare il mantenimento della conformità del SG rispetto ai requisiti applicabili, tale attività viene pianificata e concordata con l Organizzazione. Per tutto il periodo di validità del certificato valgono le seguenti condizioni: 1) L Organizzazione certificata deve mantenere attivo e conforme ai requisiti applicabili ilproprio sistema di gestione. 2) Ogni modifica al SG relativa ad attività rientranti nel campo di applicazione della certificazione deve essere preventivamente sottoposta a CSICERT per approvazione. 3) Ogni modifica societaria intrapresa dall organizzazione deve essere comunicata a CSICERT che valuterà la necessità di effettuare verifiche non programmate, aggiornando conseguentemente il certificato emesso; rientrano in questi casi, a titolo di esempio non esaustivo: cambiamenti di ragione sociale, modifiche della composizione sociale o della proprietà; cessioni o acquisizioni di attività e/o rami di azienda rientranti fra quelle coperte dalla certificazione. 4) Ogni modifica apportata da CSICERT al presente regolamento deve essere notificata per iscritto a tutte le aziende il cui SG è certificato da CSICERT, le quali devono adeguarsi alle nuove disposizioni. CSICERT informa le suddette Aziende delle modifiche apportate alle proprie disposizioni, fissando anche il termine entro il quale le stesse devono adeguare il proprio SG alle nuove disposizioni. 5) CSICERT, durante il periodo di validità del certificato, effettua una visita di sorveglianza ogni 12 mesi (solari) a partire dalla data di conclusione dell audit di certificazione (stage2) o rinnovo, fatte salve le eventuali differenti tempistiche/tolleranze stabilite da disposizioni di legge o da quanto eventualmente richiesto dall ente di accreditamento o dai documenti di riferimento applicabili all'organizzazione (vedere 2.1) o cui CSI è tenuto ad uniformarsi (vedere 2.2). Le visite di sorveglianza saranno programmate in modo tale da consentire di verificare, nell'arco dei tre anni di validità del certificato, almeno una volta, ogni requisito applicabile della norma di riferimento secondo cui il SG è stato certificato. Eventuali verifiche di sorveglianza supplementari ravvicinate possono essere disposte da CSICERT in relazione ai risultati delle visite di certificazione o di sorveglianza effettuate. L effettuazione degli audit di sorveglianza oltre i termini indicati comporta la sospensione della certificazione (vedere 7.2). Durante le visite di sorveglianza CSICERT verificherà anche il corretto utilizzo del marchio di certificazione da parte dell Organizzazione certificata. Per quanto attiene allo schema SCR a norma BS-OHSAS 18001, durante il periodo di validità del certificato, nel primo ciclo di certificazione, CSICERT effettua la prima visita di sorveglianza a mesi 6 dall Audit iniziale (a partire dalla data di conclusione dell audit di certificazione - stage2), la seconda sorveglianza a mesi 12 e la terza sorveglianza a mesi 24 (sempre a partire dalla data di conclusione dell audit di certificazione - stage2). 6) Visite di sorveglianza non programmate possono avere luogo qualora CSICERT lo ritenga necessario. Il costo di tali visite è a carico di CSICERT nel caso in cui non vengano rilevate delle non conformità. 7) Le visite di sorveglianza, programmate e non, si svolgono secondo le stesse modalità previste per la visita di certificazione (vedere 3.3), sia per quanto riguarda lo svolgimento sia per la compilazione dei relativi rapporti di visita e per le eventuali non conformità rilevate. 8) L organizzazione certificata comunicare tempestivamente a CSI:

8 Pag 8 di 13 - qualsiasi provvedimento adottato nei propri confronti dall autorità competente per violazione di requisiti di legge applicabili ai prodotti/servizi; - l adozione di procedure di richiamo dal mercato di prodotti risultati non conformi ai requisiti; fornendo tutte le informazioni relative all evento in modo che CSI possa definire la situazione, la sua influenza sulla certificazione ed attuare le verifiche od azioni ritenute adeguate. Le modifiche rientranti nei casi 2) e 3) sopra descritti vengono sottoposte per approvazione al comitato di certificazione (funzione tecnica deliberante) di CSICERT Oltre alle attività sopra descritte CSICERT si riserva la facoltà di verificare il mantenimento dello stato di conformità delle certificazioni rilasciate attraverso: a) inchieste e questionari rivolti alle organizzazioni certificate in riferimento ad aspetti riguardanti la certificazione; b) la valutazione di documentazione e/o dichiarazioni delle organizzazioni certificate in relazione alle attività oggetto della certificazione e diffuse in qualsiasi forma verso il mercato (per es. material pubblicitario, siti web, ecc.); c) la richiesta alle organizzazioni certificate di documentazioni e/o registrazioni (in qualunque forma siano esse disponibili); d) altri sistemi di monitoraggio delle prestazioni delle organizzazioni certificate. e) Audit con breve preavviso (minimo di 7 giorni) per indagare sui reclami, in risposta a cambiamenti o come attività di verifica per clienti con certificazione sospesa; queste ultime vengono erogate a titolo non oneroso per il cliente solamente nel caso in cui l audit abbia esito positivo. Nel caso in cui, durante le visite di mantenimento o a seguito di comunicazioni specifiche dell organizzazione, si riscontrino condizioni tali da richiedere una modifica dei tempi di durata degli audit, CSICERT provvederà ad aggiornare l offerta economica ed inviarla all organizzazione; la verifiche successive potranno essere eseguite solamente se l organizzazione ha accettato le nuove condizioni economiche. La mancata accettazione delle nuove condizioni economiche configura automaticamente la rinuncia da parte dell organizzazione e attiva le azioni conseguenti (vedere 7.1). Al termine delle attività di verifica del mantenimento dello stato di conformità delle certificazioni rilasciate, CSICERT ne comunica i risultati all organizzazione certificata confermando o meno la certificazione. Art. 5 RINNOVO DELLA CERTIFICAZIONE Al termine del periodo di validità del certificato il rinnovo avviene dopo una visita di valutazione presso l organizzazione (audit di rinnovo) che deve essere eseguito entro 36 mesi dalla data di conclusione dell audit di certificazione (stage 2) o dell ultimo audit di rinnovo. L audit di rinnovo deve tuttavia essere eseguito con sufficiente anticipo rispetto alla data di scadenza del certificato; tale anticipo deve essere sufficiente da consentire a CSICERT di deliberare il rinnovo del certificato entro la scadenza dello stesso. A tale scopo l audit di rinnovo presso l organizzazione e tutte le azioni conseguenti ad esso (per es. invio di documentazione, del piano di azioni correttive, esecuzione di verifiche in campo supplementari, ecc.) dovranno essere concluse almeno 15 giorni lavorativi prima della scadenza del certificato. Nota: sono fatte salve eventuali diverse disposizioni previste dalle norme o documenti di riferimento applicabili (vedere 2.1 e 2.2) Nel caso in cui, per cause di forza maggiore, l organizzazione sia impossibilitata ad eseguire la visita di rinnovo entro i tempi previsti potrà essere richiesto, con comunicazione scritta, un posticipo che sarà gestito come segue fino a 3 (tre) mesi: l audit di rinnovo sarà eseguito senza alcuna modifica dei tempi previsti e/o onere aggiuntivo per l organizzazione; oltre 3 (tre) e fino a 6 (sei) mesi: la durata dell audit sarà uguale a quella prevista per un audit iniziale di certificazione (stage 1 + stage 2) con conseguente aggravio dei costi per l organizzazione che verranno comunicati preventivamente da CSICERT; oltre i 6 (sei) mesi: sarà avviato un nuovo iter di certificazione. Sono considerate cause di forza maggiore tutti i casi in cui la situazione in essere renda di fatto impossibile valutare lo svolgimento delle attività/processi per le quali l organizzazione è certificata (per es. personale in cassa integrazione; ristrutturazioni aziendali). In ogni caso in cui, per ragioni non imputabili a CSICERT, il rinnovo del certificato possa avvenire solamente successivamente alla data di scadenza dello stesso, CSICERT non potrà essere ritenuto responsabile per eventuali danni che l organizzazione dovesse subire nel periodo in cui il certificato risulterà scaduto. Ogni certificato successivo al primo ha la validità di 3 (tre) anni. Il rinnovo del contratto di certificazione rinnova anche l'accettazione, da parte dell'organizzazione, delle condizioni economiche praticate da CSICERT per tutte le attività previste dal presente Regolamento.

9 Pag 9 di 13 Prima dell esecuzione della visita di rinnovo CSICERT invierà all organizzazione certificata un modulo per la verifica dei dati in proprio possesso sulla base del quale invierà all organizzazione una offerta economica per il rinnovo della certificazione. Le nuove condizioni economiche contenute nell offerta di rinnovo devono essere accettate dall Organizzazione prima dell effettuazione della visita di rinnovo attraverso la firma del nuovo contratto di certificazione. La mancata firma del nuovo contratto di certificazione configura automaticamente la rinuncia da parte dell organizzazione e attiva le azioni conseguenti (vedere 7.1). E facoltà di CSICERT valutare l opportunità di eseguire l audit di rinnovo in due fasi (stage1 e stage 2) in funzione delle eventuali modifiche sostanziali al sistema di gestione certificato o di modifiche della legislazione applicabile. La decisione sul rinnovo della certificazione è responsabilità del comitato di certificazione (funzione tecnica deliberante) di CSICERT. La certificazione viene rinnovata solamente a condizione che il risultato complessivo della valutazione presso l Organizzazione (audit di rinnovo) sia positivo; ovvero: a) il piano di azioni correttive predisposto dall organizzazione per le eventuali NC e OSS rilevate sia accettato da CSICERT; e b) nel caso siano state rilevate non conformità (NC), CSICERT abbia avuto evidenza della loro efficace risoluzione (o attraverso adeguata documentazione fornita dall organizzazione stessa o attraverso una verifica supplementare presso l organizzazione). Nel caso di decisione negativa (o mancata decisione) circa il rinnovo della certificazione, il certificato è scaduto e cessa di validità a tutti gli effetti. Art. 6 ESTENSIONE E RIDUZIONE DELLA CERTIFICAZIONE L organizzazione ha la facoltà di richiedere modifiche della certificazione al fine di: a) estenderla, ovvero - introdurre requisiti aggiuntivi applicabili - includere nuove attività - includere nuove sedi societarie, siti o filiali b) ridurla, ovvero - escludere requisiti applicabili già certificati (a condizione che ciò sia ammesso dalla norma di riferimento) - escludere attività già certificate (a condizione che ciò sia ammesso dalla norma di riferimento) - escludere sedi societarie, siti o filiali già certificate (nei casi in cui ciò è ammesso o richiesto dai documenti emessi dall Ente di accreditamento) L'Organizzazione che desidera estendere o ridurre il campo di validità della certificazione deve farne richiesta a CSICERT inviando l apposito modello. CSICERT provvede, comunicandole all organizzazione, ad effettuare tutte le attività di verifica necessarie in funzione della richiesta ricevuta. Una volta concluse con esito positivo le verifiche effettuate CSICERT provvede a riemettere il documento di certificazione opportunamente modificato; da parte sua l organizzazione è tenuta ad adeguare opportunamente ogni riferimento alla certificazione eventualmente riportato sui documenti aziendali o comunque diffuso al mercato. Art. 7 RINUNCIA, SOSPENSIONE E REVOCA DELLA CERTIFICAZIONE E SUBENTRO 7.1 RINUNCIA L'Organizzazione può rinunciare alla certificazione, nei seguenti casi: a) alla scadenza del Certificato, dando preavviso scritto almeno 3 (tre) mesi; b) nel caso non accetti eventuali variazioni del presente Regolamento; c) nel caso non accetti eventuali variazioni delle condizioni economiche: d) nel caso di variazioni dei requisiti applicabili stabiliti dalla norme o dai documenti di riferimento indicati in 2.1 e 2.2. Nei casi b), c) e d) l'organizzazione deve dare comunicazione della propria decisione entro 4 (quattro) mesi dalla data di notifica delle variazioni da parte del Sistema CSICERT ed in ogni caso prima dell effettuazione di eventuali attività previste dal presente regolamento (per esempio sorveglianze già programmate). A seguito della rinuncia, l'organizzazione s'impegna a: restituire l'originale del Certificato; non utilizzare la dichiarazione di certificazione ed eliminare da tutti i prodotti e documenti ogni riferimento o simbolo relativo alla certificazione. cessare immediatamente l utilizzo del Marchio e la distribuzione d'ogni materiale che lo riproduca;

10 Pag 10 di 13 La rinuncia comporta da parte di CSICERT: la cancellazione dell'organizzazione dal registro delle certificazioni; la non ammissione di un'eventuale domanda di certificazione della stessa Organizzazione prima che sia passato un anno dalla data di rinuncia, salvo eccezioni valutate dalla Direzione di CSICERT. Nel caso di rinuncia l attestazione di conformità del sistema di gestione (per le attività incluse nello scopo di certificazione indicate sul certificato rilasciato da CSICERT), mantiene la propria validità fino alla data di esecuzione dell ultimo audit, a seguito del quale è stata confermata. Qualora l organizzazione desideri avere una attestazione che confermi la conformità del sistema di gestione fino alla data in cui ha comunicato la rinuncia, dovrà farne esplicita richiesta scritta a CSICERT che eseguirà, a tale scopo, un audit supplementare la cui durata e costo sarà preventivamente comunicata all organizzazione. L attestazione di conformità potrà essere rilasciata solamente in caso di esito positivo dell audit, ovvero: il piano di azioni correttive predisposto dall organizzazione per le eventuali NC e OSS rilevate sia accettato da CSICERT; e nel caso siano state rilevate non conformità (NC), CSICERT abbia avuto evidenza della loro efficace risoluzione (o attraverso adeguata documentazione fornita dall organizzazione stessa o attraverso una verifica supplementare presso l organizzazione). 7.2 SOSPENSIONE La validità della certificazione può essere sospesa da CSICERT nei seguenti casi: 1) se vengono riscontrate carenze nel SG tali da avere dubbi o evidenze sulla conformità del prodotto/servizio fornito dall Organizzazione; 2) se viene meno la conformità ad uno o più requisiti applicabili previsti dalla norma di riferimento del sistema di gestione certificato; 3) se l'organizzazione avendo fatto un uso scorretto o improprio del certificato, non ha preso i provvedimenti richiesti da CSICERT; 4) se l'organizzazione ha apportato al suo SG modifiche che non siano state accettate da CSICERT; 5) se l organizzazione certificata non ripristina la conformità ai requisiti applicabili attuando le azioni correttive approvate da CSICERT. 6) mancata esecuzione, per cause non imputabili a CSICERT, delle attività previste per il mantenimento della certificazione entro le scadenze previste; 7) nel caso vengano meno le condizioni previste per il mantenimento della certificazione (vedere art. 4); 8) insolvenza dopo il primo richiamo. Trascorsi 10 (dieci) giorni lavorativi dal momento in cui si sono verificate le condizioni, la sospensione è comunicata all'organizzazione per iscritto, precisando le condizioni per il ripristino della certificazione ed il termine entro il quale devono essere attuate. La sospensione viene revocata solo dopo che CSICERT abbia accertato il soddisfacente ripristino della conformità ai requisiti o della risoluzione delle cause che hanno determinato il provvedimento. L'Organizzazione s'impegna a sostenere le spese delle verifiche e, gli importi annui previsti per il mantenimento della certificazione sono dovuti dall'organizzazione a CSICERT anche nel periodo di sospensione. Nel caso 4) la sospensione della certificazione può essere richiesta dall organizzazione stessa che dovrà in tal caso inoltrare richiesta scritta a CSICERT specificando i tempi entro i quali prevede possano essere ripristinate le condizioni per la verifica della possibilità di revoca della sospensione. Nel caso di sospensione richiesta dall organizzazione saranno dovuti a CSICERT solamente gli importi corrispondenti ad attività per le quali CSICERT ha già provveduto ad assegnare i relativi incarichi. La sospensione può avere una durata massima di 12 (dodici) mesi, trascorsi i quali, se non possono essere verificate le condizioni per il ripristino della certificazione, questa verrà revocata; in ogni caso la durata del periodo di sospensione non può andare oltre la scadenza del certificato. 7.3 REVOCA La revoca della certificazione può essere decisa da CSICERT e comunicata per iscritto all'organizzazione nei seguenti casi: a) quando le cause che hanno determinato la sospensione non vengano rimosse entro i termini stabiliti da CSICERT; b) se vengono riscontrate delle non conformità considerate particolarmente gravi; c) non osservanza, conseguente a negligenza grave, di quanto disposto nel presente regolamento; d) frequenti inosservanze degli impegni assunti, anche in forma non grave; e) fallimento o liquidazione dell'organizzazione; f) sospensione della fornitura del prodotto o del servizio;

11 Pag 11 di 13 g) per rifiuto od ostacolo alle visite di verifica; h) per non appropriato uso della certificazione; i) per morosità nei pagamenti dei servizi di CSICERT; j) per ogni altro serio motivo a giudizio di CSICERT. A seguito della revoca, l'organizzazione si impegna a: restituire l'originale del Certificato; non utilizzare la dichiarazione di certificazione ed eliminare da tutti i prodotti e documenti ogni riferimento o simbolo relativo alla certificazione. La revoca comporta da parte del Sistema CSICERT: la cancellazione dell'organizzazione dal registro delle certificazioni; la non ammissione all'istruzione di un'eventuale nuova domanda di certificazione della stessa Organizzazione prima che siano passati due anni dalla data di revoca, salvo eccezioni valutate dal Comitato di certificazione. Verificandosi situazioni per le quali è necessario intervenire urgentemente in relazione all eventuale pericolosità sociale dell evento, CSICERT, su iniziativa del Direttore o del responsabile dell area di certificazione interessata, ha facoltà di assumere decisioni di revoca della certificazione delle quali deve essere data comunicazione al Consiglio Direttivo nella prima riunione utile. Ogni decisione di CSICERT, nonché gli eventuali provvedimenti urgenti assunti, saranno comunicati in forma scritta all Organizzazione entro 10 (dieci) giorni lavorativi dalla assunzione della decisione. 7.4 SUBENTRO (TRASFERIMENTO DELLA CERTIFICAZIONE DA ALTRO ORGANISMO DI CERTIFICAZIONE) Un organizzazione in possesso di certificazione del proprio sistema di gestione da parte di un Organismo di Certificazione accreditato ACCREDIA può richiedere a CSICERT di subentrare alla certificazione. Tale organizzazione deve trasmettere a CSICERT i seguenti documenti: Manuale del proprio sistema di gestione, ove previsto Copia del certificato del proprio sistema di gestione in corso di validità Domanda e contratto firmati Copia dei rapporti di audit relativi all ultima verifica di rilascio/rinnovo e delle successive sorveglianze eseguite con le eventuali Azioni Correttive proposte/messe in atto a seguito dei rilievi evidenziati Eventuali reclami ricevuti con le Azioni Correttive intraprese Eventuali procedimenti legali esistenti a loro carico. La documentazione sarà riesaminata dalla funzione tecnica deliberante di CSICERT che potrà deliberare tra le seguenti opzioni: Emissione del certificato per le medesime attività/siti certificati e con medesima data di scadenza Audit supplementare di approfondimento delle aree di criticità emerse (numero di non conformità e/o tipo di provvedimenti di sospensione in essere) Non rilascio della certificazione in caso di certificato scaduto o ritirato dal precedente organismo di certificazione Nel caso di subentri in occasione di visite di sorveglianza pianificazione certificazioni chiederà al RGVI di predisporre un piano di audit che dettagli processi/requisiti/attività da verificare. Art. 8 RECLAMI, APPELLI E CONTENZIOSI Appelli, reclami e contenziosi, pervenuti con qualsiasi mezzo, vengono raccolti secondo la loro tipologia: appelli (istanze dirette per ottenere la tutela di un diritto o di un interesse), reclami (protesta o lamentela ), contenziosi (insieme di controversie sussistente tra CSI e Organizzazione o contenzioso tra due o più organizzazioni) 8.1 RECLAMI L Organizzazione potrà presentare reclamo a CSICERT, in forma scritta, nel caso ritenga che la qualità del servizio di certificazione offerto non risponda a quanto dichiarato nel presente Regolamento. 8.2 APPELLI L'Organizzazione può fare appello, per la tutela del proprio interesse, contro le decisioni di CSICERT, esponendo le ragioni del dissenso, entro 30 giorni dalla data di notifica della decisione; CSICERT esamina l appello entro 3 (tre) mesi dalla sua presentazione, sentendo eventualmente i rappresentanti dell'organizzazione. Ogni spesa relativa all appello rimane a carico dell'organizzazione, salvo i casi di riconosciuta fondatezza.

12 Pag 12 di CONTENZIOSI Qualsiasi controversia, nascente dall'applicazione del presente Regolamento, sarà deferita ad un Collegio Arbitrale che avrà sede a Milano, e che sarà composto di tre Arbitri: uno nominato da CSICERT uno dall Organizzazione il terzo (con funzioni di Presidente) nominato dai primi due in accordo tra loro o, in ipotesi di disaccordo, dal Presidente del Tribunale di Milano, il quale sarà competente a nominare anche l'arbitro per quella Parte che, invitata a nominare il proprio arbitro abbia omesso di provvedervi entro 20 (venti) giorni dal ricevimento della comunicazione di nomina inviata dall'altra Parte. Il Collegio fisserà le norme di procedura, in relazione alla particolare natura della controversia, restando obbligatoria la sola osservanza del principio del contraddittorio. Gli arbitri decideranno secondo il diritto entro 90 (novanta) giorni dalla data del verbale di costituzione del Collegio. Le spese dell'arbitrato saranno a carico del soccombente. La sede dell'arbitrato è Milano. Art. 9 TARIFFE Le tariffe sono suscettibili d'eventuali variazioni; in caso di variazione le nuove tariffe sono comunicate a tutti i clienti almeno trenta giorni prima della data prevista d'entrata in vigore; l Organizzazione ha diritto di rinunciare alla certificazione in caso di non accettazione delle stesse comunicandolo entro 4 (quattro) mesi dalla data di notifica. Nel periodo di preavviso, all Organizzazione che si avvale della facoltà di rinuncia, sono praticate le tariffe anteriori alle variazioni. Art. 10 CONSENSO AL SUBAPPALTO L Organizzazione prende conoscenza del fatto che CSICERT per l esecuzione delle attività di audit ha facoltà di servirsi di figure professionali esterne in possesso dei prescritti requisiti di competenza, idoneità e terzietà in relazione ai quali CSICERT assume e mantiene la piena responsabilità per ogni attività subappaltata, nonché per rilasciare, mantenere, estendere, sospendere o ritirare la certificazione. In relazione a quanto sopra ed in mancanza d'esplicite osservazioni in senso contrario, da riportare all interno della richiesta per l accesso ai servizi di certificazione di CSICERT, si ritiene acquisito il consenso dell Organizzazione al subappalto delle dette attività. Art. 11 RISERVATEZZA CSICERT, salvo consenso dell Organizzazione o disposizioni di legge e del presente Regolamento od ordine dell Autorità Giudiziaria, s'impegna a mantenere la riservatezza delle informazioni aziendali di cui verrà eventualmente in possesso nel corso della durata del contratto con l Organizzazione. Informazioni, relative ad un prodotto/processo/servizio, saranno divulgate a terzi solo dopo ottenimento del consenso scritto da parte dell Organizzazione. Nel caso in cui intervengano prescrizioni legislative, in base alle quali le informazioni debbano essere rese note a terzi, CSICERT metterà al corrente l Organizzazione circa le informazioni fornite. Art. 12 PUBBLICITÀ - USO DEL CERTIFICATO E DEL MARCHIO DI CERTIFICAZIONE L'Organizzazione può pubblicizzare nei modi che ritiene più opportuni l'avvenuta certificazione da parte di CSICERT. Deve comunque chiaramente indicare le eventuali limitazioni e condizioni poste da CSICERT all'atto del rilascio del certificato. Per l uso del marchio di certificazione vale quanto previsto nel regolamento CSICERT (Doc 001/01 Regolamento per l utilizzo del marchio di certificazione) La certificazione non è trasferibile, salvo che nell'eventualità di cessione o di trasformazione dell'organizzazione. In questo caso deve essere data tempestiva comunicazione a CSICERT che provvede a valutare le eventuali modifiche al sistema di gestione e/o all assetto societario con lo scopo di verificare il mantenimento della conformità alla norma applicabile. CSICERT renderà disponibili pubblicamente le informazioni relative allo stato di validità della certificazione. Art. 13 PENALI Fatte salve le condizioni di rinuncia alla certificazione previste in 7.1, l organizzazione certificata o certificanda che rescinde il contratto, oltre agli importi previsti per le attività già eseguite, è tenuta al pagamento delle seguenti penali:

13 Pag 13 di 13 a) nel caso di rescissione del contratto fra il 1 e il 12 mese di validità del certificato: l intero importo relativo alle attività di mantenimento previste per il periodo di validità del certificato, escluse le attività già eseguite e pertanto comunque dovute. b) nel caso di rescissione del contratto fra il 13 e il 24 mese di validità del certificato: l intero importo relativo alle attività di mantenimento non ancora eseguite e previste per il periodo restante di validità del certificato, escluse le attività già eseguite e pertanto comunque dovute. c) nel caso di rescissione del contratto oltre i termini previsti (vedere 7.1 a): l intero importo relativo alle attività di rinnovo previste. d) nel caso di rescissione del contratto nel periodo intercorrente fra la visita iniziale di fase 1 e fase 2: un importo pari al 30 (trenta) % di quello previsto per la fase 2.