Con il decreto-legge n. 105 del 2019, convertito nella legge n. 133 dello stesso anno - che definisce il perimetro di sicurezza cibernetica nazionale - al Centro di Valutazione e Certificazione Nazionale (CVCN) - istituito presso il Ministero dello sviluppo economico- è stato affidato il compito di effettuare la valutazione di beni, sistemi e servizi ICT destinati ad essere impiegati su infrastrutture ICT che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato.

Come indicato nel DPCM 31 luglio 2020, n. 131, i soggetti pubblici e privati - che offrono tali servizi o funzioni - sono individuati sulla base di specifici criteri e nell’ambito di diversi settori strategici– interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali/lavoro – dalle Amministrazioni competenti nei rispettivi settori.

I soggetti inclusi nel perimetro di sicurezza cibernetica, così individuati, sono tenuti a predisporre annualmente l'elenco degli asset ritenuti “strategici” per la fornitura dei servizi essenziali e funzioni essenziali di rispettiva pertinenza e, con riferimento a tali asset, ad adottare misure nell’ottica di assicurare elevati livelli di sicurezza e a notificare eventuali incidenti al CSIRT (Computer Security Incident Response Team) attivo presso la Presidenza del Consiglio. Le misure di sicurezza, che i soggetti inclusi nel Perimetro sono tenuti ad adottare, e le modalità di notifica degli incidenti sono state definite con il DPCM 14 aprile 2021, n. 81

Inoltre, i soggetti inclusi nel perimetro, ai sensi dell'articolo 1, comma 6, del decreto legge n. 105/2019 sono tenuti a comunicare al CVCN l’intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset “strategici” e appartenenti a determinate categorie individuate sulla base di specifici criteri tecnici. Il CVCN, entro un tempo massimo di 60 giorni dalla comunicazione, indica al soggetto incluso nel perimetro eventuali condizioni a cui i fornitori dovranno attenersi e test di hardware e software che dovranno essere eseguiti. Eventuali condizioni e i test sono inseriti nei bandi di gara e contratti con clausole che condizionano il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. I test possono essere effettuati presso i laboratori del CVCN o presso laboratori di prova accreditati dallo stesso CVCN e devono essere conclusi nel termine di sessanta giorni.

Poiché il Ministero della Difesa e il Ministero dell’Interno possono avvalersi di propri Centri di Valutazione – CV - per le acquisizioni destinate alle proprie reti, sistemi informativi e servizi informatici, il CVCN dovrà raccordarsi con tali Centri di valutazione per evitare che il fornitore esegua più volte i test su uno stesso prodotto.

Con il Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54, sono state definite procedure, modalità e termini di funzionamento del CVCN, le procedure per la verifica del rispetto delle disposizioni del decreto-legge n. 105/2019, nonché i criteri tecnici per l’individuazione delle categorie di beni, sistemi e servizi ICT (da effettuarsi con DPCM) che saranno oggetto della valutazione del CVCN nel caso in cui siano destinati agli asset “strategici”. Tali categorie sono state individuate con il DPCM 15 giugno 2021 

Recentemente lo scenario normativo nel campo della cybersicurezza è stato rivisitato con l’emanazione del decreto-legge 14 giugno 2021, n. 82 convertito nella legge 4 agosto 2021, n. 109, che ha definito l’architettura nazionale di cybersicurezza e istituito l’Agenzia per la cybersicurezza nazionale. Nel nuovo contesto il Centro di Valutazione e Certificazione Nazionale (CVCN) è trasferito presso l’Agenzia e la sua operatività è assicurata dal 30 giugno 2022.

Nei prossimi mesi il quadro normativo sarà completato con l’approvazione del DPCM che definisce le procedure per l’accreditamento dei laboratori di prova e le modalità di raccordo del CVCN con i CV.

 

Riferimenti

  • Decreto-legge 21 settembre 2019, n. 105, convertito nella legge 18 novembre 2019, n. 133 - Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica.
  • Decreto del presidente del Consiglio dei Ministri 30 luglio 2020, n. 131 Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.
  • Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54 “Regolamento recante attuazione dell'articolo 1, comma 6, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133”.
  • Decreto del presidente del Consiglio dei Ministri 14 aprile 2021, n. 81 “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza”.
  • Decreto-legge 14 giugno 2021, n. 82 convertito nella legge 4 agosto 2021, n. 109, recante disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale.
  • Decreto del presidente del Consiglio dei Ministri 15 giugno 2021, - Individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica, in attuazione dell'articolo 1, comma 6, lettera a), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

 

Contatti

PEC: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Indirizzo e-mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..
tel: 0654444952

 

 

.

Torna su