Con il decreto-legge n. 105 del 2019, convertito nella legge n. 133 dello stesso anno - che definisce il perimetro di sicurezza cibernetica nazionale - al Centro di Valutazione e Certificazione Nazionale (CVCN) - istituito presso il Ministero dello sviluppo economico- è stato affidato il compito di effettuare la valutazione di beni, sistemi e servizi ICT destinati ad essere impiegati su infrastrutture ICT che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato.
Come indicato nel DPCM 31 luglio 2020, n. 131, i soggetti pubblici e privati - che offrono tali servizi o funzioni - sono individuati sulla base di specifici criteri e nell’ambito di diversi settori strategici– interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali/lavoro – dalle Amministrazioni competenti nei rispettivi settori.
I soggetti inclusi nel perimetro di sicurezza cibernetica, così individuati, sono tenuti a predisporre annualmente l'elenco degli asset ritenuti “strategici” per la fornitura dei servizi essenziali e funzioni essenziali di rispettiva pertinenza e, con riferimento a tali asset, ad adottare misure nell’ottica di assicurare elevati livelli di sicurezza e a notificare eventuali incidenti al CSIRT (Computer Security Incident Response Team) attivo presso la Presidenza del Consiglio.
In particolare, tali soggetti sono tenuti a comunicare al CVCN l’intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset “strategici” e appartenenti a determinate categorie individuate sulla base di specifici criteri tecnici. Il CVCN, entro un tempo massimo di 60 giorni dalla comunicazione, indica al soggetto incluso nel perimetro eventuali condizioni a cui i fornitori dovranno attenersi e test di hardware e software che dovranno essere eseguiti. Eventuali condizioni e i test sono inseriti nei bandi di gara e contratti con clausole che condizionano il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. I test possono essere effettuati presso i laboratori del CVCN o presso laboratori di prova accreditati dallo stesso CVCN e devono essere conclusi nel termine di sessanta giorni.
Poiché il Ministero della Difesa e il Ministero dell’Interno possono avvalersi di propri Centri di Valutazione – CV - per le acquisizioni destinate alle proprie reti, sistemi informativi e servizi informatici, il CVCN dovrà raccordarsi con tali Centri di valutazione per evitare che il fornitore esegua più volte i test su uno stesso prodotto.
Nei prossimi mesi il quadro normativo sarà completato con i seguenti provvedimenti attuativi del decreto-legge n. 105/2019:

  • Il regolamento che definirà modalità, termini e procedure per il funzionamento del CVCN, i criteri tecnici per l’individuazione delle categorie di beni, sistemi e servizi oggetto della valutazione del CVCN e le procedure per la verifica del rispetto delle disposizioni del decreto-legge n. 105/2019
  • il decreto che individua l’elenco delle categorie di beni, sistemi e servizi ICT sulla base dei criteri tecnici definiti nel suddetto regolamento
  • il decreto che definisce le procedure per l’accreditamento dei laboratori di prova e le modalità di raccordo del CVCN con i CV

Riferimenti

Decreto-legge 21 settembre 2019, n. 105, convertito nella legge 18 novembre 2019, n. 133 - Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 luglio 2020, n. 131 Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133

 

 

.

Torna su