Con il decreto-legge n. 105 del 2019, convertito nella legge n. 133 dello stesso anno - che definisce il perimetro di sicurezza cibernetica nazionale - al Centro di Valutazione e Certificazione Nazionale (CVCN) - istituito presso il Ministero dello sviluppo economico- è stato affidato il compito di effettuare la valutazione di beni, sistemi e servizi ICT destinati ad essere impiegati su infrastrutture ICT che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato.

Come indicato nel DPCM 31 luglio 2020, n. 131, i soggetti pubblici e privati - che offrono tali servizi o funzioni - sono individuati sulla base di specifici criteri e nell’ambito di diversi settori strategici– interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali/lavoro – dalle Amministrazioni competenti nei rispettivi settori.

I soggetti inclusi nel perimetro di sicurezza cibernetica, così individuati, sono tenuti a predisporre annualmente l'elenco degli asset ritenuti “strategici” per la fornitura dei servizi essenziali e funzioni essenziali di rispettiva pertinenza e, con riferimento a tali asset, ad adottare misure nell’ottica di assicurare elevati livelli di sicurezza e a notificare eventuali incidenti al CSIRT (Computer Security Incident Response Team) attivo presso la Presidenza del Consiglio.

In particolare, tali soggetti sono tenuti a comunicare al CVCN l’intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset “strategici” e appartenenti a determinate categorie individuate sulla base di specifici criteri tecnici. Il CVCN, entro un tempo massimo di 60 giorni dalla comunicazione, indica al soggetto incluso nel perimetro eventuali condizioni a cui i fornitori dovranno attenersi e test di hardware e software che dovranno essere eseguiti. Eventuali condizioni e i test sono inseriti nei bandi di gara e contratti con clausole che condizionano il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. I test possono essere effettuati presso i laboratori del CVCN o presso laboratori di prova accreditati dallo stesso CVCN e devono essere conclusi nel termine di sessanta giorni.

Poiché il Ministero della Difesa e il Ministero dell’Interno possono avvalersi di propri Centri di Valutazione – CV - per le acquisizioni destinate alle proprie reti, sistemi informativi e servizi informatici, il CVCN dovrà raccordarsi con tali Centri di valutazione per evitare che il fornitore esegua più volte i test su uno stesso prodotto.

Con il Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54, sono state definite procedure, modalità e termini di funzionamento del CVCN, le procedure per la verifica del rispetto delle disposizioni del decreto-legge n. 105/2019, nonché i criteri tecnici per l’individuazione delle categorie di beni, sistemi e servizi ICT (da effettuarsi con DPCM) che saranno oggetto della valutazione del CVCN nel caso in cui siano destinati agli asset “strategici”.

Ad eccezione di quanto previsto all’articolo 3 del decreto-legge n. 105/2019, le disposizioni relative al CVCN fissate nel DPR n. 54/2021, la cui entrata in vigore è fissata al giorno 8 maggio 2021, saranno applicabili solo a seguito dell’emanazione del DPCM che individuerà le suddette categorie di beni, sistemi e servizi ICT.

Nei prossimi mesi il quadro normativo sarà completato con i seguenti provvedimenti attuativi del decreto-legge n. 105/2019:

  • il DPCM che individua l’elenco delle categorie di beni, sistemi e servizi ICT sulla base dei criteri tecnici definiti nel suddetto regolamento
  • il DPCM che individua le misure di sicurezza che i soggetti inclusi nel Perimetro devono rispettare e le procedure per la notifica degli incidenti
  • il DPCM che definisce le procedure per l’accreditamento dei laboratori di prova e le modalità di raccordo del CVCN con i CV

Riferimenti

  • Decreto-legge 21 settembre 2019, n. 105, convertito nella legge 18 novembre 2019, n. 133 - Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica.
  • Decreto del presidente del Consiglio dei Ministri 30 luglio 2020, n. 131 Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.
  • Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54 “Regolamento recante attuazione dell'articolo 1, comma 6, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133”.

Contatti

PEC: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Indirizzo e-mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..
tel: 0654444952

 

 

.

Torna su