Il nuovo Centro si differenzierà rispetto ai due Schemi nazionali di certificazione già esistenti, contesto della sicurezza nazionale (Schema coordinato da ANS, istituito con [DPCM3]) e del tessuto produttivo nazionale/cittadinanza (Schema coordinato da OCSI, istituito con il [DPCM4]), ponendosi ad un livello intermedio rispetto ai due schemi già esistenti, che terrà conto del livello di criticità commisurato al contesto delle ICS.

L’ambito di applicazione del CVCN, ai sensi e per gli effetti dell’art. 11. comma 1 di [DPCM1], riguarda in modo specifico le seguenti infrastrutture critiche e strategiche:

  1.  reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico
  2. servizi essenziali (allegato II della Direttiva (UE)2016/1148) e servizi digitali (allegato III della Direttiva (UE)2016/1148).
  3. infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall'operatività di sistemi informatici e telematici, comprese quelle individuate ai sensi dell'articolo 1, comma 1, lettera d), del decreto del Ministro dell'interno 9 gennaio 2008 gestiti da operatori privati.

Per quanto riguarda le ICS di tipo 1. e 2., il ruolo del CVCN potrebbe essere rispettivamente:

  • il decreto attuativo degli articoli 16bis e 16ter del D.lgs 259/2003
  • la trasposizione nazionale della Direttiva (UE) 2016/1148

Per l’avvio dell’operatività del CVCN occorrerà prevedere apposito decreto attuativo, come avvenuto per gli schemi di certificazione nazionali esistenti per il contesto classificato e commerciale.

Riferimenti

[DPCM1] DPCM del 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali” (Gazzetta Ufficiale n. 87 del 13 aprile 2017)

[DPCM2] DPCM del 31 marzo 2017 “Adozione del Piano nazionale per la protezione cibernetica e la sicurezza informatica” (Gazzetta ufficiale n. 125 del 31 maggio 2017)

[DPCM3] DPCM 11 aprile 2002 “Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna della Stato” (GU 6 giugno 2002 n. 131)

[DPCM4] DPCM del 30 ottobre 2003 “Approvazione dello Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell’informazione, ai sensi dell'art.10c1 del DL n.10/2002” (G.U. n.98 del 27 aprile 2004)

Torna su