Le reti informatiche e di telecomunicazioni hanno bisogno di certificazioni imparziali e terze relative alla sicurezza. Così pure gli apparati e i sistemi informatici e tutti i servizi di connettività. Perciò il prossimo Consiglio dei ministri darà il via libera ad un testo di 20 articoli che istituisce su tutto il territorio nazionale i Centri di valutazione e certificazione nazionali (CVCN) e i Laboratori accreditati di prova (LAP). Saranno questi ad “assicurare la sicurezza” di tutto quanto si agita nel perimetro cibernetico nazionale e dipenderanno dal Ministero dello Sviluppo economico. La legge 133 dello scorso novembre aveva previsto l’esistenza di soggetti pubblici e privati a cui demandare questi servizi essenziali senza arrivare alla loro effettiva individuazione. Ora il nuovo Decreto definisce modalità, procedure e termini per la loro individuazione e organizzazione.
Il Centro di valutazione e certificazione nazionale (CVCN) è titolare del processo di verifica sia verso i soggetti pubblici che privati (ma il Ministero della difesa e del Ministero dell’interno opereranno con propri specifici centri di valutazione per le acquisizioni destinate alle proprie reti, sistemi informativi e servizi informatici). Sono stati esclusi dal Decreto gli approvvigionamenti necessari per le attività di prevenzione, accertamento e repressione dei reati mentre invece viene demandato ad uno specifico decreto attuativo la disciplina dei casi (e delle deroghe) per le forniture in sede estera.
Le due sigle che presto ci diventeranno familiari, Lap e Cvcn, sono chiamate ad eseguire verifiche e rilasciare certificazioni su beni, sistemi e servizi ICT e il Decreto stabilisce i criteri di natura tecnica per l’individuazione delle categorie, ovvero all’elenco di beni, sistemi e servizi ICT a cui si applica la procedura di valutazione.
La comunicazione finale del Cvcn dovrà contenere anche il documento di analisi del rischio associato all’oggetto della fornitura. Il Decreto non dice nulla circa le metodologie per la predisposizione del documento di analisi del rischio che verosimilmente verranno emanate dopo l’entrata in vigore del Decreto stesso.
Il “Procedimento di verifica e valutazione”, così come si evince dal testo, si compone di tre fasi; la prima viene avviata con l’individuazione di test e condizioni da includere nei bandi di gara o nei contratti. La seconda riguarda l’attività che il fornitore deve porre in essere per rendere possibile l’esecuzione dei test. La terza fase comprende l’esecuzione dei test.
Naturalmente gli oneri economici per le attività di valutazione svolte dal Cvcn sono a carico del fornitore.
E’ prevista l’esclusione esplicita dal campo di applicazione del decreto degli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati di competenza delle autorità di pubblica sicurezza e delle forze di polizia.
Altri casi particolari? Si: alcuni test tecnici potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano. In questi casi viene in aiuto “l’articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni dalla legge 11 maggio 2012, n. 56 e quindi il Cvcn opera secondo le procedure, le modalità e i termini ai sensi dell’articolo 3, comma 2, del decreto-legge del Presidente della Repubblica”. E questo sarà il palo attorno al quale dovranno ruotare i certificatori e i laboratori protagonisti della Lap dance della nuova sicurezza cibernetica nazionale.
Anche l’individuazione delle categorie di beni, sistemi e servizi ICT che dovranno sottostare alla valutazione del CVCN e dei CV sarà notificata a valle del decreto legge stesso.
Avremo modo di parlarne ancora, e tanto.
